Správa bezpečnostných informácií (SIEM): v ňom na diaľku

Autor: Eugene Taylor
Dátum Stvorenia: 9 August 2021
Dátum Aktualizácie: 20 V Júni 2024
Anonim
Správa bezpečnostných informácií (SIEM): v ňom na diaľku - Technológie
Správa bezpečnostných informácií (SIEM): v ňom na diaľku - Technológie

Obsah


Zdroj: Cuteimage / Dreamstime.com

Zobrať:

Bezpečnostné informácie a správa udalostí sa objavujú ako veľmi silný nástroj v oblasti zabezpečenia systému.

Pre väčšinu celopodnikových organizácií vedie prudký počet a ochromujúci výskyt incidentov v prípade porušenia údajov v posledných rokoch k prudkému zvýšeniu ich nákladov na počítačovú bezpečnosť.

Uprostred nutkania investovať do najmodernejších technológií čo najrýchlejšie je čoraz dôležitejšie pochopiť, aké riešenia existujú a či sú vhodné.

Jedným z najrýchlejšie rastúcich sektorov bezpečnostných produktov sú analytické nástroje správania používateľov, napríklad systém bezpečnostných informácií a správy udalostí (SIEM), ktorý zhromažďuje údaje z protokolov udalostí a autentifikácie na stanovenie základnej línie normálnej činnosti, a potom túto základnú líniu použije na odhaliť škodlivé správanie používateľov a ďalšie anomálie. (Ak sa chcete dozvedieť viac o zabezpečení, prečítajte si článok Beyond Governance and Compliance: Prečo záleží na bezpečnostných rizikách IT.)


Ak analógie pomôžu, pomyslite na monitor JIS, kde nepretržité pozorovanie z centrálneho displeja pomáha identifikovať abnormality, ktoré následne spúšťajú výstrahy a potom okamžite iniciujú nápravné opatrenia. Podobne ako umiestnenie elektród na koži pacienta na vytvorenie vedenia pre srdcový výdej, agenti sa používajú ako middleware na vytvorenie spojenia so serverom a vytvorenie cesty na prenos údajov do virtuálneho zberača protokolov (VLC).

Pre spoločnosti, ktoré si to mohli dovoliť, boli správy o tejto technológii ako božstvo späť v 90. rokoch, keď vlny tsunami šľahaných guľatinou pomocou systémov na detekciu neoprávneného vniknutia a prevencie vytvárali pre systémy na správu protokolov obrovské vákuum. V súčasnosti však nástroje SIEM prešli od systémov zameraných na logy, ktoré boli primárne určené na správu protokolov, značnú cestu, a preto majú náklady na ich implementáciu.


V posledných rokoch sa technológia SIEM stala vyspelejšou vďaka funkciám, ako sú zber údajov zo surových paketov a metodiky strojového učenia, ako je korelácia udalostí, aby pomohla odhaliť hrozby, ktoré zvyčajne obchádzajú preventívne kontroly. „Smerovanie k nepretržitému odhaľovaniu útokov a primeranej ochrane je cestou a spoločnosť SIEM je v tomto procese kľúčovým faktorom,“ hovorí Lalit Ahluwalia, vedúca predstaviteľka bezpečnostnej rady pre verejný sektor v spoločnosti Accenture v Severnej Amerike.

Aby mohol akýkoľvek podnik nasadiť SIEM, musel by prejsť vyčerpávajúcou fázou zhromažďovania požiadaviek, v ktorej by sa zdokumentovali všetky cesty protokolov udalostí udalostí súvisiace s bezpečnosťou produkované ich kritickými zariadeniami vrátane zariadení na správu sietí, VoIP, bezpečnosti a systémov. ,

Po dokončení sú agenti middlewaru nakonfigurovaní na tieto denníky do VLC, ktorý zachytáva pakety prvotných údajov a rozširuje ich do hostiteľa počítačovej hrozby, ktorý uľahčuje detekciu a prevenciu hrozieb pomocou algoritmov na analýzu správania a systém sledovania výstrah.

Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života

Nemôžete zlepšiť svoje programovacie schopnosti, keď sa nikoho nezaujíma o kvalitu softvéru.

Náklady na implementáciu a prípravu sú však iba jednou časťou rovnice. Ďalšou časťou je priebežné monitorovanie.

Druhá polovica

Klientská spoločnosť bude potrebovať špecializovaný personál, ako sú technici informačnej bezpečnosti a architekti, aby sa zabezpečilo, že agentovi sa posielajú nové protokoly, aktualizujú sa filtre na zníženie falošných pozitív, výkon sa neustále vyladí, monitoruje sa miesto na disku a vyvažuje sa záťaž riešenia sa implementujú, keď sieť začne volať po väčšej šírke pásma.

Cloudové perspektívy

Jedným z hlavných faktorov, ktoré určujú náklady spoločnosti na implementáciu SIEM, je to, či sa rozhodnú používať cloudovú službu (SIEMaaS). Keď sa viac spoločností posúva smerom k IaaS, SaaS a PaaS, je logickejšie mať k dispozícii technológiu, ktorá sa s ňou integruje, alebo ak je to potrebné, aspoň možnosť.

Ak sa riešenie stane škálovateľnejším, je pravdepodobné, že jeho implementácia bude lacnejšia a rýchlejšia ako alternatíva. V porovnaní s riešením na mieste však pripojenie k iným zariadeniam nemusí byť také priame.

