Co je to software SIEM?
Software SIEM (Security Information and Event Management) poskytuje podnikovým bezpečnostním profesionálům přehled o a sledovat aktivity v jejich IT prostředí.
Technologie SIEM existuje již více než deset let a původně se vyvinula z disciplíny správy protokolů. Kombinovala správu bezpečnostních událostí (SEM) – která analyzuje data protokolu a událostí v reálném čase a poskytuje monitorování hrozeb, korelaci událostí a reakci na incidenty – se správou bezpečnostních informací (SIM), která shromažďuje, analyzuje a hlásí data protokolu.
Jak funguje SIEM
Software SIEM shromažďuje a agreguje data protokolu generovaná v rámci technologické infrastruktury organizace, od hostitelských systémů a aplikací až po síťová a bezpečnostní zařízení, jako jsou brány firewall a antivirové filtry.
Software poté identifikuje a kategorizuje incidenty a události a také je analyzuje. Tento software plní dva hlavní cíle, kterými jsou
- poskytovat zprávy o bezpečnostních událostech a událostech, jako jsou úspěšná a neúspěšná přihlášení, aktivita malwaru a další možné škodlivé aktivity a
- odesílat upozornění, pokud analýza ukazuje, že aktivita běží proti předem stanoveným sadám pravidel, a tím naznačuje potenciální problém se zabezpečením.
Většinu potřeb řídila potřeba lepší správy dodržování předpisů včasné přijetí této technologie, říká Paula Musich, ředitelka výzkumu v Enterprise Management Associates (EMA), což je společnost zabývající se průzkumem trhu a poradenskou společností se sídlem v Boulderu v Coloradu.
„Auditoři potřebovali způsob, jak zjistit, zda je dodržování předpisů bylo či nebylo splněno, a SIEM zajistil monitorování a podávání zpráv nezbytných pro splnění mandátů jako HIPPA, SOX a PCI DSS, “říká v souvislosti se zákonem o přenositelnosti a odpovědnosti zdravotního pojištění, zákonem Sarbanes – Oxley Act a datem o odvětví platebních karet Bezpečnostní standard.
Avšak např Perts tvrdí, že podniková poptávka po větších bezpečnostních opatřeních v posledních letech poháněla větší část trhu SIEM.
„Velké organizace nyní obvykle považují SIEM za základ pro postavení bezpečnostního operačního centra,“ říká Musich.
Analýzy a inteligence
Jedním z hlavních faktorů, které stojí za používáním softwaru SIEM pro bezpečnostní operace, jsou novější funkce obsažené v mnoha produktech na market.
„Mnoho technologií SEIM nyní kromě tradičních dat protokolů přináší i zdroje informací o hrozbách a existuje několik produktů SIEM, které mají možnosti analýzy zabezpečení, které se zaměřují na chování sítě i chování uživatelů dát více informací o tom, zda aktivita naznačuje škodlivou činnost, “vysvětluje Musich.
Společnost Gartner pro technologický výzkum ve své zprávě z května 2017 o celosvětovém trhu SIEM skutečně volá po inteligenci v nástrojích SIEM a říká„ inovace v trh SIEM se pohybuje g vzrušujícím tempem k vytvoření lepšího nástroje pro detekci hrozeb. “
Zpráva společnosti Gartner dále konstatuje, že prodejci zavádějí do svých produktů strojové učení, pokročilou statistickou analýzu a další analytické metody, zatímco někteří také experimentují s umělá inteligence a možnosti hlubokého učení.
Podle společnosti Gartner prodejci prodávají takové pokroky, jako jsou schopnosti, které mohou poskytovat přesnější rychlosti detekce a rychlejší tempo. Gartner však zdůrazňuje, že podniky zatím nemají jasno v tom, zda nebo o kolik tyto schopnosti přinášejí organizaci nové výnosy.
Rob Stroud, hlavní analytik společnosti Forrester Research a bývalý předseda představenstva s ISACA, mezinárodní profesní sdružení zaměřené na správu IT, říká, že v takových technologiích vidí slib.
„S umělou inteligencí a strojovým učením můžeme provádět odvozování a monitorování a varování založené na vzorcích, ale skutečnou příležitostí je prediktivní obnova. Toto je nyní přechod na trh. Od monitorovacího nástroje k návrhům sanací, “říká Stroud a dodává, že očekává, že software SIEM bude v budoucnu dokonce schopen automatizaci sanace.
