Mi az a SIEM szoftver?
A biztonsági információs és eseménykezelő (SIEM) szoftver a vállalati biztonsági szakemberek számára betekintést és az informatikai környezetükben végzett tevékenységek nyilvántartása.
A SIEM technológia több mint egy évtizede létezik, kezdetben a naplókezelési tudományágból fejlődött ki. Kombinálta a biztonsági események kezelését (SEM) – amely valós időben elemzi a napló- és eseményadatokat a fenyegetések figyelemmel kísérése, az események korrelációja és az eseményekre adott válasz érdekében – a biztonsági információkezeléssel (SIM), amely összegyűjti, elemzi és jelentést készít a naplóadatokról.
Hogyan működik a SIEM
A SIEM szoftver összegyűjti és összesíti a szervezet technológiai infrastruktúrájában generált naplóadatokat, a gazda rendszerektől és alkalmazásoktól kezdve a hálózati és biztonsági eszközökig, például tűzfalak és víruskereső szűrők.
Ezután a szoftver azonosítja és kategorizálja az eseményeket és eseményeket, valamint elemzi azokat. A szoftver két fő célt szolgál, amelyek
- jelentések készítése a biztonsággal kapcsolatos eseményekről és eseményekről, például sikeres és sikertelen bejelentkezésekről, rosszindulatú programokról és egyéb lehetséges rosszindulatú tevékenységekről, valamint
- riasztásokat küldhet, ha az elemzés azt mutatja, hogy egy tevékenység előre meghatározott szabálykészletekkel ütközik, és ezáltal potenciális biztonsági problémát jelez.
A vállalati igény a jobb megfelelés-kezelésre a legtöbbet megalapozta ennek a technológiának a korai bevezetése, mondja Paula Musich, az Enterprise Management Associates (EMA) kutatási igazgatója, a Colo boulderi székhelyű piackutató és tanácsadó cég.
“Az auditoroknak szükségük volt arra, hogy megvizsgálják, megfelel-e a megfelelés teljesült, vagy sem, és a SIEM biztosította a szükséges megbízások teljesítéséhez szükséges nyomon követést és jelentéstételt, mint például a HIPPA, a SOX és a PCI DSS ”- mondja, utalva az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényre, a Sarbanes – Oxley törvényre és a fizetési kártyákra vonatkozó adatokra. Biztonsági szabvány.
Azonban pl a pertek szerint a nagyobb biztonsági intézkedések iránti vállalati kereslet az elmúlt években a SIEM piacának nagyobb részét hajtotta.
“Most a nagy szervezetek általában úgy tekintenek a SIEM-re, mint a biztonsági műveleti központ felállításának alapjára” – mondja Musich.
Elemzés és intelligencia
A SIEM szoftver biztonsági műveletekhez való használatának egyik fő mozgatórugója a legújabb termékek képességei között rejlik. piacon.
“Most sok SEIM technológia fenyegetés-hírcsatornákat hoz be a hagyományos naplóadatok mellett, és számos SIEM-termék rendelkezik biztonsági elemzési képességgel, amelyek a hálózati viselkedést, valamint a felhasználói viselkedést vizsgálják. adjon több intelligenciát arról, hogy egy tevékenység rosszindulatú tevékenységre utal-e. ”- magyarázza Musich.
A Gartner technológiai kutatócég a SIEM világpiacáról szóló, 2017. májusi jelentésében felhívja a SIEM eszközök intelligenciáját, mondván:„ innováció a a SIEM piac mozog g izgalmas ütemben egy jobb fenyegetés-felismerő eszköz létrehozása érdekében. ”
A Gartner-jelentés megjegyzi továbbá, hogy a gyártók gépi tanulást, fejlett statisztikai elemzéseket és más analitikai módszereket vezetnek be termékeikbe, miközben néhányan kísérleteznek is. mesterséges intelligencia és mély tanulási képességek.
A Gartner szerint a gyártók olyan előrelépéseket forgalmaznak, mint olyan képességek, amelyek gyorsabb ütemben képesek a pontosabb észlelési arány biztosítására. Gartner ugyanakkor rámutat, hogy a vállalkozások még nem tudják, hogy ezek a képességek újból megtérülnek-e, vagy mennyivel. Ha Rob Stroud, a Forrester Research vezető elemzője és az igazgatótanács korábbi elnöke Az ISACA, az informatikai irányításra összpontosító nemzetközi szakmai szövetség szerint ígéretet lát az ilyen technológiákban.
“Az AI és a gépi tanulással következtetéseket és mintalapú megfigyelést és riasztást tehetünk, de az igazi lehetőség a prediktív helyreállítás. Ez most az átmenet a piacon. Ez a megfigyelő eszközről a helyreállítási javaslatokra megy át ”- mondja Stroud, hozzátéve, hogy arra számít, hogy a SIEM szoftver képes lesz a jövőben még a kármentesítés automatizálására is.
