ООО «Сиско системс» и российская компания «ЛИНС-М» разработали систему централизованного мониторинга (СЦМ). Это инновационное решение базируется на программном комплексе CiscoWorks Security Information Management Solution (CiscoWorks SIMS) и предназначено для сбора, агрегации, корреляции и визуализации большого количества данных аудита, полученных от различных источников: межсетевых экранов, маршрутизаторов, систем обнаружения вторжений и т.п. Система централизованного мониторинга, равно как и программный комплекс CiscoWorks SIMS, предназначена, в первую очередь, для компаний с крупными телекоммуникационными сетями, она обеспечивает всестороннюю защиту информации в сети – от центра обработки данных до филиалов и конечных узлов.
Современная ситуация на рынке телекоммуникационных сетей характеризуется ростом числа угроз и атак на информационные ресурсы, поэтому обеспечение информационной безопасности становится первостепенной задачей. Использование CiscoWorks SIMS позволяет достичь высокого уровня защиты информации в сети – от центра обработки данных до филиалов и конечных узлов. Данное решение помогает службе безопасности компании собирать, анализировать и сопоставлять информацию о возможных атаках и угрозах, поступающую ото всех подразделений организации.
Система централизованного мониторинга, базирующаяся на CiscoWorks SIMS, позволяет российским компаниям оптимизировать работу служб и подразделений, занимающихся контролем информационной безопасности. В настоящее время используемые средства защиты данных: межсетевые экраны, системы обнаружения вторжений, операционные системы и т.д., - фиксируют огромное количество событий, и сотрудники службы безопасности зачастую просто не в состоянии выявить в полученном списке одно-два действительно важных сообщения, сигнализирующих о возможной угрозе. В результате многие события, ставящие под угрозу систему безопасности, остаются без внимания, а эффективность использования средств защиты информации не соответствует должному уровню. Совместное решение ООО «Сиско системс» и «ЛИНС-М» позволяет оптимизировать процессы сбора и обработки данных в вычислительной сети, а также осуществлять централизацию автоматизированного анализа информации по инцидентам. В число основных преимуществ применения СЦМ входит повышение общего уровня защищенности информационных и телекоммуникационных ресурсов, а также уровня контроля активного сетевого оборудования и средств защиты информации.
СЦМ представляет собой автоматизированную информационную систему, которая выполняет непрерывный сбор и анализ событий безопасности, генерируемых контролируемыми устройствами. Она имеет иерархичную, территориально распределенную архитектуру и состоит из набора компонентов, выполняющих различные функции (агенты, на которых производится сбор исходных данных с объектов мониторинга и их предварительная обработка, и сервер, выполняющий функцию обработки данных, получаемых от агентов системы - рисунок 1).
В СЦМ обработка сообщений, поступающих с объектов мониторинга, происходит в четыре этапа:
на этапе нормализации собираются и приводятся к единому формату различные сообщения с агентов мониторинга;
на этапе агрегации происходит выделение и удаление дублируемых сообщений, распределение сообщений по различным категориям, а также системная оценка событий, позволяющая ранжировать угрозы согласно их значимости;
на этапе корреляции агрегированные данные анализируются и выявляются закономерности, сигнализирующие о попытке проведения сетевой атаки;
на этапе визуализации происходит графическое представление данных безопасности, прошедших через все предыдущие этапы, что позволяет оперативно идентифицировать угрозы и производить соответствующие действия по их предотвращению.
Функциональные возможности совместного решения ООО «Сиско системс» и «ЛИНС-М» позволяют осуществлять мониторинг поступающих сообщений для своевременного обнаружения угроз информационной безопасности, оценивать риски с целью анализа общей защищенности активов и телекоммуникационной сети, строить комплексные отчеты. Кроме того, СЦМ дает возможность динамической визуализации угроз на единой консоли управления, а также предоставляет сотрудникам службы безопасности заказчика ролевой доступ к консоли СЦМ для гибкой организации работ.