Biztonsági információs eseménykezelés (SIEM): benne a hosszú távra

Szerző: Eugene Taylor
A Teremtés Dátuma: 9 Augusztus 2021
Frissítés Dátuma: 17 Június 2024
Anonim
Biztonsági információs eseménykezelés (SIEM): benne a hosszú távra - Technológia
Biztonsági információs eseménykezelés (SIEM): benne a hosszú távra - Technológia

Tartalom


Forrás: Cuteimage / Dreamstime.com

Elvitel:

A biztonsági információk és az események kezelése egyre erőteljesebb eszközként jelentkeznek a rendszerbiztonságban.

A legtöbb vállalati szintű szervezetnél az elmúlt években az adatsértéses események rohamosan növekvő száma és súlyos súlyossága a kiberbiztonsági költségek hirtelen növekedéséhez vezetett.

A legkifinomultabb technológiába történő lehető leggyorsabb beruházás kényszere közepette egyre fontosabbá válik annak megértése, hogy mi a megoldás, és hogy megfelelőek-e.

A biztonsági termékek egyik leggyorsabban növekvő ágazata a felhasználói viselkedés elemző eszközei, például a biztonsági információs és eseménykezelő (SIEM) rendszer, amely adatokat gyűjt esemény- és hitelesítési naplókból a normál tevékenység alapvonalának meghatározásához, majd ezt az alapvonalat használja észlelheti a rosszindulatú felhasználói viselkedést és egyéb rendellenességeket. (Ha többet szeretne megtudni a biztonságról, lásd: A kormányzáson és megfelelésen túl: Miért számít az informatikai biztonsági kockázat.)


Ha az analógiák segítenek, gondoljon egy ICU-monitorra, ahol a központi kijelzőről történő folyamatos megfigyelés segít azonosítani a rendellenességeket, amelyek viszont riasztásokat váltanak ki, majd azonnal kezdeményeznek helyreigazító intézkedéseket. És hasonlóan az elektródáknak a beteg bőrére történő elhelyezéséhez a szív kimeneti vezeték létrehozásához, az ágenseket köztes szoftverként használják a szerverrel való kapcsolat létesítéséhez és az adatátviteli útvonal létrehozásához a Virtuális Napló Gyűjtőhöz (VLC).

A vállalkozások számára, amelyek megengedhetik maguknak, a technológiáról szóló hír olyan volt, mint egy isten a 90-es években, amikor a naplók cunamijei, amelyeket behatolás és a megelőzés észlelési rendszerei felvertek, óriási vákuumot hoztak létre a naplókezelő rendszerek számára. Ma azonban a SIEM eszközök messze elmentek a log-központú rendszerektől, amelyeket elsősorban a naplókezeléshez szántak, és így azok megvalósításának költségei is felmerülnek.


Az utóbbi években a SIEM technológia fejlettebbé vált olyan funkciókkal, mint a nyers csomag adatgyűjtés és a gépi tanulási módszertan, például az események korrelációja, hogy segítsen felismerni azokat a veszélyeket, amelyek jellemzően megkerülik a megelőző ellenőrzéseket. „A támadások folyamatos felfedezése és a megfelelő védelem felé történő lépés egy utazás, és az SIEM kulcsfontosságú elősegítője ebben a folyamatban” - mondta Lalit Ahluwalia, az Accenture közszektorának észak-amerikai biztonsági vezetője.

Annak érdekében, hogy bármely vállalkozás telepítse a SIEM-et, átfogó követelménygyűjtési szakaszon kell keresztülmennie, amelyben minden, a biztonsággal kapcsolatos eseménynapló-útvonalat dokumentálnak, amelyeket kritikus készülékeik, köztük a hálózat, a VoIP, a biztonság és a rendszer adminisztrációs készülékei dokumentálnak. .

A megvalósítás után a köztes szoftverek átalakításra kerülnek a naplókba egy VLC-hez, amely nyers adatcsomagokat rögzít és kibernetikus fenyegetések gazdagévé terjeszti, amely megkönnyíti a fenyegetések észlelését és megelőzését, viselkedés-elemzési algoritmusok és riasztásfigyelő rendszer segítségével.

Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül

Nem javíthatja a programozási készségét, ha senki sem törődik a szoftver minőségével.

A megvalósítás és az előkészítés költségei azonban az egyenletnek csak egy részét képezik. A másik rész a folyamatos monitorozás.

A második félidő

Az ügyfélvállalatnak dedikált személyzetre, például információbiztonsági mérnökökre és építészekre van szüksége, hogy biztosítsák az új naplók küldését az ügynöknek, frissítsék a szűrőket a téves pozitívumok csökkentése érdekében, a teljesítmény következetesen finomhangolása, a lemezterület figyelése és a terheléselosztás A megoldások akkor kerülnek bevezetésre, amikor a hálózat nagyobb sávszélességet kér.

Felhő perspektívak

Az egyik fő tényező, amely meghatározza a vállalat költségeit a SIEM megvalósításában, az, hogy felhőalapú szolgáltatás (SIEMaaS) használata mellett döntenek. Ahogy egyre több cég halad az IaaS, a SaaS és a PaaS felé, logikusabbá válik a technológiának, amely integrálódik vele, vagy legalábbis opció, ha szükséges.

Ha egy megoldás méretezhetőbbé válik, akkor valószínűleg olcsóbb és gyorsabban megvalósítható, mint az alternatív megoldás. A helyszíni megoldásokhoz viszonyítva a többi készülékkel való kapcsolat valószínűleg nem olyan egyszerű.