Aj keď SIEMaaS závisí od plánu zálohovania poskytovateľa služieb, pravdepodobne by poskytlo spoľahlivejšie zabezpečenie zálohovania v prípade zlyhania, pretože dostupná cloudová služba má väčšiu šancu zostať hore, zatiaľ čo izolované dátové centrum klesá. Na druhej strane, ak výpadok je spôsobený poskytovateľom cloudových služieb, klientská spoločnosť by mohla mať na rukách veľa technickej anarchie.

Niektorí odborníci sa domnievajú, že vystavenie SIEM cloudu by mohlo zvýšiť útočný povrch organizácie, pretože ich sieťová platforma sa stáva menej izolovanou. Rahim Karmali, architekt bezpečnostných riešení pre spoločnosť Hewlett Packard Enterprises, sa však domnieva, že nič nemôže byť ďalej od pravdy. „Je to vstupný bod, ktorý si musíte robiť starosti - váš mobil, tablet, laptop atď. Tieto zariadenia sa často vznášajú v sieťach, ktoré nemusia byť zabezpečené.“

Pros (všeobecne SIEM)

Pri pohľade na cloud je zrejmé, že organizácia je s SIEM lepšie ako bez nej. Prostredníctvom centralizovanej zbierky protokolov sa plní mnoho štandardných požiadaviek na vykazovanie zhody, napríklad požiadavky zákona o zdravotnom a poistnom prenosnosti a zodpovednosti (HIPAA), štandard bezpečnosti údajov o platobných kartách (PCI DSS) a zákon Sarbanes-Oxley (SOX).

Manipulácia s incidentmi sa stáva oveľa efektívnejšou, pretože nikto manuálne neprechádza denníkmi, aby našiel cestu útočníka cez sieť alebo všetkých hostiteľov a servery vo vektore útoku; namiesto toho systém SIEM identifikuje a koreluje tieto udalosti z pohľadu z vtáčej perspektívy a potom rekonštruuje postupnosť udalostí, aby určil povahu útoku.

„Slúži ako výstražný nástroj so schopnosťou presne identifikovať podozrivé udalosti porovnaním informácií z denníka z aplikácií, databáz, operačných systémov, sieťových a bezpečnostných zariadení,“ hovorí Ahluwalia.

Závažné útoky už nie sú izolované a udalosti môžu byť distribuované do viacerých systémov, aby sa predišlo detekcii. Bez existencie SIEM sa škodlivé udalosti môžu šíriť ako požiar.

Niektoré produkty SIEM majú tiež schopnosť zastaviť útoky varovaním pred inými bezpečnostnými kontrolami, ako sú brány firewall a systémy na zabránenie vniknutia. „Spoločnosti už nemôžu pristupovať reaktívne k veciam, ako je malware a ransomware,“ hovorí Karmali. „Potrebujú systém, ktorý poskytuje akčné informácie.“ (Viac informácií o zabezpečení nájdete v téme Šifrovanie, ktoré nestačí: 3 kritické pravdy o bezpečnosti údajov.)

Nevýhody (SIEM všeobecne)

SIEM automatizuje mnoho aktivít, na ktoré by spoločnosť inak strávila hodiny manuálnej práce, vyžaduje si však novú sadu zručností, aby si udržala svoju účinnosť. Klientská spoločnosť by vyžadovala aktívnu účasť všetkých oddelení, aby sa zabezpečilo, že agentovi budú zasielané správne protokoly, pretože korelačné mechanizmy fungujú efektívnejšie, keď neprepadajú nepodstatnými údajmi alebo chybnými pozitívami. Čím väčšia je organizácia, tým väčšia je tendencia jej protokolov premôcť systém SIEM.

Okrem toho, hoci technológia SIEM od svojho vzniku v roku 1996 zaznamenala obrovský pokrok, nejde o samostatný systém. Vyžaduje si to kombináciu „ľudí, procesov a technológií“, hovorí Karmali.

Optimálna účinnosť sa zvyčajne dosiahne, keď sa systémy SIEM spoja s bránami firewall, systémami na detekciu / prevenciu neoprávneného vniknutia, aplikáciami na ochranu pred škodlivým softvérom a inými ovládacími prvkami.

záver

Väčšina celopodnikových organizácií je bezpečnejších s funkčným a efektívnym systémom SIEM; výber vhodného systému SIEM sa však môže ukázať ako náročný. Napríklad menšie spoločnosti sú lepšie s cloudovým riešením, ktoré by sa dalo viac škálovať a implementovať rýchlejšie. Pre väčšie spoločnosti by bolo vhodné investovať do nákladnejšieho hybridného riešenia, v ktorom cloud a predpoklad poskytujú svoje vlastné úspory z rozsahu.

V každom prípade je pre organizácie akejkoľvek veľkosti spôsob, ako dosiahnuť optimálnu účinnosť a vysokú návratnosť investícií, tým, že majú vyhradených zamestnancov, ktorí vykonávajú nepretržité monitorovanie a údržbu systému.

Mnoho spoločností implementuje systém SIEM z dôvodov dodržiavania predpisov, a ak nemajú dostatok zdrojov na správu, údržbu a jemné doladenie systému, môže mať na rukách veľmi drahý a neúčinný zberač protokolov.