-
Похожий контент
-
Автор ska79
Какой линукс установить на слабое устаревшее железо 2006 года выпуска?
-
Автор KL FC Bot
В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
Оценка потока информации
По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
View the full article
-
Автор KL FC Bot
Популярный у инженеров принцип «работает — не трогай» многие годы применялся и в мире компьютеров. Теперь он стал непозволительной роскошью. Распространение кибератак, в том числе на научные и медицинские организации, ставит перед IT- и ИБ-службами настоящую дилемму. Чтобы защитить важное оборудование от атак, его программную часть надо обновить. Ведь устаревшее ПО на такой технике — это простые в эксплуатации уязвимости, примитивное или вовсе отсутствующее шифрование, рудиментарный контроль доступа, в общем — подарок для атакующего. Но само обновление ПО очень часто сопряжено с крупными расходами и риском остановки бизнес-процессов. Правда ли все так сложно и как решить эту проблему?
В чем риски обновлений
Многие системы безотказно работают годами и даже десятилетиями. Основной страх их бизнес-владельцев состоит в том, что процедура обновления может нарушить работу системы, а восстановить ее работоспособность будет невозможно. Подобные опасения не беспочвенны. Бывает, что люди, которые знали все подробности работы системы, давно уволились или ушли на пенсию, а документация утеряна или вовсе никогда не существовала. Это встречается нередко, но иногда проявляется в экстремальных формах. Например, в налоговой службе США до сих пор используются компьютеры 1970-х годов и программы на почти мертвом языке COBOL. Бывает, что поставщик техники был перепродан или поглощен другой компанией, вышел из бизнеса или обанкротился. Тоже не редкость — в этом году обанкротился гигант по производству банкоматов Diebold Nixdorf.
Во всех этих случаях искать техподдержки и помощи после сбоев в обновлении будет негде.
Более того, в случае длительной эксплуатации многих видов техники у нее образуются связи с другими системами в организации, и эти связи далеко не всегда очевидны и документированы. Поэтому отключение системы может спровоцировать каскадные сбои или отключения в других системах, которые довольно трудно предвидеть и предотвратить.
Все перечисленное приводит к неприятному выводу — восстановление после такого инцидента займет дни или недели, а стоимость простоя будет огромной.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти