Hvad er SIEM-software?
SIEM-software (Security Information and Event Management) giver erhvervssikkerhedsprofessionelle både indsigt i og en track record af aktiviteterne inden for deres it-miljø.
SIEM-teknologi har eksisteret i mere end et årti og har oprindeligt udviklet sig fra loghåndteringsdisciplinen. Det kombinerede SEM (Security Event Management) – som analyserer log- og hændelsesdata i realtid for at give trusselovervågning, hændelseskorrelation og hændelsesrespons – med sikkerhedsinformationsstyring (SIM), der indsamler, analyserer og rapporterer om logdata.
Sådan fungerer SIEM
SIEM-software indsamler og aggregerer logdata genereret gennem organisationens teknologiske infrastruktur, fra værtssystemer og applikationer til netværks- og sikkerhedsenheder såsom firewalls og antivirusfiltre.
Softwaren identificerer og kategoriserer derefter hændelser og begivenheder samt analyserer dem. Softwaren leverer to hovedmål, som er at
- levere rapporter om sikkerhedsrelaterede hændelser og begivenheder, såsom vellykkede og mislykkede logins, malware-aktivitet og andre mulige ondsindede aktiviteter og
- send advarsler, hvis analysen viser, at en aktivitet kører mod forudbestemte regelsæt og dermed indikerer et potentielt sikkerhedsproblem.
Virksomhedens behov for bedre compliance-styring kørte meget af den tidlige vedtagelse af denne teknologi, siger Paula Musich, forskningsdirektør hos Enterprise Management Associates (EMA), et markedsundersøgelses- og konsulentfirma med base i Boulder, Colo.
“Revisorer havde brug for en måde at se på, om overholdelse blev opfyldt eller ej, og SIEM leverede den overvågning og rapportering, der var nødvendig for at opfylde mandater som HIPPA, SOX og PCI DSS, ”siger hun og henviser til Health Insurance Portability and Accountability Act, Sarbanes – Oxley Act og betalingskortindustridataene. Sikkerhedsstandard.
Eks perts siger, at virksomhedernes efterspørgsel efter større sikkerhedsforanstaltninger har drevet mere af SIEM-markedet de seneste år.
“Nu ser store organisationer typisk på SIEM som et fundament for at stå op for sikkerhedsoperationscentret,” siger Musich. / p>
Analytics og intelligens
En af de vigtigste drivere bag brugen af SIEM-software til sikkerhedsoperationer hviler på de nyere funktioner indeholdt i mange af produkterne på marked.
“Nu bringer mange SEIM-teknologier trusselsintelligensfeeds ud over traditionelle logdata, og der er flere SIEM-produkter, der har sikkerhedsanalysefunktioner, der ser på netværksadfærd såvel som brugeradfærd til give mere intelligens omkring, hvorvidt en aktivitet indikerer ondsindet aktivitet, ”forklarer Musich.
Faktisk opfordrer teknologiforskningsfirmaet Gartner i sin rapport fra maj 2017 om det verdensomspændende SIEM-marked intelligensen i SIEM-værktøjer og sagde” innovation i SIEM-markedet er bevægeligt g i et spændende tempo for at skabe et bedre værktøj til detektering af trusler. ”
Gartner-rapporten bemærker endvidere, at leverandører introducerer maskinindlæring, avanceret statistisk analyse og andre analysemetoder til deres produkter, mens nogle også eksperimenterer med kunstig intelligens og dyb læringsfunktioner.
Ifølge Gartner markedsfører leverandører sådanne fremskridt som muligheder, der kan give mere nøjagtige detektionshastigheder i et hurtigere tempo. Gartner påpeger imidlertid, at virksomhederne endnu ikke er klar over, hvorvidt eller hvor meget disse kapaciteter giver organisationen nye afkast.
Rob Stroud, en hovedanalytiker hos Forrester Research og tidligere bestyrelsesformand med ISACA, en international professionel sammenslutning med fokus på it-styring, siger, at han ser løfte i sådanne teknologier.
“Med AI og maskinlæring kan vi udføre inferens og mønsterbaseret overvågning og alarmering, men den reelle mulighed er forudsigelig gendannelse. Dette er overgangen på markedet nu. Det går fra et overvågningsværktøj til afhjælpningsforslag, ”siger Stroud og tilføjer, at han forventer, at SIEM-software endda vil kunne automatisere afhjælpning i fremtiden.
