Система управления инцидентами безопасности и корреляции событий (SIEM) с применением технологий искусственного интеллекта

администраторам ИБ ограничиваться встроенными средствами обеспечения ИБ – требуется средство консолидации всех событий ИБ в одном инструменте
Распространение целевых атак требует новых методов обнаружения инцидентов ИБ
Информацию о событиях и инцидентах ИБ требуется хранить и иметь возможность оперативного доступа для ее анализа – требуется система с поддержкой горизонтального масштабирования
Большой объем поступающих данных за момент времени может быть оперативно обработан только системой с мощным корреляционным механизмом
Своевременное выявление новых угроз информационной безопасности, целенаправленных атак и оперативное реагирование на них.

Современные большие АСУ требуют новых подходов к системе безопасности

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

для:
Своевременного выявления новых угроз информационной безопасности и целенаправленных атак
Сбора и накопления большого количества событий информационной безопасности с разнородных источников
Глубокого анализа обстановки в ИТ-инфраструктуре
Выявления аномального поведения пользователей за счет машинного обучения Системы и принятия решения о реагировании на возникающие угрозы информационной безопасности

РТИ разработало СУИБиКС для поддержки работы больших АСУ

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

система с поддержкой кластеризации, горизонтального масштабирования и анализа данных, интегрированная с разнородными средствами защиты информации.

СУИБ и КС - единая система, позволяющая расследовать инциденты и оперативно реагировать на угрозы ИБ

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

Обнаружение и расследование инцидентов ИБ

Мониторинг событий ИБ

Система управления инцидентами безопасности и корреляции событий

Защита от новых угроз ИБ и целевых атак

АРМ и сервера

Сетевое оборудование

АПМДЗ и антивирусы

ИПТК Капитан

ПО обнаружения вторжений

Датчики целевых атак

Анализ больших данных ИБ

(ИИ) – это ПО, способное интерпретировать события безопасности, распознавать происходящие в ней аномалии и самостоятельно реагировать на возникающие новые угрозы информационной безопасности и целенаправленные атаки.

SIEM-система и технологии искусственного интеллекта

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

ИИ не может заменить аналитиков (экспертов) по информационной безопасности, но его преимущества неоспоримы:
ИИ особенно хорошо справляется с распознаванием закономерностей и аномалий
ИИ функционирует с использованием машинного обучения, которое позволяет SIEM-системе анализировать огромные объемы данных и делать соответствующие выводы для выявления аномалий поведения пользователей
ИИ совершенствуется по мере роста объема получаемых данных. При накоплении достаточно больших срезов данных Система способна обнаруживать очень ранние признаки появления новых угроз информационной безопасности и целенаправленных атак
SIEM-система всегда обучается и никогда не забывает, поэтому чем больше она собирает информации, тем становится более интеллектуальной

регистрацию, аутентификацию, контроль целостности передаваемых данных и категоризацию событий ИБ
Сервис анализа данных обеспечивает вычисление количественных метрик событий ИБ, осуществляет обнаружение инцидентов ИБ и аномалий поведения пользователей. Корреляция событий ИБ производится двумя независимыми механизмами. Первый механизм – rule-based корреляция в режиме реального времени. Второй - статистический детектор аномалий
Веб-интерфейс – основной инструмент для администратора безопасности. Обеспечиваются функции просмотра и поиска событий ИБ, инцидентов, управление расследованием инцидентов, настройка правил корреляции, построение отчетов

Архитектура SIEM

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

Поддерживаются следующие типы источников событий ИБ:
Текстовый файл;
Журнал событий Windows;
Syslog;
SNMP;
СУБД SQL;
Netflow;
Мониторинг файлов на сетевых ресурсов

60% узлов, отвечающих за сбор и хранение событий и инцидентов ИБ.
На схеме приведена архитектура SIEM с тройным резервированием и двукратным масштабированием хранилища данных.

стр.

Система управления инцидентами безопасности и корреляции событий (SIEM)
с применением технологий искусственного интеллекта

Тройное резервирование информации о событиях и инцидентах ИБ позволяет не только сохранить данные, но и увеличить производительность анализа инцидентов ИБ до трех раз

искусственного интеллекта