225

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 201-250

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Направления обеспечения информационной безопасности корпоративной системы 225 все самые «сканирующие» решения. Например, довольно часто забыва¬ ются российские разработки, которые порой намного превосходят по функционалу зарубежные аналоги, но не настолько популярны за преде¬ лами СНГ. Поэтому здесь необходимо отталкиваться от тех задач, кото¬ рые планируется решать, и самостоятельно анализировать возможности решений от различных вендоров. Если же оценивать все вышесказанное с точки зрения именно спе¬ циалиста, на которого возлагается обязанность заниматься вопросами обеспечения реальной защищенности ИС , то как минимум необходимо будет провести работы по подключению всех требуемых источников со¬ бытий к системе класса SIEM и настроить сканеры безопасности соот¬ ветствующим образом на серверы и рабочие станции. Работа колоссаль¬ ная, если в компании большое количество серверов, которые не стандар¬ тизированы, большое количество сотрудников, часто находящихся на территориально распределенных объектах. Но если преодолеть трудные первые этапы, результаты будут видны сразу — например, будет видно, что неправомерно используется учетная запись Administrator корневого домена, администраторы сами себе на время раздают особые права, что¬ бы какую-то информацию «слить» на флешку и т. д. В зависимости от настроек аудита на «источник событий», а также уровня детализации (например, уровни логирования Emergencies и Debug для сетевых уст¬ ройств, т. е. минимальный и максимальный уровни) при использовании системы возможны следующие варианты анализа и выявления событий: 1 • все попытки изменения конфигураций на маршрутизаторах и дру¬ гих сетевых устройствах с указанием, кто, когда и что изменил. Отслеживание атаки с полной предысторией ее начала и распро¬ странения по корпоративной сети или инфраструктуре глобаль¬ ной сети; отслеживание попыток соединений с внутреннего оборудования в неразрешенные политикой безопасности места и статистиче¬ ская информация о разрешенных соединениях между внутренни¬ ми и внешними хостами — аномалии, повышенная активность раз¬ ных хостов и др.; • ИС — информационная система.