SIEM 소프트웨어 란?
보안 정보 및 이벤트 관리 (SIEM) 소프트웨어는 엔터프라이즈 보안 전문가에게 IT 환경 내에서 활동을 추적합니다.
SIEM 기술은 10 년 이상 존재 해 왔으며 처음에는 로그 관리 분야에서 발전했습니다. 로그 및 이벤트 데이터를 실시간으로 분석하여 위협 모니터링, 이벤트 상관 관계 및 사고 대응을 제공하는 보안 이벤트 관리 (SEM)와 로그 데이터를 수집, 분석 및보고하는 보안 정보 관리 (SIM)를 결합했습니다.
SIEM 작동 방식
SIEM 소프트웨어는 호스트 시스템 및 애플리케이션에서 다음과 같은 네트워크 및 보안 장치에 이르기까지 조직의 기술 인프라 전반에 걸쳐 생성 된 로그 데이터를 수집하고 집계합니다. 방화벽 및 바이러스 백신 필터.
그런 다음 소프트웨어는 사건과 사건을 식별 및 분류하고 분석합니다. 이 소프트웨어는 두 가지 주요 목표를 제공합니다.
- 로그인 성공 및 실패, 맬웨어 활동 및 기타 가능한 악성 활동과 같은 보안 관련 사건 및 이벤트에 대한 보고서를 제공하고
- 분석 결과 활동이 미리 결정된 규칙 세트에 대해 실행되는 것으로 나타나 잠재적 인 보안 문제가있는 것으로 나타나면 경고를 보냅니다.
더 나은 규정 준수 관리에 대한 기업의 요구로 인해 Colo, Boulder에 본사를 둔 시장 조사 및 컨설팅 회사 인 EMA (Enterprise Management Associates)의 연구 이사 인 Paula Musich는이 기술의 조기 채택에 대해 설명합니다.
“감사 자들은 규정 준수 여부를 확인할 방법이 필요했습니다. 충족 여부에 관계없이 SIEM은 HIPPA, SOX 및 PCI DSS와 같은 의무를 충족하는 데 필요한 모니터링 및보고를 제공했습니다.”라고 그녀는 말합니다. Health Insurance Portability and Accountability Act, Sarbanes–Oxley Act, Payment Card Industry Data 보안 표준.
그러나 Perts는 더 큰 보안 조치에 대한 기업의 요구가 최근 몇 년 동안 SIEM 시장을 더 많이 주도했다고 말합니다.
“이제 대규모 조직은 일반적으로 보안 운영 센터를 구축하기위한 기반으로 SIEM을 찾고 있습니다.”라고 Musich는 말합니다.
분석 및 인텔리전스
보안 운영을 위해 SIEM 소프트웨어를 사용하는 주된 동인 중 하나는 다음과 같은 여러 제품에 포함 된 최신 기능에 있습니다.
“이제 많은 SEIM 기술이 기존 로그 데이터에 추가로 위협 인텔리전스 피드를 가져오고, 네트워크 동작과 사용자 행동을 살펴 보는 보안 분석 기능이있는 여러 SIEM 제품이 있습니다. Musich는 활동이 악의적 인 활동을 나타내는 지에 대해 더 많은 정보를 제공합니다.
실제로 전 세계 SIEM 시장에 대한 2017 년 5 월 보고서에서 기술 연구 회사 Gartner는 SIEM 도구의 인텔리전스를 “혁신 SIEM 시장은 움직이고 있습니다 Gartner 보고서는 공급 업체가 제품에 기계 학습, 고급 통계 분석 및 기타 분석 방법을 도입하고 있으며 일부는이를 실험하고 있다고 덧붙였습니다. 인공 지능 및 딥 러닝 기능.
Gartner에 따르면 공급 업체는 더 빠른 속도로 더 정확한 탐지율을 제공 할 수있는 기능과 같은 발전을 마케팅합니다. 그러나 Gartner는 이러한 기능이 조직에 새로운 수익을 창출하는지 여부 또는 그 정도에 대해 기업이 아직 명확하지 않다고 지적합니다.
Forrester Research의 수석 분석가이자 전 이사회 회장 인 Rob Stroud IT 거버넌스에 중점을 둔 국제 전문 협회 인 ISACA는 그러한 기술에서 가능성이 있다고 말합니다.
“AI와 기계 학습을 통해 추론 및 패턴 기반 모니터링 및 경고를 수행 할 수 있지만 실제 기회는 이것은 현재 시장의 전환입니다. 모니터링 도구에서 교정 제안으로 이동하고 있습니다.”라고 Stroud는 덧붙여 SIEM 소프트웨어가 향후 교정을 자동화 할 수있을 것으로 기대한다고 덧붙였습니다.
Gartner에 따르면 기업의 SIEM
SIEM 소프트웨어는 전 세계 기업 보안에 지출되는 총 비용 중 극히 일부만을 차지합니다. Gartner는 SIEM 소프트웨어를 사용하여 2017 년에 기업 보안에 대한 전 세계 지출이 980 억 달러에이를 것으로 추정합니다. 약 24 억 달러를 벌어 들였습니다. Gartner는 SIEM 기술에 대한 지출이 2018 년에는 거의 26 억 달러, 2021 년에는 34 억 달러로 소폭 증가 할 것으로 예상합니다.
SIEM 소프트웨어는 주로 규정을 준수하는 대기업과 공기업에서 사용됩니다. 분석가에 따르면 규제에 대한 영향은이 기술의 사용에있어 강력한 요소로 남아 있습니다.
일부 중견 기업도 SIEM 소프트웨어를 사용하는 반면, 소규모 기업은 소프트웨어를 필요로하거나 투자하고 싶어하지 않는 경향이 있습니다.분석가들은 연간 비용이 수만 달러에서 10 만 달러 이상에이를 수 있기 때문에 자체 솔루션을 구입하면 가격이 책정되는 경우가 많다고 말합니다. 또한 중소기업은 지속적으로 SIEM 소프트웨어를 유지 관리하는 데 필요한 인재를 고용 할 능력이 없습니다.
하지만 분석가들은 일부 중소기업이 SIEM을 서비스를 제공하는 SMB 클라이언트를 판매 할 수있을만큼 규모가 큰 아웃소싱 제공 업체를 통한 SaaS (Software-as-a-Service) 오퍼링입니다.
현재 대기업 사용자는 민감도로 인해 항상 온 프레미스에서 SIEM 소프트웨어를 실행하는 경향이 있습니다. 시스템을 통과하는 일부 데이터의. GlaxoSmithKline의 미국 보안 운영 센터의 수석 분석가이자 보안 조직인 SANS Institute의 강사 인 John Hubbard는 “민감한 정보를 기록하고 있으며 이는 사람들이 인터넷을 통해 전송하는 것을 좋아하는 것이 아닙니다.”라고 말합니다.
그러나 SIEM 제품 내의 기계 학습 및 인공 지능 기능이 증가함에 따라 일부 분석가는 SIEM 공급 업체가 하이브리드 옵션을 제공하고 일부 분석은 클라우드에서 실행될 것으로 예상합니다. .
“우리는 클라우드를 통해 수집, 큐레이팅 및 인텔리전스를보고 있습니다. 공급 업체가 조직이 할 수있는 것보다 더 많은 데이터를 수집 할 수 있기 때문에 이러한 현상이 발생하고 있습니다.
SIEM 도구 및 공급 업체 선택
SIEM 시장에는 여러 주요 공급 업체가 있습니다. 전 세계 판매, 특히 IBM, Splunk 및 HPE에서. Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds, Trustwave 등 적어도 몇 가지 주요 업체가 더 있습니다.
Musich는 기업이 자신의 목표에 따라 제품을 평가하여 어떤 제품을 결정해야할지 결정해야한다고 말합니다. 그들의 요구를 가장 잘 충족시킬 것입니다. 주로 규정 준수를 위해이 기술을 사용하려는 조직은 SIEM을 활용하여 보안 운영 센터를 구축하려는 조직보다보고와 같은 특정 기능을 더 중요하게 생각합니다.
반면, 그녀는 페타 바이트 규모의 데이터를 보유한 조직은 일부 공급 업체가 자신의 요구를 더 잘 충족 할 수있는 반면 데이터가 적은 조직은 다른 옵션을 선택할 수 있다고 말합니다. 마찬가지로 뛰어난 위협 사냥을 원하는 기업은 다른 사람들이 필요로하지 않을 수있는 최고의 데이터 시각화 도구와 검색 기능을 찾을 것입니다.
보안 리더는 가능한지 여부와 같은 수많은 다른 요소를 고려해야합니다. Musich는 특정 도구, 시스템 내에 보유 할 데이터의 양, 지출하고자하는 비용 등을 지원한다고 Musich는 말합니다. 예를 들어 HPE의 ArcSight ESM은 많은 기능을 가지고 있지만 상당한 전문 지식이 필요하고 다른 옵션보다 비용이 많이 드는 성숙한 도구입니다.
“항상 다양한 기능이있을 것입니다.” Musich는 “운영에 보안이 더 정교할수록 보유한 도구를 더 잘 사용할 수 있습니다.”
뒤에있는 두 가지 주요 동인에 따라 다양한 기능 요구 사항이 주어집니다. SIEM을 선택한 Hubbard는 많은 조직이 규정 준수에 초점을 맞추고 다른 하나는 위협 탐지에 초점을 맞춘 두 가지 다른 시스템을 선택한다고 말합니다.
“준수를 위해 많은 정보를 수집 할 수 있습니다. 하지만 위협 탐지 사용 속도가 느려질 수 있습니다. 따라서 위협 탐지를위한 전술적 SIEM이 있습니다.”라고 그는 말합니다.
