Обзор и сравнение лучших бесплатных open source dlp систем 2019 года

Критерии выбора Siem и DLP системы:

Цели использования – основной критерий выбора, который должен учитывать исходные цели использования Siem и DLP системы

Определите, на что вы хотите обратить внимание: на обеспечение безопасности данных или на выявление атак на информационную систему.

Функциональность – это критерий, который определяет количество функций и интеграций, которые предлагает система. Также следует обратить внимание на возможности масштабирования системы и способы обеспечения безопасности.

Сложность – следует рассмотреть, насколько система сложна в использовании и настройке

Как система отображает результаты работы? Есть ли возможность построения отчетов и анализа данных?

Цена – это критерий, который также нужно учитывать при выборе. Не всегда дорогостоящая система лучше и функциональнее, как и дешевая не всегда оправдывает ожидания.

Техническая поддержка – это очень важный критерий, который следует учитывать, особенно если речь идет о большом количестве пользователей и критически важных системах. Стоит узнать, как долго поддержка работает, как быстро реагирует на запросы и насколько квалифицированны они в своей работе.

На какую зарплату может рассчитывать специалист по ИБ и какие в этой сфере грейды

Наша табель о рангах — не совсем как в обычном IT. В безопасность, как правило, приходят двумя путями. Путь первый — прямой, как у меня: загорелся, пошёл учиться в вуз по специальности, параллельно принимал участие в каких-то движухах, соревнованиях, где-то подрабатывал и вырос в безопасника. Но он довольно редкий. Чаще люди приходят к нам через IT, так как, условно говоря, после школы не все понимают, чем они хотят заниматься. Начинает человек в своей работе искать какой-то активности — и потихонечку смещается в сторону ИБ. Это довольно органичный путь: иногда переход из IT в ИБ происходит даже в рамках одной компании.

При этом я высчитал такую зависимость: средняя зарплата в IT примерно на 30% выше, чем в безопасности. И у нас довольно сложно определить, кто junior, кто middle, а кто senior. Особенно если человек начинал в одной специальности, потом перешёл в другую, потом в третью. Я знаю примеры, когда люди из offensive переходили в defensive, потому что им просто становилось интересно. Поначалу они теряли в скиллах, но рост в нашей сфере реактивный. Если человек захочет, подниматься можно довольно быстро.

Важный момент, особенно для начинающих: высшее образование в индустрии ИБ приветствуется, но всё ещё не является обязательным и вряд ли будет таковым. Тут как в IT: скиллы важнее дипломов. У меня есть замечательные ребята. Один окончил экономфак, стал аспирантом, писал кандидатскую. Второй отучился на бухгалтера. Через какое-то время оба ушли в IT. А потом сместились и стали успешными безопасниками. Что тот, что другой — очень известные и авторитетные люди на рынке.

IDS vs IPS: How They Work and Why They are Important to Cybersecurity

IDS and IPS systems are important factors in any network. They work in tandem to keep bad actors out of your personal or corporate networks.

IDS systems only look for suspicious network traffic and compare it against a database of known threats. If suspicious behaviors are similar to known threats on the database, the Intrusion Detection System flags the traffic. IDS systems do not operate on their own. They require a human or application to monitor scan results and then take action.

IPS systems work proactively to keep threats out of the system. The Intrusion Prevention System accepts and rejects network packets based on a specified rule set. The process is simple. If packets are suspicious and go against a specified ruleset, the IPS rejects them. This ensures the traffic doesn’t reach the network. IPS systems also require a database that is consistently updated with new threat profiles.

While the two systems seem similar in name and operation, they have a few differences. 

Security Information And Event Management (SIEM)

SIEM technology is a software application that enables IT staff to identify attacks before or as they occur, resulting in faster response times for incident response.

Without a SIEM, IT staff will lack a centralized view of all logs and events.

With limited visibility, IT staff will more than likely miss critical events from their systems, leading to a high number of backlogged events which may contain incidents that require immediate investigation.

Learn more: 10 Cyber Security Trends You Can’t Ignore In 2021

The core capabilities of a SIEM include:

• Log event collection and management including contextual data sources.
• Ability to analyze log events and other data across disparate sources.
• Operational capabilities such as incident management, dashboards, and reporting.
• Support for threat detection.
• Compliance and security incident management.

A SIEM is used to centralize security event log management, alerting, and correlation.  The SIEM allows you to monitor logging from systems, depending on how it’s configured, from one centralized tool.

