ВЕДУЩИЙ РОССИЙСКИЙ СИСТЕМНЫЙ ИНТЕГРАТОР

Система обработки данных о сетевых компьютерных инцидентах

Цели и назначение системы

Система позволяет:

  1. Оперативно выявлять компьютерные атаки (КА), направленные на информационные ресурсы организации, расположенные как во внутренней (защищенной), так и во внешней (Интернет) сетях, и реагировать на них.
  2. Осуществлять долговременное хранение информации о выявленных КА.
  3. Выполнять анализ источников, видов, интенсивности и направленности КА.
  4. Выявлять тренды в динамике КА.
  5. Предоставлять рекомендации по противодействию КА.
  6. Формировать регламентную отчетность по выявленным КА.
  7. Обеспечивать взаимодействие с центрами мониторинга КА СОПКА , включающее обмен: классификационными данными (база сигнатур, черные/белые списки IP адресов), выявленными аналитиками СОПКА сигнатурами КА; рекомендациями по противодействию КА.

Программно-аппаратный комплекс системы состоит из сертифицированного аппаратного обеспечения и специального программного обеспечения.

Для географически распределенных организаций существует возможность создания сети центров мониторинга с формированием и передачей сводных отчетов в центральный узел.



Рис. 1. Структурная схема ПАК


Оперативное выявление КА

Сбор информации о КА выполняется с помощью специализированных средств обнаружения КА - сенсоров. Модульная архитектура позволяет системе взаимодействовать с сенсорами различных типов, что обеспечивает необходимую гибкость и масштабирование системы.

Поступающая информация проходит несколько стадий обработки, в процессе которых выполняется фильтрация и корректировка (повышение или понижение приоритета) событий информационной безопасности. Также выполняется дополнение поступивших данных информацией о географическом расположении источников воздействий, о принадлежности к тем или иным спискам IP адресов, регистрационными данными о домене источника воздействия.

Комплекс предоставляет услуги:

  1. Оперативного информирования о выявленных КА.
  2. Визуализации текущего состояния безопасности защищаемых объектов, как по каждому контролируемому ресурсу в отдельности, так и по организации в целом.
  3. Отображения данных мониторинга на средствах коллективного отображения в режиме реального времени и отображения динамики развития КА.
  4. Сравнения характеристик состояния безопасности защищаемых объектов за предыдущие периоды, аномальные всплески и прогноз дальнейшего развития текущей ситуации.
  5. На географической карте система может отображать как текущие состояния сетевых сенсоров, так и распределение источников КА.


Анализ информации о КА

Оператору комплекса предоставляется набор инструментов для дополнительной обработки поступившей информации и ее анализа. Используя веб-интерфейс оператор может проводить частотный анализ зафиксированных воздействий в различных разрезах. Гибкий механизм фильтрации данных позволяет оператору выявлять комплексные воздействия на контролируемые ресурсы сети. По результатам анализа система формирует регламентные отчеты за различные интервалы времени: день, неделя, месяц и т.д. Для формирования отчетных документов используется формат Microsoft Word, который позволяет формировать отчеты, содержащие как текстовую, так и графическую информацию (графики, диаграммы и пр.).


Взаимодействие с системой СОПКА

Взаимодействие с главным центром мониторинга СОПКА позволит повысить защищенность контролируемых ресурсов за счет получения актуальной информации о выявленных и возможных КА и наличию рекомендаций по противодействию им.


Организационные вопросы, сроки внедрения и стоимость системы

Внедрение системы в стандартной конфигурации в одном центре мониторинга составляет до 2 месяцев.

Вопросы сопровождения информационных ресурсов системы (взаимодействие с центром мониторинга СОПКА) должны быть решены с компетентными организациями.

Стоимость внедрения системы зависит от объема контролируемых ресурсов, планируемой интенсивности КА, длительности хранения собранной информации, требуемой степени защиты системы.