Hva er SIEM-programvare?
SIEM-programvare (Security Information and Event Management) gir bedriftssikkerhetsfagfolk både innsikt i og oversikt over aktivitetene i IT-miljøet.
SIEM-teknologi har eksistert i mer enn et tiår og har i utgangspunktet utviklet seg fra loggstyringsdisiplinen. Den kombinerte SEM (Security Event Management) – som analyserer logg- og hendelsesdata i sanntid for å gi trusselovervåking, hendelseskorrelasjon og hendelsesrespons – med sikkerhetsinformasjonsadministrasjon (SIM) som samler inn, analyserer og rapporterer loggdata.
Hvordan SIEM fungerer
SIEM-programvare samler inn og samler loggdata generert gjennom organisasjonens teknologiske infrastruktur, fra vertssystemer og applikasjoner til nettverks- og sikkerhetsenheter som brannmurer og antivirusfiltre.
Programvaren identifiserer og kategoriserer hendelser og hendelser, samt analyserer dem. Programvaren leverer to hovedmål, som er å
- gi rapporter om sikkerhetsrelaterte hendelser og hendelser, som vellykket og mislykket pålogging, skadelig programvareaktivitet og andre mulige skadelige aktiviteter og
- send varsler hvis analyse viser at en aktivitet går mot forhåndsbestemte regelsett og dermed indikerer et potensielt sikkerhetsproblem.
Bedriftens behov for bedre compliance-styring drev mye av den tidlige adopsjonen av denne teknologien, sier Paula Musich, forskningsdirektør i Enterprise Management Associates (EMA), et markedsundersøkelses- og konsulentselskap med base i Boulder, Colo.
«Revisorer trengte en måte å se på om etterlevelse ble oppfylt eller ikke, og SIEM sørget for overvåking og rapportering som var nødvendig for å oppfylle mandater som HIPPA, SOX og PCI DSS, ”sier hun, og henviser til Health Insurance Portability and Accountability Act, Sarbanes – Oxley Act og Payment Card Industry Data Sikkerhetsstandard.
Imidlertid eks perts sier bedriftens etterspørsel etter større sikkerhetstiltak har drevet mer av SIEM-markedet de siste årene.
«Nå ser store organisasjoner vanligvis på SIEM som et grunnlag for å stå opp for sikkerhetsoperasjonssenteret,» sier Musich. / p>
Analytics og intelligens
En av de viktigste driverne bak bruken av SIEM-programvare for sikkerhetsoperasjoner hviler på de nyere funksjonene som finnes i mange av produktene på markedet.
«Nå bringer mange SEIM-teknologier inn trusler fra intelligens i tillegg til tradisjonelle loggdata, og det er flere SIEM-produkter som har sikkerhetsanalysefunksjoner som ser på nettverksadferd så vel som brukeradferd til gi mer intelligens rundt hvorvidt en aktivitet indikerer ondsinnet aktivitet, forklarer Musich. SIEM-markedet er i bevegelse g i et spennende tempo for å skape et bedre verktøy for deteksjon av trusler. ”
Gartner-rapporten bemerker videre at leverandører introduserer maskinlæring, avansert statistisk analyse og andre analysemetoder til sine produkter, mens noen eksperimenterer med kunstig intelligens og dyp læringsevne.
I følge Gartner markedsfører leverandører slike fremskritt som evner som kan gi mer nøyaktige oppdagelsesfrekvenser i et raskere tempo. Gartner påpeker imidlertid at foretakene ennå ikke er klare på om, eller hvor mye, disse evnene gir ny avkastning til organisasjonen.
Rob Stroud, en hovedanalytiker med Forrester Research og tidligere styreleder med ISACA, en internasjonal profesjonell forening med fokus på IT-styring, sier at han ser løfter i slike teknologier.
«Med AI og maskinlæring kan vi gjøre inferens og mønsterbasert overvåking og varsling, men den virkelige muligheten er prediktiv restaurering. Dette er overgangen i markedet nå. Det går fra et overvåkingsverktøy til utbedringsforslag, sier Stroud og legger til at han forventer at SIEM-programvare til og med vil kunne automatisere utbedring i fremtiden.