Many solutions also offer correlation, which allows you to review logs from multiple data streams and systems.  The SIEM searches the data for patterns to identify suspicious activity or a network breach.

Реагирование на утечку данных

При обнаружении нарушений в сети организации рекомендован следующий алгоритм действий со стороны службы информационной безопасности:

1. Фиксация состояния и анализ информационных ресурсов, которые были задействованы.

2. Координация работы по прекращению влияния информационных атак, проведение которых спровоцировало появление инцидента.

3. Анализ всего сетевого трафика.

4. Локализация события.

5. Сбор важных данных для установления причин происшествия.

6. Составление перечня мер, направленных на ликвидацию последствий инцидента, который нанес урон.

7. Устранение последствий.

8. Контроль устранения последствий.

9. Создание политик безопасности и подробного перечня рекомендаций, направленных на совершенствование всей нормативной документации.

Классификация угроз информационной безопасности

В зависимости от различных способов классификации все возможные угрозы информационной безопасности можно разделить на следующие основные подгруппы.

• • Нежелательный контент.
  • Несанкционированный доступ.
  • Утечки информации.
  • Потеря данных.
  • Мошенничество.
  • Кибервойны.
  • Кибертерроризм.

Нежелательный контент — это не только вредоносный код, потенциально опасные программы и спам (т.е. то, что непосредственно создано для уничтожения или кражи информации), но и сайты, запрещенные законодательством, а также нежелательные ресурсы с информацией, не соответствующей возрасту потребителя.

Несанкционированный доступ — просмотр информации сотрудником, который не имеет разрешения пользоваться ею, путем превышения должностных полномочий. Несанкционированный доступ приводит к утечке информации. В зависимости от того, каковы данные и где они хранятся, утечки могут организовываться разными способами, а именно через атаки на сайты, взлом программ, перехват данных по сети, использование несанкционированных программ.

Утечки информации можно разделять на умышленные и случайные. Случайные утечки происходят из-за ошибок оборудования, программного обеспечения и персонала. Умышленные, в свою очередь, организовываются преднамеренно с целью получить доступ к данным, нанести ущерб.

Потерю данных можно считать одной из основных угроз информационной безопасности. Нарушение целостности информации может быть вызвано неисправностью оборудования или умышленными действиями людей, будь то сотрудники или злоумышленники.

Не менее опасной угрозой является мошенничество с использованием информационных технологий («фрод»). К мошенничеству можно отнести не только манипуляции с кредитными картами («кардинг) и взлом онлайн-банка, но и внутренний фрод. Целями этих экономических преступлений являются обход законодательства, политики безопасности или нормативных актов, присвоение имущества.

Ежегодно по всему миру возрастает террористическая угроза, постепенно перемещаясь при этом в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на автоматизированные системы управления технологическими процессами (АСУ ТП) различных предприятий. Но подобные атаки не проводятся без предварительной разведки, для чего применяется кибершпионаж, помогающий собрать необходимые данные. Существует также такое понятие, как «информационная война; она отличается от обычной войны тем, что в качестве оружия выступает тщательно подготовленная информация.

Методы и средства защиты информации

Методы обеспечения безопасности информации в информационной системе:

• Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
• Управление доступом — регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т. д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
• Криптография — шифрование и защита информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи; или хранение информации в блокчейне).
• Противодействие атакам вредоносных программ (англ. «malware») — предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т. д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т. п.).
• Регламентация — создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т. д.).
• Принуждение — установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т. п.).
• Побуждение — призыв к персоналу не нарушать установленные порядки по работе с информацией, т. к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).

Средства защиты информации:

• Технические (аппаратные) средства — сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, вход в здание или помещение по ключ-карте, электронные ключи и т. д.
• Программные средства — программы-шифровальщики данных, антивирусы, брандмауэры, бэкап-системы, системы аутентификации пользователей и т. п.
• Смешанные средства — комбинация аппаратных и программных средств.
• Организационные средства — правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Инструмент для самостоятельной оценки процессов безопасности

Также Microsoft предлагает решение, с помощью которого можно оценить зрелость процессов безопасности. По итогу получится определить степень готовности команды операционного центра к выявлению киберугроз, противодействию им и восстановлению после атак. Инструмент позволяет дать рекомендации по улучшению инструментов и процессов, чтобы повысить готовность. Что еще он может?

