В крупных компаниях много систем информационной безопасности:
📎DLP-системы;
📎Системы сетевой аналитики;
📎Системы авторизации, аутентификации;
📎Антивирусные системы;
📎Защиты веб-приложений и т.д..
❗️Чаще всего эти системы не интегрированы друг с другом, в самих СЗИ нет интерфейсов-API, которые позволяли бы это делать своими силами внутри компании.
Это приводит к тому, что анализ систем носит несистемный, нерегулярный характер, а если проводится, то формально. Более того, при таком подходе особенно явной становится проблема нехватки персонала, рабочего времени для решения важных задач.
❓Что дает интеграции СЗИ друг с другом?
🧷Все события рассматриваются в комплексе;
🧷Экономия рабочего времени сотрудников на анализ данных;
🧷Не упускаются важные события ИБ, которые можно не заметить, занимаясь мониторингом различных СЗИ;
🧷Быстрый и удобный поиск событий.
❓Как внедрить интеграцию СЗИ в компании?
На данный момент нужно, чтобы к интеграции стремились не только частные крупные компании, но и сами вендоры, так как нет единых стандартов, API и т.д.
❓Что может решить проблему?
💡Использование SIEM-систем, правильно настроенных на мониторинг различных СЗИ, в том числе с API интерфейсами;
💡Использование АСУ ТП (автоматизированной системы управления технологическим процессом). Проблемы возникают с поиском работников, которые умеют с ними работать;
💡Появление стандартизации систем по вводу и выводу информации в СЗИ. Например, SIEM - системы для обмена данными стали стандартно использовать сиподобные языки;
💡Наличие API-интерфейсов в СЗИ, к сожалению, не редкость, когда их нет;
💡Использование систем искусственного интеллекта для аналитики большого количества данных (нужно привлекать внешних специалистов и иметь большие массивы данных для обучения ИИ).
💭А что думаете Вы о новых тенденциях интеграции различных СЗИ друг с другом? Возможно у Вас опыт? Поделитесь в комментариях!