1.5. Информационная аналитика

Информационно-аналитическое обеспечение деятельности органов ГМУ

1.5. Информационная аналитика

Сбор и анализ информации является важнейшим условием и исходным этапом разработки эффективного управленческого решения. На современном этапе развития общества и управления организация и технологии анализа управленческой информации приобретают исключительно высокое значение.

Особую важность это имеет применительно к практике государственного управления.

Об эффективности государственного управления можно говорить, если государственные органы “вовремя обнаруживают проблемы и находят рациональные пути их решения, но еще лучше, когда эти проблемы выявляются в момент их зарождения, либо когда принимаются меры для их предупреждения”.

Как правило, к управленцу поступает первичная информация, которую он обрабатывает сам и на основе этого принимает решения. “Первичная информация непригодна для обеспечения поддержки процессов принятия решения, поэтому представляется нецелесообразным, чтобы лицо, принимающее решения, осуществляло поиск информации и ее анализ”.

Эти функции в государственном управлении – прерогатива специальных отделов (информационно-аналитических служб), основное назначение которых состоит в обеспечении аналитически обработанной информацией соответствующие органы государственной власти.

Существование информационно-аналитических отделов актуально в связи с тем, что есть необходимость в постоянном “получении актуальной информации, отслеживании и анализе качества получаемой информации”,  выполнения таких процессов как “селекция и интерпретация информации, предоставляемой лицам, принимающим решения”.

Информационно-аналитические службы являются центрами сбора и обработки первичной информации, они осуществляют “мониторинг ситуации, ее диагностику, проводят анализ и моделируют возможное развитие событий”.

Основные требования к информационно-аналитическим службам, как правило, состоят в следующем:

 –    предоставить информацию;

 –    предоставить информацию в необходимом объеме;

 –        предоставить информацию в необходимое время. Эти требования вполне справедливы, поскольку “никому не будут нужны аналитические материалы после… принятия решения”.

Но одновременно эти требования к информационно-аналитическим подразделениям суть основные задачи ее существования.

В соответствии с ними следует обдумывать и выстраивать систему информационно-аналитического обеспечения. Очевидно, что каждое из вышеперечисленных требований выполнимо до определенной степени.

Так, например, требование предоставления информации ограничено объемом имеющейся в распоряжении информации, объемом баз данных, доступом к необходимой информации, уровнем технического обеспечения, характеристиками средств связи и т.д.

Требование полноты информации может быть ограничено перечисленными выше условиями, а также квалификацией персонала и уровнем кадрового обеспечения. Требование своевременного предоставления информации ограничено объемом обрабатываемой информации, уровнем технического обеспечения, уровнем кадрового обеспечения и пр.

Информационно-аналитические службы постоянно находятся в тисках противоречия между количеством и качеством информации. С одной стороны, налицо постоянный избыток информации, которую невозможно ни просмотреть, ни усвоить, ни проанализировать. С другой стороны, информации, необходимой и достаточной для грамотного прогноза или генерации вариантов управляющего решения всегда не хватает.

Некоторые полагают, что информационно-аналитической службе достаточно собрать и обобщить информацию, предоставить ее руководству и после этого ее работа заканчивается.

В действительности, информация должна быть в состоянии постоянного изучения и аналитического контроля для того, чтобы в любой момент можно было предоставить руководителю готовые материалы необходимого уровня обобщения по интересующему его вопросу.

Информационно-аналитический отдел играет существенную роль в повышении результативности использования информации, ее систематизации, обработке, аккумулировании и экспертизе.

Специфика информационно-аналитической деятельности в органах власти и управления состоит в том, что она является элементом системы и процесса управления.

Поэтому данная деятельность имеет преимущественно прикладной, а не теоретический характер, в ней преобладают внутренние ограничения системы по времени подготовки материалов, их полноте, достоверности, обоснованности, ответственности исполнителей.

Соответственно, основное внимание уделяется не столько глубине и оригинальности проработки проблем, сколько их оперативности и эффективности. По сути это работа распределенных, постоянно возникающих и распадающихся, в зависимости от текущей задачи, экспертных коллективов.

В целом информационно-аналитическая сеть должна представлять собой информационный образ региона, адекватно отражающий реальную и ретроспективную ситуацию, особенности и тенденции развития региона и отдельных сфер его жизнедеятельности.

Процесс управления регионом необходимо рассматривать на следующих трех уровнях принятия решений:

 –        Стратегический уровень (предполагает выявление проблемных областей в различных сферах жизнедеятельности региона, анализ и прогноз долгосрочных тенденций его социально-экономического развития; анализ и прогноз общественно-политических тенденций);

–      Тактический уровень (производится мониторинг и анализ текущего состояния элементов социально-экономической и общественно-политической сфер региона, формируются планы реализации концепций, моделей и сценариев развития региона);

–      Оперативный уровень (оперативный контроль и корректировка выполнения планов и проектов, непрерывный мониторинг характеристик и показателей социально-политических факторов региона).

Все эти уровни взаимосвязаны, “и очевидно, что система информационно-аналитического обеспечения представляет собой связную структуру информационных, аналитических, прогнозных, экспертных подразделений различного типа, занятых сбором информации и информационным обеспечением, аналитической работой, средне- и долгосрочными прогнозами, научной работой в определенной сфере, обеспечением информационной безопасности, поддержанием деятельности информационных ресурсов (технические подразделения) и т.д.”.

работ информационно-аналитических служб составляют следующие этапы процесса анализа информации: сбор информации; создание базы данных; хранение информации; обобщение информации; обработка информации; подготовка аналитического документа; подготовка экспертных оценок; подготовка альтернативных вариантов развития ситуации; определение проектов решения; представление итогового документа руководителю.

Важно, что информационно-аналитические подразделения не могут и не должны брать на себя право применения корректирующего воздействия, но могут и должны предоставить информацию необходимого уровня обобщения для обеспечения принятия управленческого решения.

При анализе работ многих исследователей данной проблематики (Голобурда Е.А., Андреева С.А., Бочарова Т.А. Иванов П.Ф., Климантова Г.И., Корнеев В.В.) выявлено, что проблемы информационно-аналитического обеспечения деятельности государственных органов по принятию решений в течение семи лет остаются следующими:

 –        отсутствие целостной информационной инфраструктуры и информационной поддержки различных организаций и общества;

 –        недостаточное развитие информационного обеспечения, заключающееся в недостатке технических средств и программного обеспечения;

–        роль информационных служб сводится лишь к информационной работе (заключается только в сборе информации, а процесс анализа отсутствует);

–        игнорируются прогнозно-диагностические, аналитические и коммуникационные составляющие в деятельности этих служб;

–        отсутствует система подготовки и повышения квалификации сотрудников в области анализа информации.

Данные проблемы возникают под воздействием двух факторов.

Во-первых, несмотря на существование, реально работающих информационных систем органов управления всех уровней в регионах, пока нет примеров исчерпывающего решения задачи интеграции всех информационных ресурсов территории, то есть создания поля данных, на котором можно было бы ставить и решать любую информационно-аналитическую задачу.

Во-вторых, отсутствуют подтвержденные практикой адекватные модели систем управления регионом и их воздействия на процессы в экономике и обществе. Корнеев В.В.

отмечает, что проблемы информационно-аналитических служб “носят объективный характер и не могут быть устранены в административном порядке, и их влияние будет снижаться в процессе развития и усиления значимости информационно-аналитической деятельности в общих задачах регионального управления”

В заключении отметим:

1.      Любому управленцу в силу субъективного фактора, невозможно переработать тот объем информации, который находится в его информационном поле, для принятия корректного и своевременного решения;

2.      В связи с тем, что субъект управления постоянно нуждается в своевременной, и качественной информации, актуальна деятельность информационно-аналитических служб;

3.      Аналитическая система должна соответствовать информационному образу и задачам, которые он выполняет на стратегическом, тактическом и оперативном уровнях;

4.      Развитие и эффективное функционирование информационно-аналитических служб требует совершенствования структур, технологий, методологий и методик организации процесса анализа информации, а также повышения квалификации управленцев различных уровней власти и обучения специалистов в данной области.

Перейти к основному содержанию MOODLE КНИТУ (КХТИ)

Пропустить Категории курсов

Скачать мобильное приложение

Источник: https://moodle.kstu.ru/mod/book/view.php?id=40730

1.5. Информационная аналитика: Информационная аналитика в – это производство нового знания на основе

1.5. Информационная аналитика

Информационная аналитика в – это производство нового знания на основе переработки имеющейся информации в целях оптимизации принятия решений.

Универсальность социальной функции информационной аналитики и ее субстрата (информации) привели к эффекту мультидеятельностного генезиса аналитических служб (подразделений) во всех узлах информационной инфраструктуры, т.е.

во всех сферах деятельности, где концентрировались, перерабатывались мощные информационные потоки в целях принятия социально значимых управленческих решений. Именно поэтому информационно#x2011;аналитические службы (подразделения) стали создаваться в структуре органов федеральной и региональной власти, в министерствах и ведомствах, в органах СМИ, в сфере бизнеса, при политических партиях и движениях. Общей отличительной чертой данных служб являлась органическая включенность в соответствующие сферы деятельности, функциональный и организационно – деятельностный симбиоз с их социальными институтами и конкретными организациями. Аналитические службы в своих целях призваны осуществлять информационное сопровождение управления в соответствующих сферах. Информационная аналитика не является всего лишь еще одной относительно новой организационной службой, ее сущностная, базовая функция принципиально отличается от тех задач, которые решают в информационном пространстве эти службы. Их задачи: количественные преобразования информации(информационное свертывание – библиографирование, аннотирование, реферирование; консолидация больших информационных массивов в виде баз и банков данных) и ее структурное упорядочение (систематизация, предметизация и т.п.). Информационная аналитика, используя все возможности, предоставляемые данными службами, активно оперируя их информационными продуктами и услугами, выполняет, прежде всего, задачу качественно#x2011;содержательного преобразования информации, функционально пересекаясь в этом плане с научной (производство нового знания) и управленческой (разработка вариантов решений, сценариев) деятельностью. Характер функционального взаимодействия в системе аналитика – наука#x2011;управление определяется спецификой аналитики. С наукой ее объединяет информационный способ познания и научного анализа реальности. Аналитика наиболее близка к гуманитарной науке, опирающейся на интерпретацию текстов, документов, сообщений о событиях и т.п., а также к тем разделам науки, видам научных задач, когда выводное знание получают не опытно#x2011;экспериментальным путем, а на основе анализа и интерпретации существующих теорий, описаний фактов, средствами информационного моделирования реальности.

Подобно исследователю такого профиля аналитик, опираясь на информационные модели (отпечатки в информационном пространстве событий, фактов, действий, идей, мнений, чувств людей, природных, социальных, политических, финансовых, экономических процессов и т.п.

), выявляет в них объективные закономерности и тенденции, определяет движущие ими механизмы, причинно#x2011;следственные связи.

В этом смысле аналитик создает новое знание о том фрагменте реальности, который находится в поле его профессионального интереса, выступая де факто исследователем своей предметной области.

Вместе с тем существуют и принципиальные различия между аналитикой и наукой. Научный анализ призван выявлять, прежде всего, фундаментальные, объективные закономерности изучаемой области, повторяющиеся, существенные связи объектов, обобщенные параметры процессов и т.п. Информационная аналитика, опираясь на научное знание, общие закономерности, чаще всего имеет дело с феноменологией бытия, осуществляя оценку фактов и событий, прогнозируя их развитие с учетом не только обобщенных типичных параметров, но и целого спектра факторов, включая субъективно#x2011;личностные, случайные влияния, а также сознательные акции конкурирующих сил, противоборство интересов, активное вмешательство социальных технологий и т.п. Существенную роль играет и фактор времени. Производство научного знания осуществляется в том специфическом режиме времени, который продиктован непредсказуемостью эвристических процессов познающего человеческого интеллекта, логикой и темпами научного дискурса. Информационная аналитика работает в режиме реального времени – времени жизнедеятельности своей предметной области (политики, экономики, бизнеса) и в соответствие с темпом необходимых управленческих реакций на динамику событий, происходящих в данной области. С одной стороны, академические и отраслевые научно#x2011;исследовательские институты, разрабатывавшие фундаментальные и прикладные проблемы в тех областях знания, которые востребованы современной жизнью, практикой управления, так и не стали базовой структурой в системе формирующихся аналитических служб. И это не смотря на то, что еще в дореформенные времена Академия наук и ведущие НИИ рассматривались как инстанции для проведения экспертиз, им предъявлялись партийно#x2011;правительственные заказы на разработку научных обоснований для тех или иных проектов, концепций и планов, оценки и критики зарубежного опыта и т.д. С другой стороны, именно ученые, сотрудники академических институтов, НИИ, вузов в значительной степени пополнили ряды аналитиков при госструктурах, СМИ, в коммерческих фирмах, политических партиях и т.п. Анализ этих факторов – самостоятельная научная проблема, однако нельзя не упомянуть наиболее значимые тенденции. Тенденция социализации информационной аналитики, объективно закономерный процесс, характеризующий новую отрасль в стадии ее становления. Составляющими процесса социализации информационной аналитики являются социальные, социокультурные, социально психологические реакции общества на данную отрасль. Появление новой сферы профессиональной деятельности (информационная аналитика) ставит перед обществом аксиологические, психологические, культурологические, социометрические проблемы: –возникает необходимость социальной оценки значимости информационной аналитики, что требует ее позиционирования в ряду других, близких отраслей, выработки шкалы социальной оценки, построения системы социальных приоритетов и т.п. сучетом ценности тех целей, которые данная деятельность позволяет достичь; –формируются эмоциональные реакции, ожидания, общепринятые нормы поведения в связи с данной отраслью; –ценностные и социально#x2011;психологические реакции транслируются в область культурных норм и традиций, национальных форм социального бытия, включаются в систему мифов и ритуалов и т.п.; –выстроенные приоритеты, оценки, престижность новой отрасли позволяют определять ее социометрические параметры (интенсивность роста социальных институтов, связанных с новой отраслью, темпы и масштабы рекрутинга специалистов#x2011;профессионалов, пользователей ее продукции). Все эти проблемы характерны и для этапа становления отечественной информационной аналитики. Несомненно, итогом 90#x2011;х явилось достаточно широкое общественное признание социального статуса информационной аналитики, характеризующееся целым рядом признаков (информированность общества о существовании аналитики, признание феномена аналитики как инструмента управления сложными процессами, средства раскрытия сути происходящих событий и прогнозирования их дальнейшего развития, формирование представления о профессиональном аналитике как эксперте, владеющим эксклюзивным знанием, к мнению которого необходимо прислушиваться как сильным мира сего, так и рядовым гражданам и т.п.). За эти годы в России сформировался и социальный слой реальных и потенциальных клиентов, профессиональных потребителей информационно#x2011;аналитических продуктов и услуг, постепенно формируется представление об информационной аналитике как необходимом компоненте культуры управления, предпринимательской деятельности, инструменте современного менеджмента, составной части корпоративной культуры и т.п. Российское общество даже за столь краткий исторический период (90#x2011;е гг.) обрело достаточно разнообразный опыт в контактах с информационной аналитикой, чтобы осознать тот факт, что информационная аналитика может быть мощным и даже социально опасным орудием. Отметим, что широкая общественность имела возможность наблюдать применение аналитики, аналитического сопровождения в политической, экономической конкурентной борьбе, в процедурах лоббирования чьих#x2011;то интересов при принятии решений в самых высоких сферах отечественной политики, в массовых рекламных кампаниях, в кампаниях по манипуляции бщественным мнением, когда сталкивались мнения различно ангажированных аналитиков, в крупномасштабных и локальных информационных войнах, целенаправленных «сливах» компромата, многоходовых дезинформационных акциях и т.п., сценарии которых тщательно готовились аналитиками противоборствующих лагерей. В полном соответствии социального и научно#x2011;технического прогресса информатизация вывела на историческую арену виртуальные, социально#x2011;информационные технологии, способные повысить уровень социальной управляемости, обеспечить новый информационный режим. Сущность понятия «новый информационный режим» заключается прежде всего в качественно ином уровне интеллектуализации информационного пространства (ноосферы), необходимом для устойчивого развития общества, повышения меры его управляемости, нейтрализации фактора индетерминизма социальных процессов. Цель интеллектуализации заключается в создании системы производства и передачи на входы управляющих блоков социума смыслосодержащей информации, максимально отвечающей задачи формирования и принятия управленческих решений. Интеллектуализация информационного пространства осуществима при следующих условиях: –оптимальном структурировании мирового информационного пространства за счет упорядочения глобальной информационной инфраструктуры; –интеграции и структурировании мировых информационных ресурсов; –собственно интеллектуализации информационных потоков и процедур переработки информации. Некоторые из этих условий еще только намечены, но уже сегодня, очевидно, что их базовый элемент – совокупность информационных технологий во главе с информационной аналитикой. Во всех значимых точках пересечения и концентрации информационных потоков должны быть созданы узлы интеллектуальной переработки информации, формирующие интеллектуализированную инфраструктуру информационного пространства.

