 monitoring.jpg)
 monitoring.jpg)
Мониторинг информационной безопасности (ИБ)
В этом материале мы разберем, что такое мониторинг информационной безопасности, зачем он нужен и что нужно знать перед тем, как внедрять его.
Понятие мониторинга информационной безопасности
Информационная безопасность (далее — ИБ) — состояние информационной системы, при котором обеспечены целостность, доступность и конфиденциальность данных.
ИБ-мониторинг — это постоянный, непрерывный процесс, направленный на поиск, регистрацию ИБ-событий и других данных с целью выявления нарушений, угроз и уязвимостей внутри информационных и автоматизированных систем.
Важно понимать: полностью устранить риски и ИБ-угрозы невозможно. При этом внедрение мониторинговых систем позволяет существенно сократить вероятность ИБ-нарушений.
В Российской Федерации вопросы ИБ-мониторинга описаны в ГОСТе Р 59547-2021.
Источники и виды событий в мониторинге ИБ
Событие безопасности — это любая ситуация, указывающая на нарушение или просто значимая для ИБ-состояния организации. События безопасности фиксируются в информационных системах (далее — ИС), автоматизированных системах управления (АСУ), телекоммуникационных сетях и оборудовании, коммуникационных, прикладных и иных сервисах.
Согласно ГОСТ Р 59547-2021, возможными источниками данных о событиях могут быть:
- программно-технические средства;
- средства защиты данных;
- среда, в которой функционирует АСУ или ИС;
- оператор данных и проч.
ИБ-событием можно назвать запуск или остановку ПО, подключение внешнего носителя, установку или удаление ПО, изменение локальных политик безопасности и иные.
Некоторые ИБ-события перерастут в инциденты.
Мониторинг угроз и управление инцидентами
ИБ-инциденты — это события, которые представляют угрозу для информационной безопасности.
Угроза — это происшествие, состояние, действие или бездействие, которые могут привести к несанкционированному доступу к информации, ее изменению или уничтожению.
В Банке данных угроз ФСТЭК есть описание 227 угроз, в их числе подмена программного обеспечения, физическое устаревание аппаратных компонентов, преодоление физической защиты и множество иных. Реализация угрозы приводит к инциденту.
Можно выделить следующие виды инцидентов:
- нарушения правил безопасности пользователями;
- ошибки пользователей, например, передача паролей, случайная отправка конфиденциальной информации не тем адресатам;
- несанкционированные изменения конфигурации;
- несанкционированная передача доступов;
- различные сбои, ошибки в работе программного-технических средств;
- утеря устройств, носителей.
Задачи ИБ-мониторинга
Настройка системы мониторинга начинается с определения информационных активов, которые нуждаются в защите: финансовых данных, персональной информации, клиентской базы и так далее. После классификации данных необходимо провести и оценку возможных угроз — от внешних атак до внутренних инцидентов. Это позволяет задать описание показателей эффективности: времени реакции, количество событий, уровни критичности.
В норме система ИБ-мониторинга должна решать следующие задачи.
Задача 1: сбор данных об ИБ-событиях внутри информационной системы, первичная обработка
Сбор данных может быть агентным — через установку специального ПО на конечные устройства — и безагентным — через получение данных по сети. Также данные можно собирать через инструментальные средства и даже опросные листы.
Задача 2: выявление нарушений и аномалий
Основной вопрос — какое событие безопасности можно назвать нарушением. Необходимо предварительно сформировать перечень событий, которые несут угрозу ИС организации и ее данным.
Задача 3: оперативное оповещение уполномоченных
Оперативное оповещение ИБ-сотрудников позволит быстро реагировать на инциденты, ликвидировать их последствия и восстанавливать работу ИС. Наиболее простой метод — настройка автоматических оповещений через мессенджеры.
Задача 4: анализ инцидентов
Данные об инцидентах безопасности необходимо собирать и анализировать для коррекции настроек ИС, устранения уязвимостей и оптимизации ИБ-процессов.
Задача 5: отчетность
На основе данных анализа Многие системы формируют отчеты автоматически.
Задача 6: аудит системы защиты данных
Аудит систем необходимо проводить один раз в шесть месяцев, чтобы корректировать настройки, обновлять ПО и актуализировать список возможных угроз.
Система мониторинга: архитектура и компоненты
Системы мониторинга событий информационной безопасности — это комплекс программных решений, предназначенные для сбора, обработки, анализа и хранения информации о ИБ-событиях. Системы ИБ-мониторинга, как правило, состоят сразу из нескольких инструментов.
Выбор таких инструментов зависит от сложности ИС и, конечно, бюджета, который организация готова выделить на покупку и интеграцию программно-технических средств.
SIEM — ядро событийного мониторинга
Задача SIEM-систем — непрерывное наблюдение, сбор и анализ событий, выявление закономерностей и аномалий. Внедрение SIEM позволяет:
- постоянно собирать данные из разных источников, включая серверы, сетевые устройства, базы данных и проч.;
- выявлять подозрительную активность или сложные взаимосвязи, которые могут указывать на внедрение в ИС;
- анализировать собранные данные для поиска уязвимостей в ИС.
IDS и IPS — обнаружение и предотвращение атак
Системы обнаружения и предотвращения вторжений позволяют оперативно обнаруживать и ликвидировать ИБ-угрозы. IDS-системы выявляют возможные инциденты, а IPS не только выявляют, но и автоматически реагируют.
