|
2.2. Xavfsizlik hodisalarining korrelyatsiya bosqichlarining ko'p darajali ierarxiyasi
Axborot xavfsizligini ta'minlash turli tashkilotlar uchun muhim vazifadir. Ushbu noyob vazifani bajarish muhim moliyaviy va mehnat xarajatlarini talab qiladi. Axborotni himoya qilish tizimi yetarli darajada tez va samarali harakat qilmasa, bu xarajatlar behuda ketganligini tushunish muhimdir. Shuning uchun, so'nggi paytlarda IBS hodisalarini monitoring qilish muammosi (bundan buyon matnda – hodisalar), shuningdek, yuzaga keladigan axborot xavfsizligi insidentlarini minimal vaqt ichida aniqlash va qayta ishlash dolzarb bo'lib qolmoqda.
Ushbu sohadagi asosiy tushunchalar "Axborot xavfsizligi insidenti" bo'lib, ular uchun zamonaviy qonunchilikda quyidagi ta'rif qabul qilinadi:
Insident - xavfsizlik choralarini rad etish yoki xavfsizlikka tegishli bo'lishi mumkin bo'lgan noma'lum vaziyatning paydo bo'lishi mumkin bo'lgan buzilishlarni ko'rsatadigan tizim, xizmat yoki tarmoqning ma'lum bir holatining identifikatsiyalangan ko'rinishi.
Insidentlar monitoringi turli manbalardan olingan ma'lumotlar asosida amalga oshiriladi:
* IDS / IPS tizimlari;
* antivirusni himoya qilish vositalari;
* Hodisalar jurnallari;
* xavfsizlik kamomadi skanerlari;
* DLP tizimlari,
* tarmoq uskunalari;
• boshqa manbalar.
Hodisalar manbalari soni tashkilotning o'sishi bilan, ya'ni serverlar soni, avtomatlashtirilgan ish joylari, tarmoq uskunalari va boshqa infratuzilma ob'ektlarining o'sishi bilan ortadi. Turli manbalardan olingan ma'lumotlar alohida saqlanadi, turli formatlarga ega va natijada ular bir-biriga bog'liq emas. Katta tashkilotlar uchun monitoring uchun mas'ul bo'linmaning cheklangan xodimlari tomonidan bunday hodisalar oqimini tez va samarali bajarish qiyin. Bu hodisalarni tahlil qilishning past darajasi, uning sifati va hodisaning alomatlari bo'lgan hodisalar o'rtasidagi munosabatlarning yo'qligi bilan namoyon bo'ladi.
Insidentlarni kuzatish muammolari hodisani aniqlashga salbiy ta'sir ko'rsatadi.
Insident - bu biznes operatsiyalarini buzish va axborot xavfsizligiga tahdid yaratish ehtimoli bilan bog'liq bo'lgan bir yoki bir nechta istalmagan yoki kutilmagan hodisalarning sodir bo'lishi.
Insident - bu operatsiyalar yoki axborot xavfsizligini buzishi mumkin bo'lgan har qanday kutilmagan yoki istalmagan hodisa.
Insident - bu axborot xavfsizligiga tahdidning amalga oshirilgan, davom etayotgan yoki ehtimoliy amalga oshirilishini ko'rsatadigan hodisa yoki hodisalar kombinatsiyasi.
Ko'p manbalardan olingan Hodisalar to'g'risidagi ma'lumotlarni markazsizlashtirish sharoitida hodisani aniqlash qiyin va har doim ham hal etilmaydigan vazifaga aylanadi. Hodisa aniqlangandan so'ng, zarar ko'rgan aktivlarni aniqlash, hodisaning sabablarini tushunish, uning jiddiyligini, ustuvorligini baholash va javob choralarini ko'rish kerak. Ushbu operatsiyalarni bajarayotganda, ijrochilar ko'pincha axborot manbalarini parchalash muammosiga duch kelishadi. Bu noto'g'ri javob yoki uning yo'qligida namoyon bo'ladi, bu esa tashkilot uchun yo'qotishlarga olib keladi.