Экстраполируя параметры и темпы прогресса в области компьютерных и телекоммуникационных техники и технологий и возрастающую виртуализацию всех сфер человеческой деятельности, можно определить информационную аналитику и информационный мониторинг как перспективные технологии социального управления ХХI века.

Источник: https://bookucheba.com/informatsionnaya-bezopasnost_1280/informatsionnaya-analitika-45492.html

Аналитик информационной безопасности – кто он такой? Погружение в профессию

1.5. Информационная аналитика
Сегодня мы сделаем для вас обзор ежедневных обязанностей аналитика информационной безопасности. Его работа – это, по сути, постоянный анализ необработанных данных из разнородных источников событий (информационной и сетевой) безопасности для поддержания (и желательно) повышения уровня безопасности организации.

 Это не всегда конкретные практические действия, но, как правило, они включают в себя агрегацию данных из многих возможных источников: журналы событий операционных систем, брандмауэров, маршрутизаторов, антивирусных сканеров и многое другое. Затем ему требуется объединить или сопоставить их для получения набора данных, который может быть обработан с помощью соответствующих алгоритмов.

  • Аналитика безопасности в деталях
  • SIEM против ИБ-аналитика
  • Практические примеры
  • Преимущества ИБ-аналитика
  • UBA или аналитика поведения пользователей
  • Как визуализировать аналитику безопасности: панели мониторинга и модели угроз

Трудная часть профессии ИБ-аналитика заключается в том, чтобы найти в пресловутом стоге сена текущие активные угрозы. И более того, выйти за рамки текущей угрозы, чтобы увидеть и проанализировать картину целиком. А в результате заблокировать все подобные ей угрозы или же придумать разовый, но действенный ответ.  Для того, чтобы сделать это правильно, важно сразу определиться с типом требуемого анализа, а также выделить конкретные события, на которых вы будете сосредоточены в данном расследовании. Такова аналитика информационной безопасности с высоты птичьего полета. Теперь давайте поговорим о системах Управления Событиями Информационной Безопасности (Security Information and Event Management), или SIEM. Это, по сути, то же самое, что я описал выше –  обработка журналов событий, в основном из логов операционных систем, сетевых устройств и других инструментов безопасности и их последующий совмещенный анализ. По завершении анализа используется классическая матстатистика для того, чтобы исходные данные могли быть достоверно интерпретированы людьми. Чтобы получить представление о том, как выглядит работа с журналами событий, вы можете взглянуть на события операционной системы Windows, открыв Event Viewer на своих ноутбуках:

Вот она рутина низкоуровневых событий Windows – все не так уж и волшебно!