Noha a szolgáltató biztonsági mentési tervétől függ, a SIEMaaS valószínűleg megbízhatóbb biztonsági másolatbiztonságot nyújtana feladatátvétel esetén, mivel az elérhető felhőszolgáltatásnak nagyobb esélye van felmaradni, míg az izolált adatközpont leesik. Másrészt, ha az áramszünetet a felhőszolgáltató okozza, az ügyfélszolgálat sok technikai anarchiával járhat a kezükben.

Egyes szakértők úgy vélik, hogy a SIEM felhőnek való kitettsége növeli a szervezet támadási felületét, mivel hálózati platformjuk kevésbé elszigetelődik. Rahim Karmali, a Hewlett Packard Enterprises biztonsági megoldás-építésze úgy véli, hogy semmi sem lehet távolabb az igazságtól. "Ezeket a belépési pontokat kell aggódnia - a mobiltelefonján, táblagépén, laptopján stb. Nagyon gyakran ezek az eszközök lebegnek olyan hálózatokon, amelyek nem biztonságosak."

Előnyök (SIEM általában)

A felhő kilátásaitól eltekintve, ami nyilvánvaló, hogy egy szervezet jobban működik egy SIEM-sel, mint egy nélkül. Számos szabványos megfelelési jelentéstételi követelmény - például az egészségügyi és biztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), a fizetési kártya-ipari adatbiztonsági szabvány (PCI DSS) és a Sarbanes-Oxley törvény (SOX) - teljesül egy központi naplógyűjtéssel.

Az eseménykezelés sokkal hatékonyabbá válik, mivel senki sem kezdi naplókat a támadó útvonalának a hálózaton vagy a támadási vektor összes gazdagépén és kiszolgálón keresztül történő megtalálásához; ehelyett a SIEM rendszer azonosítja és korrelálja ezeket az eseményeket madártávlatból, majd rekonstruálja az események sorozatát a támadás jellegének meghatározása céljából.

"Riasztási eszközként szolgál, amely lehetővé teszi a gyanús események pontos azonosítását az alkalmazásokból, adatbázisokból, operációs rendszerekből, hálózati és biztonsági eszközökből származó naplóinformációk korrelálásával" - mondja Ahluwalia.

A súlyos támadások már nem kerülnek elkülönítésre, és az események a rendszer felismerésének elkerülése érdekében eloszthatók több rendszerben. A helytelen SIEM nélkül a rosszindulatú események futótűzként terjedhetnek.

Egyes SIEM termékek képesek megállítani a támadásokat is, ha riasztásokat adnak más biztonsági ellenőrzésekhez, például tűzfalakhoz és behatolás-megelőző rendszerekhez. "A vállalatok már nem tudnak reaktív megközelítést alkalmazni olyan kérdésekben, mint a rosszindulatú programok és a ransomware" - mondja Karmali. „Olyan rendszerre van szükségük, amely végrehajtható intelligenciát biztosít.” (A biztonsággal kapcsolatos további információkért lásd: A titkosítás csak elegendő: 3 kritikus igazság az adatbiztonságról.)

Hátrányok (SIEM általában)

A SIEM számos olyan tevékenységet automatizál, amelyre a társaság egyébként órákat kézi munkát költene, azonban hatékonyságának fenntartásához új készségekre is szükség van. Az ügyfélvállalatnak minden részleg aktív részvételét kellene megkövetelnie annak biztosítása érdekében, hogy a helyes naplókat elküldjék az ügynöknek, mivel a korrelációs motorok hatékonyabban működnek, ha nem rejtenek irreleváns adatok vagy hamis pozitív eredmények alapján. Minél nagyobb a szervezet, annál inkább hajlamos a naplóinak túlterhelni a SIEM rendszert.

Ezenkívül, noha a SIEM technológia óriási előrelépéseket tett az 1996-os kezdete óta, ez nem önálló rendszer. Karmali szerint az „emberek, a folyamat és a technológia” kombinációját igényli.

Az optimális hatékonyságot általában akkor érik el, ha a SIEM rendszerek tűzfalakkal, behatolás-felderítő / -megelőző rendszerekkel, rosszindulatú programok elleni védelmi alkalmazásokkal és más vezérlőkkel állnak össze.

Következtetés

A legtöbb vállalati szintű szervezet biztonságosabb a működő és hatékony SIEM rendszerrel; azonban a legmegfelelőbb SIEM rendszer kiválasztása kihívást jelenthet. Például a kisebb vállalatok számára jobb az olyan felhőalapú megoldás, amely méretezhetőbb és gyorsabban megvalósítható. Nagyobb társaságok számára érdemes lenne befektetni egy drágább, hibrid megoldásba, ahol a felhő és a helyiség egyaránt biztosítják saját méretgazdaságosságukat.

Akárhogy is, bármilyen méretű szervezet számára az optimális hatékonyság és a magas beruházási megtérülés érhető el azáltal, hogy dedikált személyzettel állnak a rendszer folyamatos ellenőrzéséhez és karbantartásához.

Számos vállalat végrehajtja a SIEM-et megfelelőségi okokból, és ha nem rendelkeznek elegendő erőforrással a rendszer kezeléséhez, karbantartásához és finomhangolásához, egy nagyon drága, nem hatékony naplógyűjtő eredményezheti kezét.