![Biztonsági információs eseménykezelés (SIEM): benne a hosszú távra - Technológia Biztonsági információs eseménykezelés (SIEM): benne a hosszú távra - Technológia](https://a.continuousdev.com/technology/security-information-event-management-siem-in-it-for-the-long-haul.jpg)
Tartalom
- Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
- A második félidő
- Felhő perspektívak
- Előnyök (SIEM általában)
- Hátrányok (SIEM általában)
- Következtetés
Forrás: Cuteimage / Dreamstime.com
Elvitel:
A biztonsági információk és az események kezelése egyre erőteljesebb eszközként jelentkeznek a rendszerbiztonságban.
A legtöbb vállalati szintű szervezetnél az elmúlt években az adatsértéses események rohamosan növekvő száma és súlyos súlyossága a kiberbiztonsági költségek hirtelen növekedéséhez vezetett.
A legkifinomultabb technológiába történő lehető leggyorsabb beruházás kényszere közepette egyre fontosabbá válik annak megértése, hogy mi a megoldás, és hogy megfelelőek-e.
A biztonsági termékek egyik leggyorsabban növekvő ágazata a felhasználói viselkedés elemző eszközei, például a biztonsági információs és eseménykezelő (SIEM) rendszer, amely adatokat gyűjt esemény- és hitelesítési naplókból a normál tevékenység alapvonalának meghatározásához, majd ezt az alapvonalat használja észlelheti a rosszindulatú felhasználói viselkedést és egyéb rendellenességeket. (Ha többet szeretne megtudni a biztonságról, lásd: A kormányzáson és megfelelésen túl: Miért számít az informatikai biztonsági kockázat.)
Ha az analógiák segítenek, gondoljon egy ICU-monitorra, ahol a központi kijelzőről történő folyamatos megfigyelés segít azonosítani a rendellenességeket, amelyek viszont riasztásokat váltanak ki, majd azonnal kezdeményeznek helyreigazító intézkedéseket. És hasonlóan az elektródáknak a beteg bőrére történő elhelyezéséhez a szív kimeneti vezeték létrehozásához, az ágenseket köztes szoftverként használják a szerverrel való kapcsolat létesítéséhez és az adatátviteli útvonal létrehozásához a Virtuális Napló Gyűjtőhöz (VLC).
A vállalkozások számára, amelyek megengedhetik maguknak, a technológiáról szóló hír olyan volt, mint egy isten a 90-es években, amikor a naplók cunamijei, amelyeket behatolás és a megelőzés észlelési rendszerei felvertek, óriási vákuumot hoztak létre a naplókezelő rendszerek számára. Ma azonban a SIEM eszközök messze elmentek a log-központú rendszerektől, amelyeket elsősorban a naplókezeléshez szántak, és így azok megvalósításának költségei is felmerülnek.
Az utóbbi években a SIEM technológia fejlettebbé vált olyan funkciókkal, mint a nyers csomag adatgyűjtés és a gépi tanulási módszertan, például az események korrelációja, hogy segítsen felismerni azokat a veszélyeket, amelyek jellemzően megkerülik a megelőző ellenőrzéseket. „A támadások folyamatos felfedezése és a megfelelő védelem felé történő lépés egy utazás, és az SIEM kulcsfontosságú elősegítője ebben a folyamatban” - mondta Lalit Ahluwalia, az Accenture közszektorának észak-amerikai biztonsági vezetője.
Annak érdekében, hogy bármely vállalkozás telepítse a SIEM-et, átfogó követelménygyűjtési szakaszon kell keresztülmennie, amelyben minden, a biztonsággal kapcsolatos eseménynapló-útvonalat dokumentálnak, amelyeket kritikus készülékeik, köztük a hálózat, a VoIP, a biztonság és a rendszer adminisztrációs készülékei dokumentálnak. .
A megvalósítás után a köztes szoftverek átalakításra kerülnek a naplókba egy VLC-hez, amely nyers adatcsomagokat rögzít és kibernetikus fenyegetések gazdagévé terjeszti, amely megkönnyíti a fenyegetések észlelését és megelőzését, viselkedés-elemzési algoritmusok és riasztásfigyelő rendszer segítségével.
Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
Nem javíthatja a programozási készségét, ha senki sem törődik a szoftver minőségével.
A megvalósítás és az előkészítés költségei azonban az egyenletnek csak egy részét képezik. A másik rész a folyamatos monitorozás.
A második félidő
Az ügyfélvállalatnak dedikált személyzetre, például információbiztonsági mérnökökre és építészekre van szüksége, hogy biztosítsák az új naplók küldését az ügynöknek, frissítsék a szűrőket a téves pozitívumok csökkentése érdekében, a teljesítmény következetesen finomhangolása, a lemezterület figyelése és a terheléselosztás A megoldások akkor kerülnek bevezetésre, amikor a hálózat nagyobb sávszélességet kér.
Felhő perspektívak
Az egyik fő tényező, amely meghatározza a vállalat költségeit a SIEM megvalósításában, az, hogy felhőalapú szolgáltatás (SIEMaaS) használata mellett döntenek. Ahogy egyre több cég halad az IaaS, a SaaS és a PaaS felé, logikusabbá válik a technológiának, amely integrálódik vele, vagy legalábbis opció, ha szükséges.
Ha egy megoldás méretezhetőbbé válik, akkor valószínűleg olcsóbb és gyorsabban megvalósítható, mint az alternatív megoldás. A helyszíni megoldásokhoz viszonyítva a többi készülékkel való kapcsolat valószínűleg nem olyan egyszerű.