Здесь есть возможность прокручивать тысячи и даже десятки тысяч системных событий и событий безопасности: запуск и завершение процессов, блокировки учетных записей, выполнение команд PowerShell и т.д. А теперь представьте, что должна сделать SIEM: объединить, а затем найти корреляции между этими событиями операционной системы и событиями, захваченными с сетевых устройств и других систем безопасности, и, наконец, показать нам на основании этого какой-то смысл!

В качестве небольшого примера давайте предположим, что вы хотите отследить удаление важного файла. Возможно также, что это удаление, когда оно коррелирует с другими событиями, будет указывать на реальную атаку. Для ИТ-специалиста, который не знаком с SIEM, это могло бы показаться совсем простой задачей: просто найти

в журнале событий Windows событие удаления, связанное с этим файлом:

О, нет! Событие удаления Windows (номер события 4660) не содержит имени файла!

К сожалению, если вы посмотрите на событие удаления файла Windows, в нем отсутствует одна важная информация: имя и путь до файла.Как же нам тогда определить имя файла, связанного с событием удаления в логе Windows?

Это нелегко, потому что эта информация размазана по нескольким записям журнала. Вам придется сопоставить событие 4660 удаления с другим, событием 4663 доступа к объекту. На практике вы скорее всего зададите поиск по этим двум событиям 4660 и 4663, а затем объедините информацию из них, чтобы получить внятную картину. И, кстати, на случай если вы не в курсе, включение аудита действий с файлами в Windows (чтобы получать события по файлам, подобные тем, что были показаны выше) довольно ресурсоемкая задача – и, по разным оценкам, будет стоить вам до 30% потерянной мощности файлового сервера. Именно поэтому для этого есть специализированные решения.

Даже в этом очень простом примере вы можете видеть, что работа SIEM — это интенсивный и сложный процесс с мощным потреблением ресурсов. Кстати именно поэтому, как отмечают аналитики безопасности, на SIEM накладываются некоторые фундаментальные ограничения, по крайней мере, для первых поколений этих продуктов.

Спойлер

работает это все не так шустро и точно, как всем нам хочется

Среди наиболее распространенных вариантов использования ИБ-аналитики можно отметить:

  • Аналитика поведения пользователей UBA (см. ниже)
  • Детектирование и классификация угроз
  • Обеспечение ИТ-безопасности за счет предоставления полной и точной информации бизнесу для снижения общего риска

Попытка найти инциденты безопасности в необработанных журналах событий по своей сути сложна, а SIEM имеет тенденцию к слишком большому количеству неточных результатов и ложных срабатываний. Именно здесь ИБ-аналитик имеет основные преимущества перед SIEM: он намного опытнее и прозорливее в том, как стоит смотреть на необработанные данные событий, а также в том, как потом отобразить полученную аналитику для принятия лучших решений в управлении ИТ. 
Аналитику поведения пользователей, или UBA, можно рассматривать как более информированную версию SIEM. Да, как и SIEM, он также опирается на журналы событий. Однако UBA фокусируется на том, что  делает пользователь: запущенные приложения, сетевая активность и наиболее критичные открытые им файлы (когда файл или письмо были открыты, кто их открывал, что с ними делал и как часто).

Хранение и сбор событий на основе действий пользователей имеет свои существенные преимущества перед стандартными логами в SIEM.

Пользователи имеют свои собственные уникальные шаблоны поведения: например, регулярный доступ к определенным файлам и каталогам.

