Upravljanje varnostnih informacij (SIEM): v njem za dolge razdalje

Avtor: Eugene Taylor
Datum Ustvarjanja: 9 Avgust 2021
Datum Posodobitve: 20 Junij 2024
Anonim
Ustvarjalna družba
Video.: Ustvarjalna družba

Vsebina


Vir: Cuteimage / Dreamstime.com

Odvzem:

Varnostne informacije in upravljanje dogodkov se pojavljajo kot zelo močno orodje pri varnosti sistema.

V večini organizacij za podjetja so naraščajoče število in moteča resnost incidentov kršitve podatkov v zadnjih letih privedla do močnega povečanja njihovih stroškov kibernetske varnosti.

Med prisilo k čim hitrejšemu vlaganju v najnaprednejšo tehnologijo je vse bolj pomembno razumeti, kakšne rešitve so tam in ali so ustrezne.

Eden od najhitreje rastočih sektorjev varnostnih izdelkov so orodja za analizo vedenja uporabnikov, na primer sistem za varnostne informacije in upravljanje dogodkov (SIEM), ki zbira podatke iz dnevnikov dogodkov in preverjanja pristnosti, da vzpostavi izhodiščno vrednost običajne dejavnosti, nato pa to izhodišče uporabi za odkrivanje zlonamernega vedenja uporabnikov in drugih nepravilnosti. (Če želite izvedeti več o varnosti, glejte Nadaljnje upravljanje in skladnost: Zakaj je varnostno tveganje IT tisto, kar je pomembno.)


Če analogije pomagajo, si omislite monitor ICU, kjer nenehno opazovanje z osrednjega zaslona pomaga prepoznati nepravilnosti, ki nato sprožijo opozorila in nato takoj sprožijo popravne ukrepe. In podobno kot namestitev elektrod na pacientovo kožo, da ustvarite kanal za srčni izpust, se sredstva uporabljajo kot vmesna programska oprema za povezavo s strežnikom in ustvarjanje poti za prenos podatkov v Virtual Log Collector (VLC).

Pri podjetjih, ki bi si to lahko privoščila, so bile novice o tej tehnologiji kot bog v 90-ih, kjer so cunami dnevnikov, ki jih sestavljajo sistemi za odkrivanje vdorov in preprečevanja, ustvaril velik vakuum za sisteme upravljanja dnevnikov. Danes pa so orodja SIEM daleč daleč od sistemov, usmerjenih v log, ki so bili v prvi vrsti namenjeni upravljanju dnevnikov, zato so stroški za njihovo izvajanje.

V zadnjih letih je tehnologija SIEM postala bolj napredna z lastnostmi, kot so zajem paketnih podatkov in metodologij strojnega učenja, na primer korelacija dogodkov, za pomoč pri opazovanju groženj, ki običajno zaobidejo preventivne kontrole. "Gibanje k nenehnemu odkrivanju napadov in ustrezni zaščiti je pot in SIEM je ključni dejavnik v tem procesu," pravi Lalit Ahluwalia, vodja varnostnega sektorja za javni sektor Severne Amerike pri Accenture.


Da bi lahko katero koli podjetje uvedlo SIEM, bi moralo skozi fazo izčrpnega zbiranja zahtev, v kateri bi bile dokumentirane vse poti, povezane z varnostjo, ki jih proizvedejo njihove kritične naprave, vključno z omrežnimi, VoIP, varnostnimi napravami in napravami za upravljanje sistemov. .

Ko so končani, agenti vmesne programske opreme nato konfigurirajo v te dnevnike v VLC, ki zajame surove pakete podatkov in jih razširi na spletno gostiteljsko grožnjo, ki olajša odkrivanje in preprečevanje groženj z algoritmi za analizo vedenja in sistemom za spremljanje opozoril.

Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje

Ne morete izboljšati svojih programskih sposobnosti, če nikogar ne skrbi za kakovost programske opreme.

Vendar so stroški izvedbe in priprave le en del enačbe. Drugi del je stalno spremljanje.

Druga polovica

Podjetje naročnika bo potrebovalo namensko osebje, kot so inženirji za varovanje informacij in arhitekti, za zagotovitev, da se agentu pošiljajo novi dnevniki, filtri se posodabljajo za zmanjšanje lažnih pozitivnih rezultatov, zmogljivost je konstantno nastavljena, diskovni prostor se spremlja in izravnava obremenitev rešitve se izvajajo, ko omrežje začne vpiti za večjo pasovno širino.

Oblačne perspektive

Eden glavnih dejavnikov, ki določajo stroške podjetja za uvedbo SIEM, je, ali se odločijo za uporabo storitve v oblaku (SIEMaaS). Ko se več podjetij premika proti IaaS, SaaS in PaaS, postane bolj logično, da je tehnologija, ki se z njo integrira, ali vsaj možnost, če je to potrebno.

Ko postane rešitev bolj razširljiva, bo verjetno cenejša in hitrejša za implementacijo kot alternativa. Vendar v primerjavi z lokalno rešitvijo povezljivost z drugimi napravami morda ni tako preprosta.