EDR и XDR — защита на уровне конечных точек
EDR и XDR — это средства защиты конечных точек. EDR собирают данные с рабочих станций (компьютеров и ноутбуков) и мобильных устройств, анализируют, выявляют закономерности, указывающие на возможную атаку, и оповещают уполномоченных. EDR-средства, безусловно, полезны, при этом имеют недостатки: их дорого, долго и сложно настраивать, для обслуживания таких систем нужны квалифицированные ИБ-специалисты, которых, как показывает практика, на рынке критически мало.
XDR — новейшее решение. XDR могут собирать телеметрию безопасности из различных источников, включая конечные точки, облачные хранилища, сети и электронную почту.
NDR — обнаружение сетевых аномалий
NDR — средство, направленное на обнаружение киберугроз и оперативное реагирование: защиту от утечек данных, от направленных атак и атак нулевого дня, выявление теневых ИТ-ресурсов и неконтролируемых точек доступа в сеть, поиск угроз и выявление корреляций между ИБ-событиями.
NDR часто используются для защиты:
- специфических или устаревших ОС, на которые невозможно установить агенты;
- и устройств интернета вещей, АСУ и проч.
NDR могут интегрироваться с другими системами: NGFW, NAC, SOAR, EDR.
SOAR и автоматизация реагирования
Задача SOAR — автоматизация и координация процессов реагирования на ИБ-инциденты. SOAR-системы собирают данные из различных источников, анализируют их, автоматизируют типовые операции и формируют отчеты.
SOAR агрегируют информацию о киберугрозах из SIEM, антивирусных решений, средств управления уязвимостями и других источников.
DLP-системы — предотвращение утечек данных по вине внутреннего пользователя
DLP перехватывают данные с компьютеров, на которых установлены агенты. Перехваченная информация автоматически анализируются на предмет нарушений и подозрительного поведения. Некоторые DLP-системы могут автоматически блокировать нежелательные операции с документами и файлами.
Средства для предотвращения утечек DLP направлены на сокращение влияния человеческого фактора на информационную безопасность. При этом отчеты, которые формируют DLP, могут решать задачи мониторинга.
Организация мониторинга в компании
Система интегрируется в существующую IT-структуру организации и подключается к серверам, программным средствам, сетевым устройствам, базам данных, облачным хранилищам. Каждый элемент ИС предоставляет свои данные: сервера — входы, маршрутизаторы — сбои в трафике, СУБД — несанкционированные запросы.
Система ИБ-мониторинга должна быть:
- масштабируемой — для расширения в случае роста компании, создания филиалов, увеличения числа сотрудников;
- адаптивной — для возможности адаптироваться к новым ИБ-угрозам;
- многопараметричной — для интеграции в архитектуру управления и обеспечения охвата всех ключевых компонентов IT-структуры;
- всеобъемлющей — для сбора данных о событиях из всех компонентов системы;
- доступной — предусматривать получение данных, необходимых для идентификации нарушений, угроз и уязвимостей в соответствии с установленными требованиями;
- точной — предоставлять достоверные, неискаженные данные в соответствии с установленными требованиями.
Настройка правил, корреляций и уведомлений
При настройке правил безопасности мониторинга важно учитывать: слишком простые правила дадут огромное число ложных сработок, которые придется обрабатывать вручную. Настраивая слишком сложные правила, наоборот, можно пропустить ИБ-событие, указывающее на инцидент.
При организации мониторинга в компании важно:
- Определить, какое событие является критическим: взлом, внедрение, эксфильтрация конфиденциальных данных.
- Настроить фильтры таким образом, чтобы исключить малозначимые события.
- Настроить оповещения, чтобы уполномоченные специалисты оперативно получали уведомления о событиях и инцидентах. Так, в некоторых программных средствах поддерживается возможность настройки уведомлений через мессенджеры.
- Проводить мероприятия, направленные на повышение осведомленности персонала в вопросах кибербезопасности.
Тщательно настроив правила, можно автоматизировать рутинные задачи и существенно сократить нагрузку на ИБ-специалистов.
После настройки правил необходимо провести обучение персонала: научить правильно читать отчеты систем, классифицировать события по степени критичности, разработать планы реагирования на каждый конкретный инцидент. Также немаловажно проинструктировать персонал, как корректировать настройки систем мониторинга при внедрении новых программно-технических средств и других методов защиты, установке обновлений и даже при изменениях в законодательстве.
Нельзя забывать о предварительном тестировании и оптимизации. В ходе тестирования важно разобраться, насколько быстро и правильно система собирает данные о событиях, насколько точно выявляются угрозы, получают ли ответственные специалисты уведомления. На основе проведенного теста корректируются настройки, оптимизируются процессы, выявляются и устраняются слабые места.
Заключение
Как показывает новостная сводка сегодня, один инцидент информационной безопасности может стоить компании денег, репутации, клиентов — или всего и сразу. Утечка, уничтожение или искажение ценных данных в отдельных ситуациях может привести бизнес к банкротству, владельцев информации — к огромным штрафам и уголовному преследованию.
Именно поэтому для обеспечения информационной безопасности важно использовать проактивный, а не реактивный подход.
Внедрение средств мониторинга позволяет действовать превентивно, выявляя угрозы до того, как они нанесут непоправимый вред интересам организации.
Кроме того, согласно приказу ФСТЭК России № 117, с 1 марта 2026 года все организации, связанные с государственным управлением, помимо прочего будут обязаны регистрировать события безопасности.
При этом, ИБ-мониторинг— это не разовая задача, а непрерывный, постоянный процесс. Системы необходимо обновлять и оптимизировать под постоянно возникающие угрозы, специалистов — обучать, а настройки корректировать.