• Оценивать оповещения, расставлять приоритеты, настраивать эскалацию инцидентов.
• Экономить время, увеличивать скорость реагирования, уменьшать уровень нагрузки – в целом, автоматизировать процессы.
• Искать злоумышленников, которые смогли пробить брешь в основных и дополнительных мерах защиты компании.
• Анализировать инцидент: устанавливать, есть ли указание на ложную или реальную атаку.
• Управлять инцидентами: координировать меры, направленные на реагирование, сразу на нескольких уровнях (например, управленческом, юридическом, технической и др.), чтобы плохие новости о проблемах с безопасностью уж точно не возникли.

Сотрудники компании – угроза информационной безопасности

Источником утечки данных с компьютеров компании могут быть легальные пользователи.
Они имеют доступ к информации и используют ее не так, как это предусмотрено протоколами
безопасности.

Всех легальных пользователей можно разделить на несколько групп:

Мелкие нарушители.
В этой категории находятся работники среднего звена и руководители подразделений, которые
позволяют себе отступления от требований информационной безопасности. Они могут
запускать сторонние приложения на компьютерах, посещать не связанные с работой сайты,
обмениваться личной информацией по каналам связи

Часто такие действия приводят
к проникновению вирусов и вредоносных программ, хотя прямого умысла у пользователей
на эти действия нет.

Рецидивисты.
В эту категорию входят руководители среднего и высшего звена, которые имеют доступ к важной коммерческой
информации. Они злоупотребляют своими правами доступа и могут умышленно отсылать
засекреченные данные другим адресатам за вознаграждение или по другим причинам.

Шпионы.
Это сотрудники, которые специально нанимаются на работу в компанию с целью кражи информации за плату
со стороны конкурента

Чаще всего в роли шпионов выступают опытные компьютерные
специалисты, способные преодолеть некоторые ступени защиты данных. Кроме того, они
могут ликвидировать следы несанкционированного доступа, что затрудняет раскрытие
подобных утечек.

Обиженные. В эту категорию
относят работников, которые были уволены по инициативе работодателя и при уходе
с работы успели унести важную и/или конфиденциальную информацию. Позже они распространяют
ее за плату или безвозмездно в отместку за нанесенную обиду.

Удаленный контроль действий сотрудников

Предотвратить утечку информации по причине неосторожных или умышленных действий
сотрудников можно с помощью специальной утилиты –
Bitcop

Автоматизированная система контроля компьютеров и учета сотрудников отслеживает действия пользователей в корпоративной сети и предоставляет отчеты руководителю подразделения. Она повышает эффективность работы персонала и обеспечивает информационную безопасность.

Попробовать бесплатно

На российском рынке встречаются системы, позиционирующие себя как SIEM, однако вызывающие споры относительно принадлежности их к этому классу продукта. Что вы можете об этом сказать?

Павел Коростелев, старший менеджер по продукту компании «Код безопасности»

Павел Коростелев, старший менеджер по продукту компании «Код безопасности»:

«Производитель может позиционировать свой продукт так, как он считает нужным, в том числе, и как SIEM-систему. Так как критерии отнесения того или иного продукта к SIEM-системе достаточно расплывчаты, то рынок это позволяет. Но при этом, когда речь заходит о применении SIEM-системы по прямому назначению, то есть по сбору и централизованному анализу событий безопасности, выясняется, что продукты не отвечают серьезным требованиям в части производительности, инструментов анализа и так далее. Излишний оптимизм вендора может негативно сказаться на его продажах и бренде, так как у заказчиков может возникнуть вопрос: «А насколько корректно позиционирование других продуктов этого производителя?».

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:   

«Сложно сказать, у кого вызывает споры принадлежность российских SIEM-систем к этому классу. У меня лично таких сомнений нет. Да, российские SIEM-системы весьма молоды по сравнению с «грандами» этого сегмента. Однако они безусловно относятся к SIEM-системам: их задача заключается в том, чтобы путем импорта и анализа логов с конечных устройств, серверного и сетевого оборудования, а также анализа зеркалированного трафика выявлять инциденты ИБ. Другой вопрос, что дьявол кроется в деталях. Поэтому российские SIEM-системы, безусловно, отличаются как набором коннекторов к системам, так и возможностями анализа трафика на различных уровнях сетевой модели OSI, наличием Workflow для обработки инцидентов, наличием встроенного сканера уязвимостей и рядом других параметров. К интересным российским решениям я бы отнес, в частности, PT MaxPatrol SIEM и RuSiem».

Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ)

Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ):

«Если в целом разобрать аббревиатуру SIEM, то можно сказать, что это система управления событиями безопасности. Под управлением, в общем случае, понимается процесс сбора и обработки (нормализации, агрегации, корреляции) событий безопасности, поступающих из различных источников данных (средств защиты, элементов общей ИТ-инфраструктуры) для обеспечения возможности последующего реагирования на возникающие инциденты ИБ. Поэтому вполне вероятно, что некоторые производители могут трактовать термин в свою пользу, реализуя (либо давая возможность реализовать) лишь определенный пул операций управления

В любом случае, при выборе заказчики скорее опираются не на название класса, к которому относится та или иная система, а обращают внимание на конкретный функционал, который она может предоставить»

Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline

Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline:

«Действительно, на рынке присутствуют решения, которые не являются SIEM-системами, хоть и позиционируют себя так. Как правило, они предлагают заказчикам некую похожую функциональность — например, являются системами сбора и хранения событий, но не могут в режиме реального времени выявлять инциденты. С развитием SIEM, на сегодня системы характеризуются довольно конкретным набором инструментов, отсутствие хотя бы одного из которых уже вызывает вопросы — можно ли относить данный продукт к SIEM.

Основные инструменты, которые можно использовать как критерии:

1. Расследование. SIEM-система должна предоставлять возможность расследовать инцидент. Администратор в ежедневных задачах проводит анализ инцидентов, изучает логи, обращается к данным, которые предвещали событие. Анализ инцидента позволяет более точно принять меры по предотвращению.
2. Threat Intelligence. Каждая SIEM-система должна не просто получать информацию, но быть «умной» и обогащать события дополнительной информацией, которая сможет расширить аналитику событий ИБ.
3. Отчетность в SIEM позволяет визуально увидеть состояние ИБ организации, оценить изменения и предоставить данные для высшего руководства организации как эффективность работы службы ИБ».

Как выбрать между DLP и SIEM?

При выборе между DLP и SIEM необходимо учитывать конкретные потребности компании в области безопасности информации

DLP — это решение, которое уделяет внимание контролю за конфиденциальной информацией и предотвращает утечки данных с конечных точек. SIEM — это система, которая централизованно управляет логами безопасности для обнаружения и предотвращения инцидентов в реальном времени

Если критически важно защищать конфиденциальные данные, то DLP является оптимальным выбором, тогда как SIEM может быть наиболее эффективным инструментом для компании, которая имеет большое количество конечных точек и желает централизованного управления безопасностью информации. При выборе между DLP и SIEM, следует также учитывать бюджет компании, так как эти системы могут быть достаточно дорогими

Как правило, DLP стоит дороже, чем SIEM. Также стоит учитывать нужды сотрудников в обучении работе с этими системами, так как для использования DLP необходимо проводить более тщательную внутреннюю подготовку

При выборе между DLP и SIEM, следует также учитывать бюджет компании, так как эти системы могут быть достаточно дорогими. Как правило, DLP стоит дороже, чем SIEM. Также стоит учитывать нужды сотрудников в обучении работе с этими системами, так как для использования DLP необходимо проводить более тщательную внутреннюю подготовку.

В любом случае, выбор между DLP и SIEM должен основываться на тщательном анализе компании и ее индивидуальных потребностей в области безопасности данных. Также стоит обращаться к профессионалам в данной области, чтобы получить профессиональную консультацию и помощь в выборе наилучшего решения для компании.

What is IRM? – Information Rights Management

  This technology, within the scope of Data-Centric Security, enables a form of protection to be applied to files that travels with the files wherever they go. It is also known as E-DRM (Enterprise Digital Rights Management) or EIP&C (Enterprise Information Protection & Control).It makes it possible to monitor who accesses the files, when they do so, and whether anybody tries to access without permission, whether the files are inside or outside the organization. Permissions can also be restricted on documents (only Read, Edit, Print, Copy and Paste, etc.). You can revoke access to files in real time if you don’t want certain people to access them again.

When you send a document to someone, within 3 minutes it might have been printed, sent to 5 other people who in turn have sent it to 10 more and made changes to it. We only own the document at the time we create it, but once it is shared, the document ceases to have an owner and the recipient can do whatever they want with it. This is one of the problems that this technology tries to resolve: To ensure that a user continues to be the owner of the data regardless of who it has been shared with.

Bearing in mind how difficult it is to determine the perimeter of the corporate network, the IRM’s approach is to apply a layer of protection to the data that can be controlled even if it is no longer in the network, whether it is in a cloud, on a mobile device, etc.