SIEM i bedriften
SIEM-programvare fanger bare en liten del av de totale dollarene som brukes på bedriftssikkerhet over hele verden, ifølge Gartner. Gartner anslår de globale utgiftene til bedriftssikkerhet til nesten 98,4 milliarder dollar for 2017, med SIEM-programvare samle rundt 2,4 milliarder dollar. Gartner spår at utgifter til SIEM-teknologi vil øke beskjedent, til nesten 2,6 milliarder dollar i 2018 og 3,4 milliarder dollar i 2021.
SIEM-programvare brukes stort sett av store organisasjoner og offentlige selskaper, der samsvar til forskrifter forblir en sterk faktor i bruken av denne teknologien, ifølge analytikere.
Mens noen mellomstore selskaper også bruker SIEM-programvare, har små selskaper ikke en tendens til å trenge eller ønske å investere i den.Analytikere sier at de ofte er priset for å kjøpe sin egen løsning, siden den årlige kostnaden kan løpe fra titusenvis til mer enn $ 100.000 pluss. I tillegg har ikke små selskaper muligheten til å ansette talentet som trengs for å vedlikeholde SIEM-programvare kontinuerlig.
Når det er sagt, bemerker analytikere også at noen små og mellomstore bedrifter har SIEM levert som et programvare-som-en-tjeneste-tilbud gjennom outsourcing av leverandører som er store nok til å selge SMB-klienter som tjenesten.
For tiden har store bedriftsbrukere en tendens til alltid å kjøre SIEM-programvare lokalt på grunn av følsomheten av noen av dataene som går gjennom systemet. «Du logger sensitive ting, og det er ikke noe folk har mye lyst på å sende over internett,» sier John Hubbard, ledende analytiker for GlaxoSmithKlines amerikanske sikkerhetsoperasjonssenter og instruktør med SANS Institute, en organisasjon for sikkerhet. fagfolk.
Når maskinlæring og kunstig intelligens innen SIEM-produkter øker, forventer imidlertid noen analytikere at SIEM-leverandører vil tilby et hybridalternativ, med noen av analysene som kjører i skyen. .
«Vi ser innsamling og kurering og intelligens via sky; vi ser det dukker opp fordi leverandøren kan få mer data enn en organisasjon kan, sier Stroud.
SIEM-verktøy og leverandørvalg
SIEM-markedet har flere dominerende leverandører basert på verdensomspennende salg, spesielt IBM, Splunk og HPE. Det er i det minste flere store aktører, nemlig Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds og Trustwave.
Musich sier at selskaper må evaluere produkter basert på egne mål for å bestemme hvilke best oppfyller deres behov. Organisasjoner som først og fremst vil ha denne teknologien for samsvar vil verdsette visse evner, for eksempel rapportering, mer enn organisasjoner som ønsker å utnytte SIEM til å opprette et sikkerhetsoperasjonssenter.
I mellomtiden, sier hun, organisasjoner som har petabytes med data, vil finne at noen leverandører er bedre i stand til å møte deres behov, mens de som har mindre data, kan velge andre alternativer. På samme måte vil selskaper som ønsker enestående trusseljakt sannsynligvis se etter topp data visualiseringsverktøy og søkefunksjoner som andre kanskje ikke trenger å ha.
Sikkerhetsledere må ta hensyn til mange andre faktorer – for eksempel om de kan støtte et bestemt verktøy, hvor mye data de vil ha i systemet, og hvor mye de vil bruke – når de vurderer SIEM-leverandører, sier Musich. For eksempel er HPEs ArcSight ESM et modent verktøy som har mye funksjonalitet, men krever betydelig kompetanse og er dyrere enn andre alternativer.
«Det kommer alltid til å være en rekke muligheter,» Musich legger til. «Og jo mer sofistikert sikkerheten er i operasjonene, jo bedre bruk vil de gjøre av verktøyene de har.»
Gitt de ulike kapasitetskravene avhengig av de to viktigste driverne bak SIEM-valg, sier Hubbard at han ser at mange organisasjoner velger to forskjellige systemer, med det ene fokusert på samsvar og det andre fokusert på deteksjon av trusler.
