Системы управления информационной безопасностью
Для того чтобы избежать описанных проблем, необходима эффективная система управления информационной безопасности (Security Information Management System, SIMS), которая позволяет все используемые защитные средства объединить в единый управляемый комплекс. Такая система:
- унифицирует управление разнородными средствами в единых терминах политики безопасности
- уменьшает временные и финансовые затраты на изучение разных консолей управления
- позволяет эффективно обновлять все управляемые средства защиты
- группирует все защищаемые ресурсы по различным признакам с целью фокусировки внимания на необходимых в данный моментах узлах
- фильтровать события с целью устранения "шумовых" данных и снижения нагрузки на администратора безопасности
- позволяет коррелировать данных от разнородных средств защиты с целью снижения числа ложных срабатываний и оповещения о реально происходящих нарушениях политики безопасности.
Использование таких систем позволяет ответить на множество вопросов, постоянно возникающих в процессе обеспечения информационной безопасности, например:
- Уязвим ли атакуемый узел к зафиксированной атаке?
- Нанесла ли атака ущерб ресурсам моей сети?
- Заблокировал ли установленный на атакуемом узле агент системы защиты зафиксированную атаку?
- Какая система атакуется в данный момент?
- Какие узлы моей сети являются источниками атак?
Эффективная система управления информационной безопасностью должна, помимо всего прочего, поддерживать 4 основных механизма управления событиями:
- Консолидация (event consolidation).
- Агрегирование (event aggregation).
- Корреляция (event correlation).
- Приоритезация (event prioritization).