SIEM v podniku
Software SIEM zachycuje pouze malou část z celkových dolarů vynaložených na podnikové zabezpečení na celém světě, tvrdí Gartner. Gartner odhaduje globální výdaje na podnikové zabezpečení na rok 2017 téměř 98,4 miliard USD, se softwarem SIEM sbírat přibližně 2,4 miliardy $. Gartner předpovídá, že výdaje na technologii SIEM mírně vzrostou, na téměř 2,6 miliardy USD v roce 2018 a 3,4 miliardy USD v roce 2021.
Software SIEM používají většinou velké organizace a veřejné společnosti, kde dodržování předpisů Podle analytiků zůstává regulace při používání této technologie silným faktorem.
Zatímco některé společnosti střední velikosti také software SIEM, malé společnosti do toho nemají tendenci potřebovat ani nechtějí investovat.Analytici tvrdí, že za nákup vlastního řešení mají často cenu, protože jeho roční náklady se mohou pohybovat od desítek tisíc do více než 100 000 USD. Malé společnosti navíc nemají schopnost najímat talenty potřebné pro průběžnou údržbu softwaru SIEM.
To znamená, že analytici také berou na vědomí, že některé malé a střední podniky mají SIEM dodávány jako nabídka softwaru jako služby prostřednictvím poskytovatelů outsourcingu, kteří jsou dostatečně velcí na to, aby svým zákazníkům SMB klientům mohli tuto službu prodávat.
V současné době mají velcí podnikoví uživatelé z důvodu citlivosti tendenci vždy spouštět místní software SIEM. některých dat procházejících systémem. „Přihlašujete citlivé věci, a to není něco, co by lidé měli velkou chuť posílat přes internet,“ říká John Hubbard, hlavní analytik amerického bezpečnostního operačního střediska GlaxoSmithKline a instruktor SANS Institute, organizace pro bezpečnost profesionálové.
Jak se však zvyšuje schopnost strojového učení a umělé inteligence v produktech SIEM, někteří analytici očekávají, že prodejci SIEM nabídnou hybridní řešení, přičemž některé analytiky budou spuštěny v cloudu .
„Vidíme shromažďování a kurátorství a informace prostřednictvím cloudu; vidíme, že se to objevuje, protože prodejce může získat více dat než organizace, “říká Stroud.
SIEM nástroje a výběr dodavatele
Trh SIEM má několik dominantních prodejců založených na celosvětový prodej, konkrétně IBM, Splunk a HPE. Existuje alespoň několik dalších významných hráčů, jmenovitě Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds a Trustwave.
Musich říká, že společnosti musí hodnotit produkty na základě svých vlastních cílů, aby určily, které by nejlépe vyhovovalo jejich potřebám. Organizace, které chtějí tuto technologii primárně pro dodržování předpisů, ocení některé funkce, jako je vytváření sestav, mnohem lépe než organizace, které chtějí využít SIEM k nastavení bezpečnostního operačního centra.
Mezitím říká, že organizace, které mají petabajty dat, najdou některé dodavatele, kteří lépe splní jejich potřeby, zatímco ti, kteří mají méně dat, se mohou rozhodnout pro jiné možnosti. Podobně společnosti, které požadují vynikající vyhledávání hrozeb, budou pravděpodobně hledat špičkové nástroje pro vizualizaci dat a možnosti vyhledávání, které ostatní nemusí mít.
Vedoucí pracovníci zabezpečení musí vzít v úvahu řadu dalších faktorů – například to, zda mohou podporovat konkrétní nástroj, kolik dat v systému budou mít a kolik chtějí utratit – při hodnocení prodejců SIEM, říká Musich. Například HPE ArcSight ESM je vyspělý nástroj, který má spoustu funkcí, ale vyžaduje značné množství odborných znalostí a je dražší než jiné možnosti.
„Vždy bude existovat řada funkcí,“ Musich dodává: „A čím sofistikovanější je zabezpečení operací, tím lépe využijí nástroje, které mají.“
Vzhledem k různým požadavkům na schopnosti v závislosti na dvou hlavních faktorech, které stojí za nimi Výběr SIEM, Hubbard říká, že vidí mnoho organizací, které se rozhodnou pro dva různé systémy, přičemž jeden se zaměřuje na dodržování předpisů a druhý se zaměřuje na detekci hrozeb.