If the data reaches someone it shouldn’t of whom you consider shouldn’t have access to it, you can revoke the access remotely. You can set expiry dates for documents. Give users more or fewer permissions in real time (Edit when before they could only Read, or restrict the permission to read-only if we don’t want them to edit or print).  

envío información sensible

An advantage of this type of solution is the ease with which it can be implemented allowing you to start using it efficiently from day one and enabling you to encrypt and control the sensitive data that the company manages internally or with third parties.

One of the main challenges of this technology making it easy for users to use so that they can manage protected data almost as if it were unprotected data. Also, making it compatible with the applications that users use on a regular basis, such as Office, Adobe, AutoCAD or making it compatible with the repositories of information that organizations usually use: File Servers, SharePoint, Office 365 Cloud applications, G-Suite, Box, etc.

Another challenge of IRM solutions is automatic protection. That is, the protection of data regardless of the user’s decision to do so. In this case, the automatic protection of folders on file servers, or document managers is especially useful.

Also in this regard, integration with a DLP tool can be very useful and provide the perfect combination.  

4) Инсайдерские атаки

Анализ информационной безопасности организаций всё чаще указывает на их собственных сотрудников, как на самую большую угрозу безопасности. Внутренний доступ, который имеют сотрудники, делает их способными нанести большой вред, если они решат злоупотребить своими привилегиями доступа для личной выгоды. Или же они могут случайно позволить злоумышленникам взломать свои учетные записи или попросту передать их злоумышленникам в результате фишинговых атак. Кроме того, сотрудники могут загрузить опасные вредоносные программы на свои рабочие станции совершенно не осознавая угрозы.

Будь то в результате преднамеренного совершения преступления или непреднамеренного несчастного случая, наибольшую угрозу информационной безопасности организации представляют сотрудники, ежедневно использующие сетевые ресурсы.

Почему инсайдерские атаки являются угрозой?

Причина, по которой инсайдерские атаки остаются одной из самых больших угроз информационной безопасности, наличие которой можно наблюдать год за годом, заключается в том, что они имеют огромный потенциал для нанесения ущерба. Один недовольный или неосторожный сотрудник может создать серьёзную брешь в системе безопасности вашей сети, допустить серьезное нарушение безопасности данных — их утечку или повреждение.

Особенно серьёзной этот вид угрозы информационной безопасности является из-за трудностей в предсказании и предотвращении, без тщательной подготовки это становится практически невыполнимой задачей.

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения. 
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери. 
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно. 

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует? 

Это могут быть: 

• малоквалифицированные студенты, 
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача. 

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Выявление причин инцидента безопасности

Анализ ситуации позволяет оценить риски и возможные последствия инцидента.

После того, как последствия события полностью устранены, обязательно проводится служебное расследование. Оно требует привлечения целой команды опытных специалистов, которые самостоятельно определяют порядок изучения фактов и особенностей произошедшего. Дополнительно используются всевозможные публичные отчеты, аналитические средства, потоки сведений обо всех угрозах, а также другие источники, которые могут пригодиться в процессе изучения конкретного кейса. Квалифицированные специалисты устраняют вредоносное программное обеспечение, закрывают возможные уязвимости и блокируют все попытки нелегитимного доступа.

По факту расследования составляют перечень мер, направленных на профилактику аналогичных кибератак. Дополнительно составляется список действий моментального реагирования в случае, если имело место проникновение вредоносного ПО в систему. Нужно провести обучение персонала фирмы для повышения киберграмотности.

Сетевые атаки: что стоит опасаться?

Сетевая атака — это попытка несанкционированного действия на компьютерную сеть или ее ресурсы с целью получения конфиденциальной информации, нарушения работы системы или проведения других вредоносных действий.

На сегодняшний день сетевые атаки являются одной из самых серьезных угроз в сфере информационной безопасности. Они могут привести к серьезным последствиям для компаний, организаций, государственных структур и отдельных пользователей.

Вот некоторые типы сетевых атак, на которые важно обратить внимание:

• DDoS-атаки — это атаки на сервер, направленные на его перегрузку огромным количеством запросов с целью временного или полного отключения работы сервиса. Это может привести к значительным финансовым потерям и потере репутации компании.
• Фишинг — это атака, которая основывается на обмане пользователей с целью получения их личных данных, таких как пароли, номера кредитных карт и другая конфиденциальная информация. Фишинг-схемы часто используют поддельные веб-сайты и электронные письма, имитирующие сообщения от известных организаций.
• Вредоносные программы — это программы, разработанные для получения несанкционированного доступа к компьютерным системам и вредоносных действий. Они могут устанавливаться через почту, веб-сайты, файлы, USB-флешки и другие источники. Вредоносные программы включают в себя вирусы, черви, трояны и шпионское ПО.
• Сниффинг — это метод перехвата и анализа сетевого трафика с целью получения конфиденциальной информации, такой как пароли, данные банковских карт и другая личная информация. Злоумышленник может использовать сниффинг для получения доступа к защищенным ресурсам или манипулирования данными передачи.

