Сбор и анализ данных о событиях безопасности в крупных корпоративных сетях

Abstract

С каждым годом компьютерные сети становятся сложнее, что напрямую влияет на обеспечение высокого уровня защиты информации. Различные коммерческие сервисы, критические системы и информационные ресурсы, преобладающие в таких сетях, являются выгодными целями для террористов, кибершпионов и криминальных элементов. Последствия варьируются от кражи стратегической, высоко ценимой интеллектуальной собственности и прямых финансовых потерь до значительного ущерба бренду и доверию клиентов. Нарушители имеют преимущество – в сложных компьютерных сетях им легче скрыть свои следы. На сегодняшний день обнаружение и идентификация инцидентов безопасности является одной из самых важных и сложно реализуемых задач. Возникает необходимость обнаружить инциденты безопасности как можно скорее, анализировать и правильно среагировать на них, чтобы не затруднить работу компьютерной сети организации. Сложность заключается в том, что разные источники событий предлагают разный формат данных или могут дублировать событие. Также некоторые события сами по себе не указывают на какие-либо проблемы, однако их определенная последовательность может означать наличие инцидента безопасности. Все процессы сбора должны выполняться в режиме реального времени, что подразумевает потоковую обработку данных. Every year computer networks become more complex, which directly affects the provision of a high level of information security. Different commercial services, critical systems and information resources prevailing in such networks are profitable targets for terrorists, cyber-spies and criminal elements. The consequences range from the theft of strategic, highly valued intellectual property and direct financial losses to significant damage to brand and customer trust. Attackers have the advantage in complex computer networks – it is easier to hide their tracks. The detection and identification of security incidents are one of the most important and difficult tasks. There is a need to detect security incidents as soon as possible, to analyze and respond to them correctly, so as not to complicate the work of the enterprise computer network. The difficulty is that different event sources offer different data formats or can duplicate events. Also, some events themselves do not indicate any problems, but their sequence may indicate the presence of a security incident. All collection processes must be performed in real time, which means streaming data processing.