«Du kan samle mye for samsvar , men det kan redusere hastigheten for bruk av trusseloppdagelse. Så du har en taktisk SIEM for oppdagelse av trusler, sier han.
Maksimering av SIEMs verdi
Likevel fortsetter de fleste selskaper å bruke SIEM-programvare primært for å spore og undersøke hva som har skjedd, sier Eric Ogren, senioranalytiker med informasjonen se curity team på 451 Research. Ogren sier at denne brukssaken er drevet av den eskalerende trusselen om brudd og det stadig mer alvorlige nedfallet som ledere og organisasjoner vil møte i slike hendelser.
Som Ogren sier: «Hvis et selskap blir hacket, vil ingen CIO la styret spørre hva som skjedde, og si: Damn if I know. De vil si: Vi går gjennom loggdata for å finne ut hva som skjedde. «
Samtidig skjønt , mange selskaper nå går utover det og bruker i økende grad teknologien for deteksjon og nær sanntidsrespons, sier Ogren.
«Spillet nå er: Hvor raskt kan du oppdage? ” sier han og legger til at de utviklende maskinlæringsegenskapene hjelper SIEM-systemer til mer nøyaktig å identifisere uvanlig og potensielt skadelig aktivitet.
Til tross for slike fremskritt fortsetter organisasjoner å bli utfordret i deres evner til å maksimere fordelene og dermed , verdien de får ut av eksisterende systemer, sier eksperter.
Det er forskjellige grunner til det.
For det første er SIEM-teknologier ressurskrevende og krever erfarent personale for å implementere, vedlikeholde og finjuster dem – ansatte som ikke alle organisasjoner har investert fullt ut i ennå.
«Mange organisasjoner henter inn teknologien fordi de vet at det er noe de vil ha, men de har ikke personalet eller de får ikke personalet den opplæringen de trenger å bruke den, sier Stroud.
SIEM-programvare krever også kvalitetsdata for maksimalt utbytte – «Jo større datakilde du gir den, jo bedre blir den og jo bedre kan den se outliers,» forklarer Stroud. Likevel fortsetter organisasjoner å slite med å definere og levere riktige data.
Og selv med sterke data og et sofistikert team som driver SIEM-teknologien, har programvaren selv grenser, sier analytikere. De påpeker at det ikke er helt nøyaktig når det gjelder å oppdage hva som er akseptabel aktivitet og hva som er en legitim potensiell trussel – et avvik som fører til et høyt antall falske varsler i mange distribusjoner.
Dette scenariet krever sterk styring og effektive prosedyrer i virksomheten, slik at sikkerhetsteamene ikke gir etter for varseloverbelastning.
Stroud sier at sikkerhetsfagfolk ofte begynner med å jage ned en svimlende mengde falske varsler. Sofistikerte organisasjoner vil lære å stille inn verktøyet på overtid, slik at programvaren forstår hva som er vanlige hendelser og derved redusere antall falske varsler.
På den andre siden sier han imidlertid at noen sikkerhetsteam vil skimme på det. trinn og i stedet still inn flere av de falske varslene av vane – en praksis som risikerer å savne virkelige trusler. data fra forskjellige kilder for å sette et mer fullstendig bilde av varsler for å få hurtig etterforskning og identifisering av virkelige trusler.
«Det krever gode prosesser så vel som en modenhet i sikkerhetsoperasjonene,» legger hun til. «Det betyr å ha det ikke bare være et verktøy for seg selv, men å ha det integrert med andre teknologier og ha en helhetlig prosess for å lede aktivitetene. ”
Det beveger seg slik, sier hun, at kan redusere tiden personalet bruker på aktivering på lavere nivå og i stedet la dem omdirigere energiene til de høyverdige oppgavene som løfter selskapets hele sikkerhetsstilling.
Mer om SIEM:
- ArcSight vs. Splunk? Hvorfor du kanskje vil ha begge
- Evalueringskriterier for SIEM
- SIEM: 14 spørsmål å stille før du kjøper
- Grunnleggende om loggadministrasjon
- SIEMs -as-a-service dekker behovene til små, mellomstore bedrifter