Контакты
Подписка
МЕНЮ
Контакты
Подписка

SI – новая аббревиатура в ИБ

SI – новая аббревиатура в ИБ

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

SI – новая аббревиатура в ИБ

"Видеть и делать новое – очень большое удовольствие..." Вольтер
Вольтер
За последние год – полтора в ИБ-сообществе практически прижилось понятие Security Intelligence (SI). Поверхностный анализ его употребления показывает, что чаще всего оно упоминается производителями систем обеспечения ИБ. Но при этом оказывается, что единого толкования термин пока не имеет. Что же все-таки кроется за этим понятием? Станет ли аббревиатура SI столь же привычной для специалистов в области ИБ, как, например, SIEM, DLP и другие? А если да, то что Security Intelligence им даст?
Анна Костина
Руководитель направления систем управления безопасностью
Центра информационной безопасности компании “Инфосистемы Джет"

Security Intelligence весьма созвучно с давно устоявшимся понятием Business Intelligence, которое подразумевает инструменты и технологии сбора и преобразования данных из разнородных источников в значимую и полезную для целей бизнес-анализа информацию. Можно сделать вывод, что понятие SI также касается анализа данных, но уже в сфере безопасности. За счет возникновения все новых угроз стандартный набор систем обеспечения ИБ ежегодно увеличивается. Поэтому в сфере ИБ нет недостатка в данных, которые нужно анализировать.

Взгляд, устремленный вглубь или все-таки вширь?

С течением времени (как это было с DLP, SIEM и др.) понятие Security Intelligence окончательно сформируется. Уже сейчас очевидно, что задач в области аналитики ИБ много, а значит, в ответ на эти вызовы будут развиваться аналитические системы, и аббревиатура SI прочно войдет в обиход специалистов в области информационной безопасности.

По сути, данные можно анализировать в двух направлениях: вглубь и вширь. В первом варианте анализируются более детальные данные от систем обеспечения ИБ, причинно-следственные связи и взаимосвязи между событиями, уязвимости, которые привели к реализации событий ИБ. И здесь обычно речь идет о технических данных. В этом случае самый подходящий источник данных для анализа – системы мониторинга событий ИБ (SIEM). В них, как правило, уже подключены имеющиеся элементы инфраструктуры, имеющиеся системы обеспечения ИБ. И дело только за более детальной обработкой данных, поступающих в SIEM. И действительно, производители SIEM начали добавлять сочетание Security Intelligence к названиям своих продуктов, наделив свои SIEM дополнительными аналитическими функциями. А основные потребители таких данных, безусловно, – аналитики в области ИБ.

Если говорить об анализе данных вширь, то тут, в отличие от предыдущего примера, можно попытаться удовлетворить потребности руководителей ИБ-подразделений, а не только ИБ-аналитиков. Все те же данные, поступающие от систем обеспечения ИБ, можно анализировать не на техническом уровне, а в совокупности и более высокоуровнево. Что необходимо, например, при оценке эффективности тех или иных проведенных мероприятий или при отслеживании как трендов и изменений в состоянии ИБ внутри, так и изменений внешних угроз? Или, как вариант, при анализе ситуации и состояния ИБ в филиалах при территориально распределенной структуре или оценке достижения целей изадач в области ИБ, выполнения проектов, направленных на достижение целей ИБ? Иными словами, такой подход обеспечит поддержку принятия решений руководителями в области ИБ, поможет им держать руку на пульсе, своевременно определять проблемные области и реагировать на выявленные отклонения, не погружаясь без необходимости в детальные данные систем обеспечения ИБ.

Security Intelligencе: истина меж двух крайностей

Оба варианта являются в некотором роде крайностями: одна – анализ глубоких технических данных, зачастую понятных узкому кругу специалистов; другая – анализ высокоуровневых и бизнес-ориентированных данных об ИБ. Причем оба варианта хороши и полезны, но между ними есть явный разрыв. Поэтому при развитии понятия Security Intelligence хотелось бы достичь некоторого баланса. С одной стороны, обеспечить сбор и анализ технических данных, с другой – иметь возможность эти же данные анализировать на более высоком уровне и желательно в интерфейсе одной системы (или нескольких, связанных между собой), чтобы переход от данных низкого уровня к данным высокого уровня был прозрачным для конечного их потребителя. Тем более, возвращаясь к изначальной аналогии с системами класса Business Intelligence, стоит вспомнить, что они-то как раз позволяют в рамках своего интерфейса представлять одни и те же данные "под разными соусами" и с каким угодно уровнем детализации. Именно эти задачи только начинают решаться в подходах к анализу данных о состоянии ИБ и процессах ее обеспечения. Все это приводит к созданию новых аналитических ИБ-систем и расширению понятия SI, заданного производителями SIEM-систем. Именно они представляют данные о состоянии ИБ в новом свете и дают возможность анализа эффективности процессов ИБ, связей и влияния их на бизнес, делают безопасность прозрачнее для более широкого круга заинтересованных сторон.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014
Посещений: 6996

Приобрести этот номер или подписаться
  Автор

Анна Костина

Анна Костина

Руководитель направления
управленческого консалтинга
Центра информационной безопасности
компании "Инфосистемы Джет"

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций