Mikä on SIEM-ohjelmisto?
Suojaustiedot ja tapahtumien hallinta (SIEM) -ohjelmistot antavat yritysturvallisuuden ammattilaisille sekä käsityksen että seuranta tietotekniikkaympäristössään tapahtuneista toiminnoista.
SIEM-tekniikka on ollut olemassa yli vuosikymmenen ajan, ja se on alun perin kehittynyt tukkien hallinnan kurinalaisuudesta. Se yhdisti tietoturvatapahtumien hallinnan (SEM) – joka analysoi loki- ja tapahtumadataa reaaliajassa uhkien seurannan, tapahtumakorrelaation ja tapahtumavasteen tarjoamiseksi – suojaustietojen hallintaan (SIM), joka kerää, analysoi ja raportoi lokitiedot.
Kuinka SIEM toimii
SIEM-ohjelmisto kerää ja kootaan organisaation koko teknologiainfrastruktuurissa tuotetut lokitiedot isäntäjärjestelmistä ja sovelluksista verkko- ja turvalaitteisiin, kuten palomuurit ja virustentorjuntasuodattimet.
Ohjelmisto tunnistaa ja luokittelee tapaukset ja tapahtumat sekä analysoi ne. Ohjelmistolla on kaksi päätavoitetta, jotka ovat
- raporttien antaminen tietoturvaan liittyvistä tapahtumista ja tapahtumista, kuten onnistuneista ja epäonnistuneista kirjautumisista, haittaohjelmista ja muista mahdollisista haittaohjelmista.
- lähettää ilmoituksia, jos analyysi osoittaa, että aktiviteetti on ennalta määritettyjen sääntöjoukkojen vastainen ja osoittaa siten mahdollisen tietoturvaongelman.
Yritysten tarve paremmalle vaatimustenhallinnalle sai aikaan suuren osan Tämän tekniikan varhainen käyttöönotto, sanoo Paula Musich, tutkimusjohtaja ja Enterprise Management Associates (EMA), markkinatutkimus- ja konsulttiyritys, joka sijaitsee Boulderissa, Colossa.
”Tilintarkastajat tarvitsivat tapaa tutkia, noudattaako sääntöjä vaatimustenmukaisuus täytettiin tai ei, ja SIEM toimitti HIPPA-, SOX- ja PCI DSS -valtuuksien täyttämiseksi tarvittavan seurannan ja raportoinnin ”, hän sanoo viitaten sairausvakuutuksen siirrettävyys- ja vastuuvelvollisuutta koskevaan lakiin, Sarbanes – Oxley-lakiin ja maksukorttiteollisuuden tietoihin Suojausstandardi.
Kuitenkin, esim pertien mukaan yritysten kysyntä suuremmille turvatoimille on ajautunut suurempaan osaan SIEM-markkinoita viime vuosina.
”Suuret organisaatiot odottavat yleensä SIEMiä perustana turvaoperaatiokeskuksen seisomiselle”, Musich sanoo.
Analytiikka ja älykkyys
Yksi tärkeimmistä SIEM-ohjelmistojen käytöstä tietoturvaoperaatioissa on uudemmilla ominaisuuksilla, jotka sisältyvät useisiin tuotteisiin markkinoilla.
”Nyt monet SEIM-tekniikat tuovat perinteisten lokitietojen lisäksi uhkatiedon syötteitä, ja on olemassa useita SIEM-tuotteita, joilla on tietoturva-analyysiominaisuuksia, jotka tarkastelevat verkon käyttäytymistä sekä käyttäjien käyttäytymistä antaa enemmän älykkyyttä siitä, viittaako toiminta haitalliseen toimintaan ”, Musich selittää.
Teknologian tutkimusyhtiö Gartner kutsuu toukokuussa 2017 julkaistussa SIEM-maailmanmarkkinoiden raportissaan SIEM-työkalujen älykkyyttä sanoen” innovaatio SIEM-markkinat ovat liikkuvia g jännittävällä vauhdilla paremman uhkatunnistustyökalun luomiseksi. ”
Gartnerin raportissa todetaan edelleen, että toimittajat ottavat tuotteisiinsa käyttöön koneoppimisen, edistyneitä tilastollisia analyyseja ja muita analyyttisiä menetelmiä, kun taas jotkut kokeilevat myös tekoäly ja syvälliset oppimisominaisuudet.
Gartnerin mukaan toimittajat markkinoivat sellaisia edistysaskeleita kuin valmiudet, jotka tarjoavat tarkempia havaintoprosentteja nopeammin. Gartner huomauttaa kuitenkin, että yrityksillä ei ole vielä selvää, tuottavatko nämä kyvyt organisaatiolle uutta tuottoa vai kuinka paljon.
Rob Stroud, Forrester Researchin pääanalyytikko ja entinen hallituksen puheenjohtaja ISACA, kansainvälinen IT-hallintaan keskittynyt ammattiyhdistys, sanoo näkevänsä lupauksen tällaisissa tekniikoissa.
”Tekoälyn ja koneoppimisen avulla voimme tehdä päätelmiä ja mallipohjaista seurantaa ja hälytyksiä, mutta todellinen mahdollisuus on ennakoiva palauttaminen. Tämä on siirtyminen markkinoilla nyt. Se siirtyy seurantatyökalusta korjausehdotuksiin ”, Stroud sanoo ja lisää, että hän odottaa SIEM-ohjelmiston pystyvän jopa automatisoimaan korjaamisen tulevaisuudessa.
SIEM yrityksessä
SIEM-ohjelmisto kerää vain pienen osan yritysturvallisuuteen käytetyistä dollareista maailmanlaajuisesti Gartnerin mukaan. Gartner arvioi, että yrityksen turvallisuuteen käytettävät globaalit menot ovat lähes 98,4 miljardia dollaria vuodelle 2017 SIEM-ohjelmistolla kerää noin 2,4 miljardia dollaria. Gartner ennustaa, että SIEM-tekniikkaan käytettävät menot nousevat maltillisesti, lähes 2,6 miljardiin dollariin vuonna 2018 ja 3,4 miljardiin dollariin vuonna 2021.
SIEM-ohjelmistoa käyttävät enimmäkseen suuret organisaatiot ja julkiset yritykset, joissa vaatimustenmukaisuus Analyytikoiden mukaan sääntely on edelleen vahva tekijä tämän tekniikan käytössä.
Vaikka jotkut keskisuuret yritykset myös SIEM-ohjelmistoja, pienet yritykset eivät yleensä tarvitse eivätkä halua investoida niihin.Analyytikot sanovat, että he joutuvat usein hinnoittelemaan oman ratkaisunsa ostamista, koska sen vuosikustannukset voivat nousta kymmenistä tuhansista yli 100 000 dollariin. Lisäksi pienillä yrityksillä ei ole kykyä palkata SIEM-ohjelmistojen ylläpitoon tarvittavia kykyjä jatkuvasti.
Siitä huolimatta analyytikot huomaavat myös, että joillakin pienillä ja keskisuurilla yrityksillä on SIEM toimitettu ohjelmisto palveluna -palvelu ulkoistamalla palveluntarjoajia, jotka ovat riittävän suuret myymään pk-yritysasiakkailleen kyseisen palvelun.
Tällä hetkellä suuryritysten käyttäjät käyttävät yleensä aina SIEM-ohjelmistoja paikan päällä herkkyyden vuoksi. osan järjestelmän läpi kulkevista tiedoista. ”Kirjaat arkaluonteisia asioita, eikä ihmisillä ole paljon halua lähettää niitä Internetin kautta”, sanoo John Hubbard, GlaxoSmithKlines US Security Operations Centerin johtava analyytikko ja turvallisuusorganisaation SANS-instituutin ohjaaja. ammattilaiset.
SIEM-tuotteiden koneoppimis- ja tekoälymahdollisuuksien kasvaessa jotkut analyytikot kuitenkin odottavat, että SIEM-toimittajat tarjoavat hybridivaihtoehdon, kun taas osa analytiikasta toimii pilvessä. .
”Näemme keräämistä, kuratointia ja älykkyyttä pilven kautta; Näemme, että tämä ilmenee, koska myyjä voi kerätä enemmän tietoja kuin organisaatio voi ”, Stroud sanoo.
SIEM-työkalut ja toimittajien valinta
SIEM-markkinoilla on useita hallitsevia toimittajia maailmanlaajuisesti, erityisesti IBM, Splunk ja HPE. Suuria toimijoita on ainakin useita, nimittäin Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds ja Trustwave.
Musich sanoo, että yritysten on arvioitava tuotteita omien tavoitteidensa perusteella selvittääkseen, mitkä täyttävät parhaiten heidän tarpeensa. Organisaatiot, jotka haluavat tämän tekniikan ensisijaisesti vaatimustenmukaiseksi, arvostavat tiettyjä ominaisuuksia, kuten raportointia, enemmän kuin organisaatiot, jotka haluavat käyttää SIEM: ää perustamaan turvaoperaatiokeskuksen.
Samaan aikaan hän sanoo, että organisaatiot, joilla on petatavua dataa, löytävät joidenkin toimittajien paremmin vastaamaan heidän tarpeitaan, kun taas ne, joilla on vähemmän tietoja, saattavat valita muut vaihtoehdot. Vastaavasti yritykset, jotka haluavat erinomaista uhkien metsästystä, etsivät todennäköisesti parhaita tietojen visualisointityökaluja ja hakuominaisuuksia, joita muilla ei ehkä tarvitse olla.
Turvallisuusjohtajien on otettava huomioon lukuisia muita tekijöitä – kuten esimerkiksi mahdollisuudet tukea tiettyä työkalua, kuinka paljon tietoja heillä on järjestelmässä ja kuinka paljon he haluavat käyttää – arvioitaessa SIEM-toimittajia, Musich sanoo. Esimerkiksi HPE: n ArcSight ESM on kehittynyt työkalu, jolla on paljon toiminnallisuutta, mutta joka vaatii huomattavan määrän asiantuntemusta ja on kalliimpi kuin muut vaihtoehdot.
”Aina on joukko ominaisuuksia,” Musich lisää. ”Ja mitä kehittyneempi turvallisuus on toiminnassa, sitä paremmin he käyttävät työkaluja, joita heillä on.”
Ottaen huomioon vaihtelevat kapasiteettivaatimukset takana olevista kahdesta pääajurista riippuen SIEM-valinta, Hubbard sanoo mielestään monien organisaatioiden valitsevan kaksi erilaista järjestelmää, joista toinen keskittyy vaatimustenmukaisuuteen ja toinen uhkien havaitsemiseen.
”Saatat kerätä paljon vaatimustenmukaisuutta varten , mutta se voi hidastaa sitä uhkien havaitsemisessa. Joten sinulla on taktinen SIEM uhkien havaitsemiseen ”, hän sanoo.
SIEM: n arvon maksimointi
Useimmat yritykset käyttävät silti edelleen SIEM-ohjelmisto ensisijaisesti tapahtumien seuraamiseen ja tutkimiseen, kertoo Eric Ogren, vanhempi analyytikko tietojen kanssa turvallisuusryhmä 451 Tutkimuksessa. Ogren sanoo, että tämän käyttötapauksen taustalla on lisääntyvä rikkomusten uhka ja yhä vakavampi laskeuma, jota johtajat ja organisaatiot kohtaavat tällaisissa tapahtumissa.
Kuten Ogren sanoo: ”Jos yritystä hakkeroidaan, mikään tietohallintojohtaja ei halua pyydä hallitusta kysymään mitä tapahtui ja sanomaan: ”Hitto, jos tiedän.” He haluavat sanoa: ”Käymme läpi lokitietoja saadaksemme selville, mitä tapahtui.”
Samalla kuitenkin , monet yritykset ovat nyt siirtymässä sen yli ja käyttävät yhä enemmän tekniikkaa havaitsemiseen ja lähes reaaliaikaiseen reagointiin, Ogren sanoo.
”Peli on nyt: Kuinka nopeasti pystyt havaita?” hän sanoo ja lisää, että kehittyvät koneoppimisominaisuudet auttavat SIEM-järjestelmiä tunnistamaan epätavallisemmat ja mahdollisesti haitalliset toiminnot tarkemmin.
Tällaisista edistysaskeleista huolimatta organisaatioiden haasteena on edelleen kyky maksimoida hyödyt ja siten , arvo, jonka he saavat nykyisistä järjestelmistä, asiantuntijat sanovat.
Tähän on useita syitä.
Ensinnäkin SIEM-tekniikat ovat resursseja kuluttavia ja vaativat kokeneen henkilöstön toteuttamaan, ylläpitämään ja hienosäädä niitä – henkilökunta, johon kaikki organisaatiot eivät ole vielä investoineet täysimääräisesti.
”Monet organisaatiot tuovat tekniikkaa mukaan, koska he tietävät, että se on jotain mitä he haluavat, mutta heillä ei ole henkilökuntaa tai he eivät saa henkilökunnalle tarvitsemaansa koulutusta käyttää sitä ”, Stroud sanoo.
SIEM-ohjelmisto vaatii myös laatutietoja maksimaalisen tuoton saavuttamiseksi -” Mitä suurempi tietolähde annat, sitä paremmin se saa ja sitä paremmin se näkee poikkeamat ”, Stroud selittää. Organisaatiot kamppailevat kuitenkin edelleen oikean datan määrittelemisen ja toimittamisen kanssa.
Ja vahvojen tietojen ja SIEM-tekniikkaa käyttävän hienostuneen tiimin kanssa ohjelmistolla itsessään on rajoituksia, analyytikot sanovat. He huomauttavat, että se ei ole täysin tarkka havaita mikä on hyväksyttävää toimintaa ja mikä on oikeutettu potentiaalinen uhka – ristiriita, joka johtaa moniin käyttöönottoihin suuria määriä vääriä ilmoituksia.
Tämä skenaario edellyttää vahvaa hallintoa ja tehokkaita menettelyjä. yrityksen sisällä, jotta tietoturvaryhmät eivät anna periksi ylikuormituksille.
Stroud sanoo, että turvallisuusalan ammattilaiset aloittavat usein jahtaamalla hämmästyttävän määrän vääriä ilmoituksia. Hienostuneet organisaatiot oppivat virittämään työkalujen ylityöt niin, että ohjelmisto ymmärtää tavalliset tapahtumat ja pienentää siten väärien ilmoitusten määrää.
Toisaalta hän sanoo kuitenkin, että jotkut turvallisuusryhmät säästävät sitä askel ja viritä sen sijaan useampi väärä hälytys tottumuksesta – käytäntö, joka vaarantaa todelliset uhat.
Musich sanoo, että kehittyneemmät organisaatiot kirjoittavat myös komentosarjoja automatisoimaan enemmän arkipäiväisiä toimintoja, kuten asiayhteyteen vetämistä. tietoja eri lähteistä, jotta saat kattavamman kuvan hälytyksistä tutkinnan nopeuttamiseksi ja todellisten uhkien tunnistamiseksi.
”Se vaatii hyviä prosesseja ja kypsyyden turvatoimissa”, hän lisää. ”Tämä tarkoittaa sillä se ei ole vain työkalu itselleen, vaan sen integrointi muihin tekniikoihin ja kokonainen prosessi toiminnan ohjaamiseksi. ”
Se liikkuu näin, hän sanoo, että voi vähentää aikaa, jonka henkilöstö käyttää alemman tason aktiviteetteihin sen sijaan antaa heidän ohjata energiansa arvokkaisiin tehtäviin, jotka nostavat yrityksen koko turvallisuusasentoa.
Lisätietoja SIEM: stä:
- ArcSight vs. Splunk? Miksi saatat haluta molempia
- SIEM: n arviointikriteerit
- SIEM: 14 kysymystä, jotka on esitettävä ennen ostamista
- Lokinhallinnan perusteet
- SIEM -palveluna vastaa pienten, keskisuurten yritysten tarpeisiin