SIEM i virksomheden
SIEM-software fanger kun en lille del af de samlede dollars, der bruges på virksomhedssikkerhed overalt i verden, ifølge Gartner. Gartner anslår de globale udgifter til virksomhedssikkerhed til næsten $ 98,4 mia. Dollars for 2017 med SIEM-software optjene omkring 2,4 milliarder dollars. Gartner forudsiger, at udgifterne til SIEM-teknologi vil stige beskedent til næsten 2,6 mia. $ I 2018 og 3,4 mia. $ I 2021.
SIEM-software bruges mest af store organisationer og offentlige virksomheder, hvor overholdelse til forskrifter forbliver en stærk faktor i brugen af denne teknologi ifølge analytikere.
Mens nogle mellemstore virksomheder også SIEM-software, har små virksomheder ikke tendens til at have brug for eller ønsker at investere i det.Analytikere siger, at de ofte er prissat for at købe deres egen løsning, da den årlige pris kan løbe fra titusinder til mere end $ 100.000 plus. Derudover har små virksomheder ikke evnen til at ansætte det talent, der er nødvendigt for at vedligeholde SIEM-software løbende.
Når det er sagt, bemærker analytikere også, at nogle små og mellemstore virksomheder har SIEM leveret som et software-as-a-service-tilbud gennem outsourcing af udbydere, der er store nok til at sælge deres SMB-klienter den service.
I øjeblikket har store virksomhedsbrugere tendens til altid at køre SIEM-software lokalt på grund af følsomheden af nogle af de data, der går gennem systemet. “Du logger følsomme ting, og det er ikke noget, folk har meget lyst til at sende over internettet,” siger John Hubbard, ledende analytiker for GlaxoSmithKlines amerikanske sikkerhedsoperationscenter og instruktør hos SANS Institute, en organisation for sikkerhed. fagfolk.
Men da maskinindlæring og kunstig intelligens inden for SIEM-produkter øges, forventer nogle analytikere, at SIEM-leverandører vil tilbyde en hybridmulighed, hvor nogle af analyserne kører i skyen .
“Vi ser indsamling og kuratering og intelligens via sky; vi ser det opstå, fordi sælgeren kan få flere data, end en organisation kan, ”siger Stroud.
SIEM-værktøjer og leverandørvalg
SIEM-markedet har flere dominerende leverandørbaserede på verdensomspændende salg, specifikt IBM, Splunk og HPE. Der er mindst flere flere vigtige aktører, nemlig Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds og Trustwave.
Musich siger, at virksomheder skal evaluere produkter baseret på deres egne mål for at bestemme, hvilke bedst opfylder deres behov. Organisationer, der primært ønsker denne teknologi til overholdelse, vil værdsætte visse funktioner, såsom rapportering, højere end organisationer, der ønsker at udnytte SIEM til at oprette et sikkerhedsoperationscenter.
I mellemtiden siger hun, organisationer, der har petabytes data, vil finde nogle leverandører, der er bedre i stand til at imødekomme deres behov, mens de, der har færre data, måske vælger andre muligheder. Tilsvarende vil virksomheder, der ønsker enestående trusseljagt, sandsynligvis se efter topdatavisualiseringsværktøjer og søgefunktioner, som andre muligvis ikke behøver at have.
Sikkerhedsledere skal tage højde for mange andre faktorer – som om de kan understøtte et bestemt værktøj, hvor meget data de har inden for systemet, og hvor meget de vil bruge – når de vurderer SIEM-leverandører, siger Musich. For eksempel er HPEs ArcSight ESM et modent værktøj, der har meget funktionalitet, men kræver en betydelig mængde ekspertise og er dyrere end andre muligheder.
“Der vil altid være en række muligheder,” Musich tilføjer. “Og jo mere sofistikeret sikkerheden er i operationerne, jo bedre brug vil de gøre af de værktøjer, de har.”
I betragtning af de forskellige kapacitetskrav afhængigt af de to vigtigste drivere bag SIEM-valg, siger Hubbard, at han ser, at mange organisationer vælger to forskellige systemer, hvor den ene fokuserer på overholdelse og den anden fokuserer på detektion af trusler.
