ИТ-портал компании «Инфосистемы Джет»

Специфика внедрения SOC

Специфика внедрения SOC

Некоторыми аспектами специфики внедрения с нами поделились эксперты компании «Инфосистемы Джет». Специалисты не только рассказали об основных трудностях при внедрении продуктов SOC, но и, опираясь на свой опыт, дали советы, как их избежать и главное, как использовать технологии SOC максимально эффективно.

Продукты класса Imperva и IBM Guardium бесспорно обладают довольно широким функционалом, однако для успешного внедрения необходимо приложить немало усилий по подготовке инфраструктуры и внутренних процедур заказчика. В нашей практике мы довольно часто сталкиваемся с ситуациями, когда подготовка и настройка информационных систем к внедрению продуктов Imperva или Guardium происходит уже на стадии внедрения, а не перед ним.

Зачастую заказчик не особенно хорошо представляет себе, где хранятся защищаемые данные, что именно необходимо защищать и каких пользователей контролировать.

Важный аспект успешности внедрения и дальнейшего функционирования продуктов класса Imperva и IBM Guardium касается агентов, контролирующих трафик с серверов баз данных. У заказчика вполне обоснованно возникают серьезные опасения, связанные с влиянием агентов на работу и производительность промышленных серверов СУБД. Поэтому до начала внедрения производится предварительное длительное функциональное и нагрузочное тестирование на непромышленных серверах. Стоит отметить, что чем тщательнее будет осуществлена данная проверка, тем меньше вероятность возникновения неожиданных ситуаций в процессе внедрения и эксплуатации.

Еще одна особенность, которая требует пристального внимания – это тщательное составление и тестирование политики безопасности. Нужно понимать: что именно необходимо контролировать, каких целей и задач необходимо достичь в результате внедрения. В следствие этого возникают избыточные правила фильтрации трафика и реагирования на события, что в свою очередь приводит к появлению большого количества ложных срабатываний. Избежать всех этих трудностей поможет тщательная подготовка к внедрению. Мы рекомендуем, прежде всего, провести анализ и корректировку текущих политик безопасности и доступов к информации, спланировать тестирование продукта, пройти краткий курс обучения и только затем приступать к внедрению. При этом внедрение следует производить поэтапно, сначала покрывать критичные системы, а затем подключать к системе менее важные базы данных и контроль непривилегированных пользователей.

В первую очередь, необходимо контролировать доступ подозрительных пользователей к критичным для бизнеса объектам. Если доступ к критичным объектам осуществляется через приложение – с большой долей вероятности это один пользователь базы данных, в этом случае желательно отслеживать действия к данным объектам и всех остальных пользователей. Безусловно, основную угрозу несут привилегированные пользователи, администраторы баз данных. Их активность необходимо тщательно регистрировать и расследовать в связи с наличием у них практически неограниченного доступа к любой информации в базах данных.

Безусловным плюсом при внедрении таких продуктов, как Imperva и Guardium, может стать интеграция их с SIEM-системами как ArcSight ESM или RSA enVision. С одной стороны, Imperva и Guardium позволяют довольно гибко создавать необходимые отчеты, которые вполне удобны в использовании.

С другой – анализировать инциденты для заказчика с большим количеством различных систем, как показывает практика, удобнее в центральной консоли SIEM-продукта. Это позволяет проводить корреляцию событий и выявлять инциденты гораздо быстрее и эффективнее. Вероятнее всего, заказчик будет недоволен удобством использования отдельно стоящей системы с непривычным и глубоко техническим описанием инцидентов ИБ.

Если говорить о наиболее востребованных и полезных отчетах, в первую очередь, я бы предложил выводить в отчетах информацию о несанкционированных доступах пользователей к бизнес-критичным объектам. Для этого необходимо отслеживать появление новых ролей и прав на эти объекты. Кроме того, желательно отслеживать создание представлений на основе объектов, поскольку, скорее всего, такое представление не будет контролироваться администратором по безопасности.

Несмотря на широкий функционал продуктов Imperva и Guardium, в них существуют свои особенности. Могу отметить несколько пожеланий на пути «к совершенству». Так в продуктах Imperva хотелось бы иметь настраиваемый механизм корреляции событий информационной безопасности и возможность изменять интерфейс в зависимости от потребностей. В настоящий момент возможно только изменение цвета интерфейса. В продукте IBM Guardium можно было бы усовершенствовать интерфейс, сделать его более дружественным для нетехнических специалистов. Также хотелось бы получить более открытую архитектуру продукта (в настоящее время полный административный доступ к консоли устройств Guardium имеет только техническая поддержка IBM).

Несмотря на вышесказанные пожелания, хочу отметить комфортную работу с данными продуктами. В целом, я доволен решениями класса Imperva и IBM Guardium. Более того, в своей практике я не сталкивался с задачами, которые нельзя было бы решить с их помощью.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su