Журнал "Information Security/ Информационная безопасность" #5, 2023

стить, чтобы в сторону регуля- торов "улетала" информация о ложных срабатываниях. Данные, отправленные по ошибке, прибавят работы заму по информационной безопас- ности. В таких случаях ему пред- стоит оправдываться перед той же ГосСОПКА за слишком "чут- кие" настройки корпоративных систем кибербеза и доказывать, что информация, которую регу- лятор получил в распоряжение, нерелевантна. Собственная SIEM (и уж тем более ведом- ственный SOC), где настроено ручное управление отчетами, помогут для начала разобраться в природе инцидента. Сделать это можно будет благодаря кон- солидации данных на одной информационной системе (SIEM) и/или в рамках конкрет- ной бизнес-функции (SOC). Важность SIEM и SOC с точки зрения ответственности перед регулятором почти наверняка вырастет после принятия новой законодательной нормы об обо- ротных штрафах за утечку пер- сональных данных. В законо- проекте есть поблажка, но она работает лишь в случае, если компания-нарушитель доказа- ла, что предприняла максимум усилий для защиты от подобных инцидентов. Конкуренция через взлом Более чем за год жизни в режиме кибершторма практики кибервойн распространились на конкурентную борьбу. От наших заказчиков мы знаем: в ситуа- ции борьбы всех против всех на отдельных рынках хозяй- ствующие субъекты обмени- ваются уколами в киберпро- странстве. Это пугающая тен- денция, она говорит о легити- мизации кибероружия даже в рамках дуэлей за долю рынка. С одной стороны, от атак неплохо защищает обычный коммерческий SOC. По боль- шому счету, его сотрудникам все равно, кто источник агрес- сии – важно ее отразить и не дать реализоваться недопусти- мым событиям. С другой – решая аналогичную задачу, сотрудники ведомственного SOC имеют больше возможностей для анализа цифровых улик для установления не только испол- нителя, но и заказчика атаки. Контент всему голова Продвигая сервисы коммер- ческих центров реагирования на инциденты, поставщики таких услуг старательно избе- гают "подсветки" одного крити- чески важного фактора. Все многообразие логов, отчетов, описание событий и другие сущ- ности, сгенерированные маши- нами или сотрудниками SOC, после прекращения сотрудни- чества окажутся недоступны заказчику и при этом останутся у провайдера. Поставщики услуг центров реагирования на киберинциден- ты поступают так отнюдь не из вредности. Передача всей сово- купности собранных данных – процесс в равной степени тру- доемкий для провайдера и бес- полезный для клиента. Первый потратит огромное количество усилий на консолидацию тех данных, которыми у второго просто не получится восполь- зоваться. Заказчику, впрочем, от этого не легче. Он лишается массива данных, из которых можно будет извлечь цифровые улики, скажем, для передачи правоохранителям или регуля- торам. И по этой причине заказ- чик лишается возможности оградить свою компанию от штрафов, а конкретных долж- ностных лиц – от ответственно- сти, вплоть до уголовной. Заключение Старания отдельных вендо- ров привели к изрядной демо- кратизации SIEM как класса решений в сфере кибербезо- пасности. Заказчику больше не нужно располагать бюджетами в десятки миллионов, чтобы внедрить подобное решение. Более того, относительно доступные SIEM дали ход общерыночному процессу фор- мирования ведомственных центров реагирования на кибе- ринциденты. Цена вопроса создания "SOC на минималках" в значительной степени определяется стои- мостью SIEM-системы. Это очень удобно для CISO с точки зрения формирования бюдже- тов и их защиты перед советом директоров. ДИБу проще объ- яснить внедрение новой биз- нес-функции своего департа- мента через стоимость лицен- зии и количество ставок, чем пытаться донести до совета директоров абстрактную сущ- ность SOC. Хотя другой аргу- мент, стоимость мер по инфор- мационной безопасности по сравнению с масштабами взыс- каний, сработает не менее эффективно. l • 35 SOC и TI www.itsec.ru Новый модуль позволяет заказчикам компании RuSIEM решать следующие задачи: l мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы, сетевое оборудование и рабочие станции; l мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы; l мониторинг информационных систем и бизнес- критичных серверов; l улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде; l удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат; l простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время. Модуль RuSIEM Monitoring прост в установке и использовании. Он не требует установки агентов на сервера (запуск системы в работу осуществляется за 10 минут), а подключение к серверам и сетевому оборудованию совершается в прямом смысле в один клик. Предусмотрена удаленная поддержка пользователей – через внутреннюю систему HelpDesk с доменной авторизацией и подключением к пользователю в один клик из тикета. АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 70 NM Реклама