“Du samler muligvis meget for overholdelse , men det kan sænke det ved brug af trusselsdetektering. Så du har en taktisk SIEM til trusselsregistrering, ”siger han.
Maksimering af SIEMs værdi
Stadig fortsætter de fleste virksomheder med SIEM-software primært til at spore og undersøge, hvad der er sket, siger Eric Ogren, senioranalytiker med information se curity team på 451 Research. Ogren siger, at denne brugssag er drevet af den eskalerende trussel om overtrædelser og det stadig mere alvorlige nedfald, som ledere og organisationer vil blive udsat for i sådanne begivenheder. få bestyrelsen til at spørge, hvad der skete, og sige: Fanden, hvis jeg ved det. De vil sige: Vi gennemgår logdata for at finde ud af, hvad der skete. “
På samme tid, dog , mange virksomheder bevæger sig nu ud over det og bruger i stigende grad teknologien til detektion og næsten realtidsrespons, siger Ogren.
“Spillet nu er: Hvor hurtigt kan du opdage?” siger han og tilføjer, at de udviklende maskinlæringsfunktioner hjælper SIEM-systemer til mere nøjagtigt at identificere usædvanlig og potentielt ondsindet aktivitet.
På trods af sådanne fremskridt bliver organisationer fortsat udfordret i deres evner til at maksimere fordelene og dermed , den værdi, de får ud af eksisterende systemer, siger eksperter.
Der er forskellige grunde til det.
For det første er SIEM-teknologier ressourceintensive og kræver erfarent personale til at implementere, vedligeholde og finjuster dem – personale, som ikke alle organisationer har investeret fuldt ud i endnu.
“Mange organisationer bringer teknologien ind, fordi de ved, at det er noget, de ønsker, men de har ikke personalet, eller de får ikke personalet den uddannelse, de har brug for at bruge det, ”siger Stroud.
SIEM-software kræver også kvalitetsdata for maksimalt udbytte -” Jo større datakilde du giver det, jo bedre bliver det, og jo bedre kan det se outliers, “forklarer Stroud. Alligevel kæmper organisationer fortsat med at definere og levere de rigtige data.
Og selv med stærke data og et sofistikeret team, der kører SIEM-teknologien, har selve softwaren grænser, siger analytikere. De påpeger, at det ikke er helt nøjagtigt at opdage, hvad der er acceptabel aktivitet, og hvad der er en legitim potentiel trussel – en uoverensstemmelse, der fører til et stort antal falske alarmer i mange implementeringer.
Dette scenario kræver stærk styring og effektive procedurer inden for virksomheden, så sikkerhedsteamene ikke bukker under for alarmeringsoverbelastning.
Stroud siger, at sikkerhedsprofessionelle ofte starter med at jagte en svimlende mængde falske alarmer. Sofistikerede organisationer vil lære at indstille værktøjsoverarbejde, så softwaren forstår, hvad der er sædvanlige begivenheder og derved sænke antallet af falske alarmer.
På den anden side siger han dog, at nogle sikkerhedsteam vil skimme på det trin og i stedet indstille flere af de falske alarmer ud fra vane – en praksis, der risikerer at gå glip af reelle trusler.
Musich siger, at de mere sofistikerede organisationer også skriver manuskripter for at automatisere flere af de verdslige funktioner, såsom at trække kontekstuelle data fra forskellige kilder for at sætte et mere komplet billede omkring alarmer for at fremskynde efterforskning og identifikation af reelle trusler.
“Det kræver gode processer såvel som en modenhed i sikkerhedsoperationerne,” tilføjer hun. “Det betyder at have det ikke bare et værktøj for sig selv, men at have det integreret med andre teknologier og have en overordnet proces til at styre aktiviteterne. ”
Det bevæger sig sådan, siger hun, at kan reducere den tid, personale bruger på aktivitet på lavere niveau itier og i stedet tillade dem at omdirigere deres energi til de værdifulde opgaver, der hæver virksomhedens hele sikkerhedsstilling.
Mere om SIEM:
- ArcSight vs. Splunk? Hvorfor vil du muligvis begge dele
- Evalueringskriterier for SIEM
- SIEM: 14 spørgsmål at stille, inden du køber
- Grundlæggende loghåndtering
- SIEMs -as-a-service imødekommer små, mellemstore virksomheders behov