SIEM tizimi yuqoridagi muammolardan qochadi. Turli manbalardan ma'lumotlarni to'plash va saqlash, kiruvchi hodisalarni tahlil qilish, ularni o'zaro bog'lash va qoidalarga muvofiq qayta ishlash, hodisalarni aniqlash, ularga ustuvorlik berish va avtomatik ravishda ogohlantirish muammolarini hal qiladi. Bundan tashqari, SIEM tizimlari ko'pincha muvofiqlikni tekshirish imkoniyatiga ega.
SIEM tizimlarining tipik tuzilishi:
• agentlar axborot tizimiga o'rnatiladi va undan ma'lumotlarni serverga uzatadi, agentlar ma'lumotlarni konvertatsiya qilish uchun modullarni o'z ichiga olishi mumkin;
• server-kollektor – bir nechta manbalardan hodisalarni to'playdi;
• server-korrelyator – kollektorlar va agentlardan ma’lumotlarni yig‘adi va qayta ishlaydi;
• ma'lumotlar bazasi serveri - hodisalar jurnallarini saqlaydi.
SIEM tizimi agentlar va kollektor serverlar yordamida turli manbalardan ma'lumotlarni markazlashtirilgan ma'lumotlar omboriga to'playdi, bu esa hodisalarni keyinchalik bir butun sifatida tahlil qilish imkonini beradi. Shuningdek, u hodisalarni tahlil qilish vositalarining turli xil va aksariyat hollarda nazoratsiz konfiguratsiyasidan qochadi. Tizimning bunday qurilishining salbiy tomoni tashkilot tarmog'idagi yukning oshishi hisoblanadi.
Ma'lumot yig'ilgandan so'ng, SIEM tizimi hodisani aniqlash uchun zarur bo'lgan axborot xavfsizligi insidentlarini tahlil qilishni boshlaydi. Buning uchun korrelyatsiyaning ikkita asosiy usuli qo'llaniladi: imzoga asoslangan (ya'ni, qoidalarga asoslangan) va imzosiz, bu axborot tizimining anomal xatti-harakatlarini belgilaydi. Tahlil natijalariga ko'ra, SIEM tizimi aniqlangan axborot xavfsizligi insidentlarini ko'rsatadi.
SIEM tizimi muayyan tashkilotda o'z vazifalarini samarali bajarishi uchun korrelyatsiya mexanizmlarining to'g'ri konfiguratsiyasi va ularni doimiy ravishda o'zgartirish talab qilinadi. Natijada, SIEM tizimlari, ayniqsa, statistik ma'lumotlarni to'plashni talab qiluvchi imzosiz korrelyatsiya usullaridan foydalanganda, uni amalga oshirishdan ancha kechroq to'lashni boshlaydi. Qoidaga ko'ra, tashkilotning SIEM tizimini tashkil etish bilan maxsus kurslarni tugatgan va ushbu sohada ma'lum tajribaga ega bo'lgan mutaxassis shug'ullanadi.
Tashkilot aktivlarining tanqidiyligi va tahdidlar xavfi to'g'risidagi ma'lumotlarga asoslangan hodisalarni kuzatish va hodisalarni aniqlashning asosiy vazifasiga qo'shimcha ravishda, SIEM tizimlari insidentlarga ustuvorlik berishi, Hodisa to'g'risida avtomatik ravishda xabardor qilishi, zudlik bilan javob berish uchun oldindan tayyorlangan tavsiyalar berishi mumkin. Hodisa va hodisa ma'lumotlarini keyingi tergov uchun saqlash.
Integratsiyalashgan axborot xavfsizligi tizimini yaratishda SIEM tizimidan foydalanish majburiy emas va ko'p hollarda bu amaliy emas. Bunday tizimlarning asosiy mijozlari axborot xavfsizligini doimiy monitoringini va tegishli hodisalarni qayd qilishni talab qiladigan yirik tashkilotlardir.
Do'stlaringiz bilan baham: |