SIEM의 가치 극대화
그래도 대부분의 기업은 주로 무슨 일이 일어 났는지 추적하고 조사하기위한 SIEM 소프트웨어, 정보 se의 선임 분석가 Eric Ogren은 말합니다. 451 Research의 큐리 티 팀. Ogren은이 사용 사례가 보안 침해의 위협이 증가하고 이러한 이벤트에서 리더와 조직이 직면하게 될 심각한 낙진에 의해 주도되고 있다고 말합니다.
Ogren은 다음과 같이 말합니다. “회사가 해킹 당하더라도 CIO는이를 원하지 않습니다. 이사회에서 무슨 일이 있었는지 묻고 내가 안다면 젠장이라고 말하게하세요. 그들은 무슨 일이 일어 났는지 확인하기 위해 로그 데이터를 조사하고 있습니다.라고 말하고 싶어합니다.”
동시에 , 현재 많은 기업들이 그 이상으로 나아가고 있으며 탐지 및 거의 실시간 대응을 위해 점점 더 기술을 사용하고 있다고 Ogren은 말합니다.
“현재 게임은 다음과 같습니다. 얼마나 빨리 할 수 있습니까? 감지?” 그는 진화하는 기계 학습 기능이 SIEM 시스템이 비정상적이고 잠재적으로 악의적 인 활동을보다 정확하게 식별하는 데 도움이되고 있다고 덧붙였습니다.
이러한 발전에도 불구하고 조직은 이점을 극대화 할 수있는 능력에 계속해서 도전을 받고 있습니다. 전문가들은 기존 시스템에서 얻을 수있는 가치라고 말합니다.
그 이유에는 여러 가지가 있습니다.
첫째, SIEM 기술은 리소스 집약적이며 숙련 된 직원이이를 구현하고 유지해야합니다. 모든 조직이 아직 완전히 투자하지 않은 직원입니다.
“많은 조직에서 기술이 원하는 것은 알고 있지만 직원이 없거나 필요한 교육을받지 못하기 때문에 도입합니다. Stroud는 말합니다.
SIEM 소프트웨어는 또한 최대 수율을 위해 양질의 데이터를 필요로합니다. “데이터 소스가 클수록 데이터 소스가 더 좋아지고 이상 값을 더 잘 볼 수 있습니다.”라고 Stroud는 설명합니다. 그러나 조직은 올바른 데이터를 정의하고 제공하는 데 계속 어려움을 겪고 있습니다.
강력한 데이터와 SIEM 기술을 실행하는 정교한 팀이 있더라도 소프트웨어 자체에는 한계가 있다고 분석가들은 말합니다. 그들은 수용 가능한 활동과 합법적 인 잠재적 위협을 탐지하는 것이 완전히 정확하지 않다는 점을 지적합니다. 이는 많은 배포에서 많은 수의 잘못된 경고를 유발하는 불일치입니다.
이 시나리오에는 강력한 거버넌스와 효과적인 절차가 필요합니다. 보안 팀이 경고 과부하에 굴복하지 않도록 기업 내에서.
Stroud는 보안 전문가가 종종 엄청난 양의 잘못된 경고를 추적하는 것으로 시작한다고 말합니다. 정교한 조직은 소프트웨어가 일반적인 이벤트를 이해하여 잘못된 경고의 수를 줄일 수 있도록 시간이지나면서 도구를 조정하는 방법을 배울 것입니다.
다른 한편으로는 일부 보안 팀이이를 무시할 것이라고 그는 말합니다. 실제 위협을 놓칠 위험이있는 관행 인 습관에서 잘못된 경고를 더 많이 제거합니다.
Musich는보다 정교한 조직이 상황에 맞는 기능을 더 많이 자동화하는 스크립트를 작성한다고 말합니다. 여러 소스의 데이터를 사용하여 경보에 대한보다 완벽한 그림을 제공하여 조사 속도를 높이고 실제 위협을 식별합니다.
“보안 작업의 성숙도뿐만 아니라 좋은 프로세스가 필요합니다.”라고 그녀는 덧붙입니다. 그 자체로 도구가되는 것이 아니라 다른 기술과 통합되고 활동을 안내하는 전체 프로세스를 갖도록하는 것입니다.”
그런 움직임입니다. 직원이 낮은 수준의 활동에 소비하는 시간을 줄일 수 있습니다. 대신 회사의 전체 보안 태세를 향상시키는 고 가치 작업으로 에너지를 재 지정할 수 있습니다.
SIEM에 대한 추가 정보 :
- ArcSight 대 Splunk? 둘 다 필요한 이유
- SIEM 평가 기준
- SIEM : 구매 전 질문 14 개
- 로그 관리 기본 사항
- SIEM -as-a-service는 중소기업의 요구 사항을 해결합니다.