„Za dodržování předpisů byste mohli vyzvednout hodně. , ale to to může zpomalit pro použití při detekci hrozeb. Takže máte k dispozici taktický SIEM pro detekci hrozeb, “říká.
Maximalizace hodnoty SIEM
Většina společností i nadále používá Software SIEM primárně pro sledování a vyšetřování toho, co se stalo, říká Eric Ogren, hlavní analytik společnosti Information SE curity team ve společnosti 451 Research. Ogren říká, že tento případ použití je způsoben stupňující se hrozbou porušení a stále závažnějším dopadem, kterému čelí vůdci a organizace při takových událostech.
Jak říká Ogren: „Pokud dojde k hacknutí společnosti, žádný CIO nechce nechte radu, aby se zeptala, co se stalo, a řekla: „Sakra, jestli vím.“ Chtějí říci: „Procházíme daty protokolu, abychom zjistili, co se stalo.“ “
Zároveň však , mnoho společností nyní překračuje rámec toho a stále více používá technologii pro detekci a reakci téměř v reálném čase, říká Ogren.
„Hra nyní zní: Jak rychle můžete detekovat? “ říká a dodává, že vyvíjející se schopnosti strojového učení pomáhají systémům SIEM přesněji identifikovat neobvyklou a potenciálně škodlivou činnost.
Navzdory takovým pokrokům jsou organizace nadále vyzývány ve svých schopnostech maximalizovat výhody, a tedy , což je hodnota, kterou získávají i ze stávajících systémů, říkají odborníci.
Má to různé důvody.
Zaprvé, technologie SIEM jsou náročné na zdroje a vyžadují implementaci, údržbu zkušeného personálu a dolaďte je – personál, do kterého dosud ne všechny organizace plně investovaly.
„Mnoho organizací zavádí tuto technologii, protože vědí, že je to něco, co chtějí, ale nemají zaměstnance nebo nedostávají personál na školení, které potřebují používat, „říká Stroud.
Software SIEM také vyžaduje kvalitní data pro maximální výnos -“ Čím větší zdroj dat mu dáte, tím lépe se dostane a tím lépe uvidí odlehlé hodnoty, „vysvětluje Stroud. Přesto organizace nadále zápasí s definováním a poskytováním správných dat.
A i se silnými daty a sofistikovaným týmem provozujícím technologii SIEM má samotný software limity, říkají analytici. Poukazují na to, že není úplně přesné zjistit, co je přijatelná aktivita a co je legitimní potenciální hrozba – rozpor, který vede k vysokému počtu falešných upozornění v mnoha nasazeních.
Tento scénář vyžaduje silnou správu a účinné postupy v rámci podniku, aby bezpečnostní týmy nepodlehly přetížení výstrah.
Stroud říká, že bezpečnostní profesionálové často začínají pronásledováním ohromujícího množství falešných upozornění. Sofistikované organizace se naučí vyladit nástroje přesčas tak, aby software pochopil, jaké jsou běžné události, a tím snížil počet falešných upozornění.
Na druhou stranu však říká, že některé bezpečnostní týmy na tom šetří krok a místo toho vyladit více falešných upozornění ze zvyku – postup, při kterém hrozí, že mu budou chybět skutečné hrozby.
Musich říká, že sofistikovanější organizace také píší skripty k automatizaci více pozemských funkcí, jako je tahání kontextových data z různých zdrojů, která poskytují ucelenější obrázek o výstrahách, aby se urychlilo vyšetřování a identifikace skutečných hrozeb.
„Vyžadují se dobré procesy i vyspělost v bezpečnostních operacích,“ dodává. „To znamená mít to nejen nástroj sám pro sebe, ale mít to integrované s jinými technologiemi a mít celkový proces, který řídí činnosti. “
Je to takový pohyb, říká, že může zkrátit čas, který zaměstnanci stráví aktivací na nižší úrovni a místo toho jim umožní přesměrovat svou energii na úkoly s vysokou hodnotou, které povznášejí celé zabezpečení společnosti.
Více o SIEM:
- ArcSight vs. Splunk? Proč možná budete chtít obě
- Hodnotící kritéria pro SIEM
- SIEM: 14 otázek, na které se musíte zeptat před nákupem
- Základy správy protokolů
- SIEM -as-a-service řeší potřeby malých, středně velkých podniků