 Чтобы найти потенциальные инциденты безопасности, UBA просматривает текущие журналы событий, связанные с каждым пользователем, а затем сравнивает их с типичной для негокартиной того, что обычно делает этот пользователь.

Таким образом, UBA – это по своей сути SIEM, но плюс с историей иконтекстом. Поэтому она может выявить потенциальные атаки, определить, исходят ли подозрительные действия от хакера, инсайдера, вредоносного ПО или же от других процессов и служб.

Если вы только что задумались о том, что тут наверняка используются методы машинного обучения и анализа/прогнозирования из теории больших данных, то вы совершенно правы! Эти методы анализа помогают установить некую базовую линию, на основе которой можно затем предсказывать, что нормально, а что нет. Подводя итог, безусловно, SIEM является разумным подходом для обнаружения атак. Но без дополнительного контекста, выводы и действия, основанные только лишь на SIEM-статистике, становятся менее надежными. Это будут, по сути, «ложные срабатывания», когда SIEM-система, указывает нам на угрозу в тот момент, когда ее нет. В какой-то момент вы вдруг обнаруживаете, что почти 100% времени анализируете одни лишь фальшивые угрозы. А в итоге вообще начинаете их игнорировать, да еще и вместе с теми, которые, безусловно, стоят вашего внимания.

UBA привносит контекст, благодаря чему сокращаются ложные срабатывания. Системы UBA обрабатывают тот же самый поток событий, но смотрят на него под углом ежедневной активности людей в компьютерных системах, а затем сравнивают ее с наработанной нормализованной базой. И за счет этого, используя собственные алгоритмы и правила, более точно выявляют нестандартную активность.

Системы UBA, как мы видели, дают нам более чистые данные, на основе которых сотрудники ИТ-безопасности должны иметь возможность принимать более взвешенные решения. Чтобы сделать любые данные пригодными для использования людьми, необходима визуализация, которая позволит с первого взгляда отличить, какие из пользователей были замечены в аномальном поведении.

Единая панель мониторинга безопасности. Здесь можно все детализировать, чтобы получить более подробную информацию о затронутых пользователях и угрозах, нависших над ними

Панели мониторинга ИБ-аналитики (Security analytics) — это многоуровневые интерфейсы GUI, которые позволяют нам детализировать и увидеть больше информации, например, просмотреть детали затронутого пользователя, нажимая на карту контекста пользователя. Так например, в нашей панели мониторинга Varonis (см. картинку выше) вы легко сможете увидеть, какие пользователи подвергаются атаке, связанные с ними устройства,  модели угроз, в которых они участвуют. 

Ну и, в конечном итоге, это все должно привести нас к обсуждению моделей угроз, которые на самом деле являются формальным способом выявления и оценки потенциальных угроз и уязвимостей. Например, Mitre, знаменитая научно-исследовательская лаборатория MIT, имеет прекрасную базу знаний о текущих моделях угроз, которые заслуживают вашего внимания.

Панель мониторинга состояния безопасности организации находится в верхней части пищевой цепочки событий. Это визуальный результат цепочки обработки, которая начинается с методов UBA, применяемых к сырым необработанным событиям, и заканчивается специальными алгоритмами, часто основанными на машинном обучении, для поиска и классификации данных в различные модели угроз. К примеру, необычный доступ к конфиденциальным данным, обнаруженная криптоактивность, необычные изменения привилегий пользователя или группы, массовое удаление и многое другое.

Надеюсь, для вас теперь тоже вполне очевидно, что панель мониторинга текущих угроз на основе UBA намного эффективнее, чем работа с сырыми журналами событий? Например, наше решение DatAlert покрывает очень широкий диапазон моделей угроз. А если вы захотите узнать больше о том, как наши возможности по анализу данных могут помочь вам избежать просмотра необработанных журналов, то запишитесь на демо или пилотное тестирование.

Источник: https://habr.com/post/464629/

Book for ucheba
Добавить комментарий