Čeprav je SIEMaaS odvisen od varnostnega načrta ponudnika storitev, bo verjetno zagotovil zanesljivejšo varnostno kopijo v primeru izklopa, saj ima dostopna storitev v oblaku več možnosti, da ostanejo gor, ko se izolirani podatkovni center zmanjša. Po drugi strani pa bi lahko naročnikovo podjetje, če bo izpad povzročilo ponudnik storitev v oblaku, na koncu z veliko tehnične anarhije.

Nekateri strokovnjaki menijo, da bi lahko izpostavljenost SIEM oblaku povečala napadalno površino organizacije, saj njihova omrežna platforma postane manj izolirana. Vendar Rahim Karmali, arhitekt varnostnih rešitev za podjetja Hewlett Packard Enterprises, meni, da nič ne more biti dlje od resnice. "Skrbeti morate za vstopne točke - vaš mobilni telefon, tablični računalnik, prenosni računalnik itd. Zelo pogosto te naprave plavajo v omrežjih, ki morda niso zavarovana."

Prednosti (na splošno SIEM)

Glede na perspektive v oblaku je očitno, da je organizacija s SIEM boljše kot brez. Številne zahteve glede poročanja o skladnosti, kot so tiste iz Zakona o zdravstveni in zavarovalniški prenosljivosti in odgovornosti (HIPAA), standarda za varnost podatkov o plačilnih karticah (PCI DSS) in zakona Sarbanes-Oxley (SOX), so izpolnjene s pomočjo centralizirane zbirke dnevnikov.

Ravnanje z nezgodami postane veliko bolj učinkovito, saj nihče ne ročno vodi po dnevnikih, da bi našel pot napadalca po omrežju ali vseh gostiteljih in strežnikih v vektorju napada; sistem SIEM namesto tega s ptičje perspektive prepozna te dogodke in jih primerja ter nato rekonstruira zaporedje dogodkov, da določi naravo napada.

"Služi kot orodje za opozarjanje s sposobnostjo natančnega prepoznavanja sumljivih dogodkov s povezavo podatkov dnevnika iz aplikacij, baz podatkov, operacijskih sistemov, omrežja in varnostnih naprav," pravi Ahluwalia.

Resni napadi niso več osamljeni in dogodke je mogoče distribuirati po več sistemih, da se izognejo odkrivanju. Brez vzpostavljenega sistema SIEM se lahko zlonamerni dogodki širijo kot divji požar.

Nekateri izdelki SIEM imajo tudi možnost zaustavljanja napadov z opozorili na druge varnostne kontrole, na primer požarne zidove in sisteme za preprečevanje vdorov. "Podjetja ne morejo več uporabljati reaktivnega pristopa do stvari, kot so zlonamerna programska oprema in izsiljevalna programska oprema," pravi Karmali. "Potrebujejo sistem, ki zagotavlja uporabno inteligenco." (Za več informacij o varnosti glejte Šifriranje samo Isnt Enough: 3 Kritične resnice o varnosti podatkov.)

Slabosti (na splošno SIEM)

SIEM avtomatizira številne dejavnosti, za katere bi podjetje sicer porabilo ure ročnega dela, vendar pa potrebuje tudi novo spretnost, da ohrani svojo učinkovitost. Podjetje naročnika bi zahtevalo aktivno sodelovanje vseh oddelkov, da bi zagotovili, da se posredniku pošiljajo pravilni dnevniki, ker korelacijski mehanizmi delujejo učinkoviteje, kadar ne presejajo nepomembnih podatkov ali lažnih pozitivnih rezultatov. Večja kot je organizacija, večja je težnja, da njeni dnevniki preplavijo sistem SIEM.

Čeprav je tehnologija SIEM že od začetka leta 1996 dosegla velik napredek, to ni samostojen sistem. Karmali pravi, da potrebuje kombinacijo "ljudi, procesa in tehnologije".

Optimalna učinkovitost je običajno dosežena, kadar se sistemi SIEM združujejo s požarnimi zidovi, sistemi za odkrivanje / preprečevanje vdorov, aplikacijami za zaščito pred zlonamerno programsko opremo in drugimi kontrolami.

Zaključek

Večina organizacij za podjetja je bolj varna s funkcionalnim in učinkovitim sistemom SIEM; vendar se lahko odločite, kateri sistem SIEM je najprimernejši. Manjša podjetja, na primer, imajo bolje rešitev v oblaku, ki bi bila lahko bolj razširljiva in hitrejša za izvajanje. Za večja podjetja bi bilo smiselno vložiti v cenovno dražjo hibridno rešitev, kjer oblak in predpostavka zagotavljata ekonomijo obsega.

Kakor koli že, za organizacije vseh velikosti je način, kako doseči optimalno učinkovitost in visoko donosnost naložbe, s tem, da imajo namensko osebje za stalno spremljanje in vzdrževanje sistema.

Številna podjetja izvajajo SIEM iz razlogov skladnosti in, če nimajo dovolj sredstev za upravljanje, vzdrževanje in natančno nastavitev sistema, bi lahko imela zelo drag in neučinkovit zbiralnik dnevnikov v svojih rokah.