A SIEM a vállalkozásban
A SIEM szoftver a vállalati biztonságra fordított teljes dollárnak csak egy kis részét képes megragadni a Gartner szerint. A Gartner a vállalati biztonságra fordított globális kiadásokat 2017-re közel 98,4 milliárd dollárra becsüli a SIEM szoftverrel mintegy 2,4 milliárd dollár. A Gartner előrejelzése szerint a SIEM technológiára fordított kiadások szerényen, 2018-ban közel 2,6 milliárd dollárra, 2021-ben pedig 3,4 milliárd dollárra emelkednek.
A SIEM szoftvert leginkább nagy szervezetek és állami vállalatok használják, ahol a megfelelés Elemzők szerint a szabályozás továbbra is erős tényező ennek a technológiának a használatában.
Míg néhány közepes méretű vállalat a SIEM szoftvert is alkalmazza, a kisvállalatoknak általában nincs szükségük rá, és nem is akarnak beléjük fektetni.Az elemzők azt mondják, hogy gyakran meg kell fizetniük a saját megoldásuk megvásárlását, mivel annak éves költsége több tízezertől több mint 100 000 dollárig terjedhet. Ezenkívül a kisvállalkozások nem képesek felvenni a SIEM szoftver folyamatos karbantartásához szükséges tehetségeket.
Ennek ellenére az elemzők azt is megjegyzik, hogy néhány kis- és középvállalkozás a SIEM-et szoftver-szolgáltatásként történő kínálás olyan outsourcing szolgáltatókon keresztül, amelyek elég nagyok ahhoz, hogy eladják SMB-ügyfeleiknek ezt a szolgáltatást.
Jelenleg a nagyvállalati felhasználók általában a SIEM szoftvert helyben futtatják, az érzékenység miatt a rendszeren keresztülmenő adatok egy része. “Érzékeny dolgokat naplóz, és ez nem az, amit az embereknek nagy az étvágyuk az interneten keresztüli küldésre” – mondja John Hubbard, a GlaxoSmithKline amerikai biztonsági műveleti központjának vezető elemzője és a SANS Institute, egy biztonsági szervezet oktatója. szakemberek.
Azonban a gépi tanulás és a mesterséges intelligencia képességeinek növekedésével a SIEM termékein belül néhány elemző arra számít, hogy a SIEM gyártói hibrid lehetőséget kínálnak, és az elemzések egy része a felhőben fut .
“Látjuk a felhőn keresztüli gyűjtést, kurálást és intelligenciát; látjuk, hogy ez azért merül fel, mert az eladó több adatot képes átkutatni, mint amennyit egy szervezet képes ”- mondja Stroud.
SIEM eszközök és szállítóválasztás
A SIEM piacon több domináns szállító található a világméretű értékesítésekről, különös tekintettel az IBM-re, a Splunkra és a HPE-re. Legalább több fő szereplő van még, nevezetesen az Alert Logic, az Intel, a LogRhythm, a ManageEngine, a Micro Focus, a Solar Winds és a Trustwave.
Musich szerint a vállalatoknak a saját célkitűzéseik alapján kell értékelniük a termékeket, hogy meghatározzák, melyik legjobban kielégítené igényeiket. Azok a szervezetek, amelyek ezt a technológiát elsősorban a megfelelésre vágyják, nagyobbra értékelnek bizonyos képességeket, például a jelentéseket, mint azok a szervezetek, amelyek a SIEM-et szeretnék felhasználni egy biztonsági műveleti központ felállításához.
Eközben szerinte azok a szervezetek, amelyek petabájt adattal rendelkeznek, úgy találják, hogy egyes gyártók jobban megfelelnek az igényeiknek, míg azok, akiknek kevesebb adata van, más lehetőségeket választhatnak. Hasonlóképpen, azok a vállalatok, amelyek kiemelkedő fenyegetés-vadászatra vágynak, valószínűleg olyan legjobb adatmegjelenítő eszközöket és keresési lehetőségeket keresnek, amelyek másoknak esetleg nem szükségesek.
A biztonsági vezetőknek számos más tényezőt is figyelembe kell venniük – például azt, hogy képesek-e rá. támogat egy adott eszközt, mennyi adatuk lesz a rendszeren belül, és mennyit akarnak elkölteni – a SIEM gyártók értékelésénél – mondja Musich. Például a HPE ArcSight ESM egy kiforrott eszköz, amely sok funkcionalitással rendelkezik, de jelentős szakértelmet igényel, és drágább, mint más lehetőségek.
“Mindig lesz egy sor képesség,” Musich hozzáteszi: “És minél kifinomultabb a biztonság a műveletek során, annál jobb hasznát veszik a rendelkezésükre álló eszközöknek.”
Tekintettel az eltérő képességi követelményekre, amelyek a mögöttes két fő meghajtótól függenek A SIEM kiválasztása szerint Hubbard szerint sok szervezet két különböző rendszert választ, az egyik a megfelelésre, a másik a fenyegetések felderítésére összpontosít.
“Sokat gyűjthet a megfelelés érdekében , de ez lelassíthatja a fenyegetések észlelését. Tehát van egy taktikai SIEM-je a fenyegetések észleléséhez ”- mondja.
A SIEM értékének maximalizálása
Ennek ellenére a legtöbb vállalat továbbra is használja A SIEM szoftver elsősorban a történtek nyomon követésére és kivizsgálására – mondja Eric Ogren, az információval foglalkozó vezető elemző biztonsági csoport a 451 kutatásnál. Ogren szerint ezt a felhasználási esetet a növekvő jogsértési fenyegetés és az egyre súlyosabb esés okozza, amellyel a vezetők és szervezetek szembesülnek az ilyen eseményeken.
Mint Ogren mondja: “Ha egy céget feltörnek, egyetlen CIO sem akarja kérdezze meg a testületet, hogy mi történt, és mondja: „A fenébe, ha tudom.” Azt akarják mondani: „Naplóadatokon megyünk keresztül, hogy megtudjuk, mi történt.”
Ugyanakkor, bár , sok vállalat mára túllép ezen a téren, és egyre inkább használja a technológiát az észleléshez és a valós idejű reagáláshoz, mondja Ogren.
“A játék most az: milyen gyorsan tudsz érzékeli?” mondja, hozzátéve, hogy a fejlõdõ gépi tanulási képességek segítik a SIEM rendszereket a szokatlan és potenciálisan rosszindulatú tevékenységek pontosabb azonosításában.
Az ilyen elõrelépések ellenére a szervezetek továbbra is kihívásokkal küzdenek az elõnyök maximalizálása érdekében, és ezáltal , azt az értéket, amelyet a meglévő rendszerekből kiegyenlítenek, állítják a szakértők.
Ennek különféle okai vannak.
Először is, a SIEM technológiák erőforrásigényesek, és gyakorlott személyzetet igényelnek a megvalósításhoz, fenntartáshoz és finomítsa őket – olyan személyzet, amelybe még nem minden szervezet fektetett be teljes mértékben.
“Sok szervezet bevezeti a technológiát, mert tudják, hogy ez valami olyan dolog, amire vágynak, de nincs személyzetük, vagy nem kapják meg a szükséges képzést használni. “- mondja Stroud.
A SIEM szoftverhez minőségi adatokra is szükség van a maximális hozam érdekében -” Minél nagyobb adatforrást ad neki, annál jobb lesz, és annál jobban láthatja a kiugró értékeket “- magyarázza Stroud. A szervezetek azonban továbbra is küzdenek a megfelelő adatok meghatározásával és megadásával.
Még erős adatok és a SIEM technológiát működtető kifinomult csapat mellett is maga a szoftver korlátozza az elemzőket. Felhívják a figyelmet arra, hogy nem teljesen pontos annak felismerése, hogy mi az elfogadható tevékenység és mi a jogos potenciális fenyegetés – az eltérés sok hamis riasztáshoz vezet sok telepítésnél.
Ez a forgatókönyv erős kormányzást és hatékony eljárásokat igényel. a vállalaton belül, így a biztonsági csapatok nem engednek a túlterhelés figyelmeztetésének.
Stroud szerint a biztonsági szakemberek gyakran azzal kezdenek, hogy elképesztően sok hamis riasztást kergetnek. A kifinomult szervezetek megtanulják beállítani a szerszámok túlórait, hogy a szoftver megértse a szokásos eseményeket, és ezáltal csökkentsék a hamis figyelmeztetések számát.
A másik oldalon azonban azt állítja, hogy egyes biztonsági csapatok ezt spórolják. lépjen, és inkább szokásból hangolja ki a hamis figyelmeztetések többségét – ez a gyakorlat veszélyeztetheti a valós fenyegetéseket.
Musich szerint a kifinomultabb szervezetek szkripteket is írnak, hogy automatizálják a hétköznapi funkciók többségét, például a szövegkörnyezetet Különböző forrásokból származó adatok, hogy teljesebb képet alkossanak a nyomozások gyorsaságáról és a valós fenyegetések azonosításáról szóló riasztásokról.
“Jó folyamatok és érettség szükségesek a biztonsági műveletekhez” – teszi hozzá. ” hogy ez nemcsak eszköz önmagának, hanem integrálva van más technológiákkal, és átfogó folyamat áll rendelkezésére a tevékenységek irányítására. ”
Ez így mozog, mondja csökkentheti a személyzet által az alacsonyabb szintű aktiválásra fordított időt lehetővé teszi számukra, hogy átirányítsák energiájukat a nagy értékű feladatokra, amelyek megemelik a vállalat teljes biztonsági testtartását.
További információ a SIEM-ről:
- ArcSight vs. Splunk? Miért érdemes mindkét
- SIEM értékelési kritériuma
- SIEM: 14 kérdést feltenni a vásárlás előtt
- Naplókezelési alapismeretek
- SIEM -szolgáltatásként kielégíti a kis, közepes méretű vállalkozások igényeit