Noha a szolgáltató biztonsági mentési tervétől függ, a SIEMaaS valószínűleg megbízhatóbb biztonsági másolatbiztonságot nyújtana feladatátvétel esetén, mivel az elérhető felhőszolgáltatásnak nagyobb esélye van felmaradni, míg az izolált adatközpont leesik. Másrészt, ha az áramszünetet a felhőszolgáltató okozza, az ügyfélszolgálat sok technikai anarchiával járhat a kezükben.
Egyes szakértők úgy vélik, hogy a SIEM felhőnek való kitettsége növeli a szervezet támadási felületét, mivel hálózati platformjuk kevésbé elszigetelődik. Rahim Karmali, a Hewlett Packard Enterprises biztonsági megoldás-építésze úgy véli, hogy semmi sem lehet távolabb az igazságtól. "Ezeket a belépési pontokat kell aggódnia - a mobiltelefonján, táblagépén, laptopján stb. Nagyon gyakran ezek az eszközök lebegnek olyan hálózatokon, amelyek nem biztonságosak."
Előnyök (SIEM általában)
A felhő kilátásaitól eltekintve, ami nyilvánvaló, hogy egy szervezet jobban működik egy SIEM-sel, mint egy nélkül. Számos szabványos megfelelési jelentéstételi követelmény - például az egészségügyi és biztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), a fizetési kártya-ipari adatbiztonsági szabvány (PCI DSS) és a Sarbanes-Oxley törvény (SOX) - teljesül egy központi naplógyűjtéssel.
Az eseménykezelés sokkal hatékonyabbá válik, mivel senki sem kezdi naplókat a támadó útvonalának a hálózaton vagy a támadási vektor összes gazdagépén és kiszolgálón keresztül történő megtalálásához; ehelyett a SIEM rendszer azonosítja és korrelálja ezeket az eseményeket madártávlatból, majd rekonstruálja az események sorozatát a támadás jellegének meghatározása céljából.
"Riasztási eszközként szolgál, amely lehetővé teszi a gyanús események pontos azonosítását az alkalmazásokból, adatbázisokból, operációs rendszerekből, hálózati és biztonsági eszközökből származó naplóinformációk korrelálásával" - mondja Ahluwalia.
A súlyos támadások már nem kerülnek elkülönítésre, és az események a rendszer felismerésének elkerülése érdekében eloszthatók több rendszerben. A helytelen SIEM nélkül a rosszindulatú események futótűzként terjedhetnek.
Egyes SIEM termékek képesek megállítani a támadásokat is, ha riasztásokat adnak más biztonsági ellenőrzésekhez, például tűzfalakhoz és behatolás-megelőző rendszerekhez. "A vállalatok már nem tudnak reaktív megközelítést alkalmazni olyan kérdésekben, mint a rosszindulatú programok és a ransomware" - mondja Karmali. „Olyan rendszerre van szükségük, amely végrehajtható intelligenciát biztosít.” (A biztonsággal kapcsolatos további információkért lásd: A titkosítás csak elegendő: 3 kritikus igazság az adatbiztonságról.)
Hátrányok (SIEM általában)
A SIEM számos olyan tevékenységet automatizál, amelyre a társaság egyébként órákat kézi munkát költene, azonban hatékonyságának fenntartásához új készségekre is szükség van. Az ügyfélvállalatnak minden részleg aktív részvételét kellene megkövetelnie annak biztosítása érdekében, hogy a helyes naplókat elküldjék az ügynöknek, mivel a korrelációs motorok hatékonyabban működnek, ha nem rejtenek irreleváns adatok vagy hamis pozitív eredmények alapján. Minél nagyobb a szervezet, annál inkább hajlamos a naplóinak túlterhelni a SIEM rendszert.
Ezenkívül, noha a SIEM technológia óriási előrelépéseket tett az 1996-os kezdete óta, ez nem önálló rendszer. Karmali szerint az „emberek, a folyamat és a technológia” kombinációját igényli.
Az optimális hatékonyságot általában akkor érik el, ha a SIEM rendszerek tűzfalakkal, behatolás-felderítő / -megelőző rendszerekkel, rosszindulatú programok elleni védelmi alkalmazásokkal és más vezérlőkkel állnak össze.
Következtetés
A legtöbb vállalati szintű szervezet biztonságosabb a működő és hatékony SIEM rendszerrel; azonban a legmegfelelőbb SIEM rendszer kiválasztása kihívást jelenthet. Például a kisebb vállalatok számára jobb az olyan felhőalapú megoldás, amely méretezhetőbb és gyorsabban megvalósítható. Nagyobb társaságok számára érdemes lenne befektetni egy drágább, hibrid megoldásba, ahol a felhő és a helyiség egyaránt biztosítják saját méretgazdaságosságukat.
Akárhogy is, bármilyen méretű szervezet számára az optimális hatékonyság és a magas beruházási megtérülés érhető el azáltal, hogy dedikált személyzettel állnak a rendszer folyamatos ellenőrzéséhez és karbantartásához.
Számos vállalat végrehajtja a SIEM-et megfelelőségi okokból, és ha nem rendelkeznek elegendő erőforrással a rendszer kezeléséhez, karbantartásához és finomhangolásához, egy nagyon drága, nem hatékony naplógyűjtő eredményezheti kezét.