Для защиты от сетевых атак необходимо принять ряд мер:

1. Установить и поддерживать на компьютерах и сетевых устройствах актуальное антивирусное программное обеспечение.
2. Установить межсетевой экран (firewall), чтобы контролировать входящий и исходящий трафик, а также использовать VPN для защищенного соединения через открытую сеть.
3. Использовать сложные пароли для всех учетных записей, регулярно их менять и не использовать одинаковые пароли на разных ресурсах.
4. Обновлять программное обеспечение и операционные системы, чтобы устранить известные уязвимости и проблемы безопасности.
5. Проводить регулярные резервные копии важных данных, чтобы в случае атаки можно было восстановить информацию.
6. Обучать пользователей основам безопасности сети, чтобы они могли распознавать потенциальные угрозы и выполнять предписания безопасности.

Сетевые атаки — это реальная угроза, с которой сталкиваются компании и пользователи по всему миру. Понимание различных типов атак и применение соответствующих мер безопасности поможет снизить риск и защититься от потенциальных угроз.

How a SIEM system works

Setting up a SIEM system is more complicated than installing an IDS or IPS. Companies that use it typically have large networks. It needs access to many information sources. It can be deployed either on-premises or as a cloud service; modern systems are usually cloud-based for greater scalability.

Planning 

Before touching the software, IT management should establish a list of objectives. What information needs the highest priority for protection? What policies should the system follow? Who should have access to the generated information? In brief, what results are expected?

The planning stage includes building a complete network inventory. Knowing all the places that have Internet access or hold important information is a requirement, or the system will have blind spots.

Configuration 

The planning stage leads to concrete configuration decisions. What information sources should SIEM have access to? How should alert thresholds be set? How should people be notified? What information should the dashboard present?

What needs reporting is a matter of policy and judgment. Compliance with privacy and security standards, such as HIPAA and GDPR, is very important when they apply. Rules can be set up to catch laxness in protecting information. Guarding against situations that can’t happen only overloads the system or triggers false alarms; for instance, attacks based on Drupal-specific vulnerabilities are of no concern if you never use Drupal.

A tricky question is how much should remediation be automated. An automated response can deal with a threat faster than people can. It reduces the damage and lets the staff focus on the more difficult issues. However, it might have unwanted effects that a nuanced human response could avoid. Disabling an account or quarantining a system in response to a false positive annoys the people affected and hurts productivity. Relying too much on automation could make IT staff complacent.

The inputs to SIEM come in different formats. It will need input agents and adapters, including custom scripts in some cases. Giving it access to a rich set of information without creating risks is a security challenge in itself. SIEM is not just another software installation, but a task in which security experts must take an active role.

SIEM should be integrated with a threat intelligence source. That way, it will receive regularly updated data on current threats and adapt its algorithms to catch them. New threats constantly appear, and old ones take new forms. Without regular threat intelligence updates, a network is vulnerable to the latest hostile innovations.

Working with a SIEM system

People need to be assigned roles. The best results come from having a security operations center (SOC) with analysts and engineers who have strong data security skills. The SOC can be outsourced, but it needs contacts in the IT department who can make informed decisions. Roles of responsibility need to be established so that everyone will know exactly what is expected.

The human element is essential to success. IDS, IPS, and SIEM need constant attention. The administrators who manage them will have to adjust the settings as they gain experience and the situation changes. New systems need to be integrated with the set of information sources. Alert thresholds may need raising or lowering.

The status reports that the system issues are as important as the alerts. They identify areas that need improvement and risks that should be corrected.

The relevance of SIEM reports depends on the quality of the data it receives. Logs will need adjustment over time to provide more relevant information and less noise. The configuration needs regular attention to produce good results.

The network will change over time. New machines and services need to be integrated into SIEM’s set of information sources. Log output may change with new application releases, requiring adjustments to their connections.

Many businesses find that using a managed security services provider (MSSP) is the best way to manage a SIEM system. It ensures that updates will happen regularly and alerts will get the attention they need. It can maintain a SOC more cost-effectively than most businesses can. However, the IT department needs to make sure that the MSSP stays abreast of changes in the network and that its practices match company policies.