Wat is SIEM-software?
Software voor beveiligingsinformatie en eventmanagement (SIEM) geeft zakelijke beveiligingsprofessionals zowel inzicht in als een track record van de activiteiten binnen hun IT-omgeving.
SIEM-technologie bestaat al meer dan een decennium en evolueert aanvankelijk vanuit de discipline logboekbeheer. Het combineerde Security Event Management (SEM) – dat logboek- en gebeurtenisgegevens in realtime analyseert om dreigingsmonitoring, gebeurteniscorrelatie en incidentrespons te bieden – met Security Information Management (SIM) dat loggegevens verzamelt, analyseert en rapporteert.
Hoe SIEM werkt
SIEM-software verzamelt en verzamelt logboekgegevens die zijn gegenereerd door de technologische infrastructuur van de organisatie, van hostsystemen en applicaties tot netwerk- en beveiligingsapparatuur zoals firewalls en antivirusfilters.
De software identificeert en categoriseert vervolgens incidenten en gebeurtenissen, en analyseert ze. De software levert aan twee hoofddoelen, namelijk:
- rapporteren over beveiligingsgerelateerde incidenten en gebeurtenissen, zoals geslaagde en mislukte aanmeldingen, malwareactiviteiten en andere mogelijke kwaadaardige activiteiten en
- waarschuwingen verzenden als uit analyse blijkt dat een activiteit tegen vooraf bepaalde regelsets loopt en dus duidt op een mogelijk beveiligingsprobleem.
De behoefte van de onderneming aan beter compliancebeheer zorgde voor een groot deel van de vroege acceptatie van deze technologie, zegt Paula Musich, onderzoeksdirecteur bij Enterprise Management Associates (EMA), een marktonderzoeks- en adviesbureau gevestigd in Boulder, Colorado.
“Auditors zochten een manier om te kijken of compliance werd voldaan of niet, en SIEM zorgde voor de monitoring en rapportage die nodig waren om te voldoen aan mandaten zoals HIPPA, SOX en PCI DSS, “zegt ze, verwijzend naar de Health Insurance Portability and Accountability Act, de Sarbanes-Oxley Act en de Payment Card Industry Data Beveiligingsstandaard.
Echter, ex experts zeggen dat de vraag van ondernemingen naar meer beveiligingsmaatregelen de afgelopen jaren meer van de SIEM-markt heeft aangestuurd.
“Nu kijken grote organisaties doorgaans naar SIEM als een basis voor het versterken van het beveiligingsoperatiecentrum”, zegt Musich. / p>
Analyse en intelligentie
Een van de belangrijkste drijfveren achter het gebruik van SIEM-software voor beveiligingsoperaties berust op de nieuwere mogelijkheden van veel van de producten op de markt.
“Nu brengen veel SEIM-technologieën naast traditionele logboekgegevens ook feeds met informatie over bedreigingen, en er zijn meerdere SIEM-producten met beveiligingsanalysemogelijkheden die zowel naar netwerkgedrag als naar gebruikersgedrag kijken. meer informatie geven over de vraag of een activiteit wijst op kwaadaardige activiteit, ”legt Musich uit.
Inderdaad, technologieonderzoeksbureau Gartner roept in zijn rapport van mei 2017 over de wereldwijde SIEM-markt de intelligentie in SIEM-tools op en zegt: de SIEM-markt is in beweging g in een opwindend tempo om een betere tool voor het detecteren van bedreigingen te maken. “
Het Gartner-rapport merkt verder op dat leveranciers machine learning, geavanceerde statistische analyse en andere analytische methoden introduceren in hun producten, terwijl sommigen ook experimenteren met kunstmatige intelligentie en deep learning-mogelijkheden.
Volgens Gartner brengen leveranciers dergelijke ontwikkelingen op de markt als mogelijkheden die in een hoger tempo nauwkeurigere detectiegraden kunnen bieden. Gartner wijst er echter op dat ondernemingen nog niet duidelijk zijn of, en met hoeveel, deze capaciteiten nieuwe opbrengsten opleveren voor de organisatie.
Rob Stroud, een hoofdanalist bij Forrester Research en voormalig bestuursvoorzitter bij ISACA, een internationale beroepsvereniging gericht op IT-governance, zegt dat hij veelbelovend ziet in dergelijke technologieën.
“Met AI en machine learning kunnen we gevolgtrekkingen en patroongebaseerde monitoring en alarmering doen, maar de echte kans is de voorspellend herstel. Dit is de transitie in de markt nu. Het gaat van een monitoringtool naar remediëringssuggesties, ”zegt Stroud, eraan toevoegend dat hij verwacht dat SIEM-software in de toekomst zelfs sanering kan automatiseren.
SIEM in de onderneming
SIEM-software legt volgens Gartner slechts een klein deel vast van de totale dollars die aan bedrijfsbeveiliging wereldwijd worden uitgegeven. Gartner schat de wereldwijde uitgaven aan bedrijfsbeveiliging op bijna $ 98,4 miljard voor 2017, met SIEM-software het verzamelen van ongeveer $ 2,4 miljard. Gartner voorspelt dat de uitgaven voor SIEM-technologie licht zullen stijgen, tot bijna $ 2,6 miljard in 2018 en $ 3,4 miljard in 2021.
SIEM-software wordt voornamelijk gebruikt door grote organisaties en openbare bedrijven, waar compliance Volgens analisten blijft regelgeving een sterke factor bij het gebruik van deze technologie.
Hoewel sommige middelgrote bedrijven ook SIEM-software hebben, hebben kleine bedrijven de neiging om er niet in te investeren.Analisten zeggen dat de aanschaf van hun eigen oplossing vaak niet duur is, aangezien de jaarlijkse kosten kunnen oplopen van tienduizenden tot meer dan $ 100.000. Bovendien hebben kleine bedrijven niet de mogelijkheid om het talent in te huren dat nodig is om SIEM-software doorlopend te onderhouden.
Dat gezegd hebbende, merken analisten ook op dat sommige kleine en middelgrote bedrijven SIEM hebben geleverd als een software-as-a-service-aanbod via outsourcingproviders die groot genoeg zijn om hun MKB-klanten die service te verkopen.
Momenteel draaien grote zakelijke gebruikers meestal altijd SIEM-software op locatie, vanwege de gevoeligheid van sommige gegevens die door het systeem gaan. “Je registreert gevoelige dingen, en dat is niet iets waar mensen veel zin in hebben om via internet te verzenden”, zegt John Hubbard, hoofdanalist voor GlaxoSmithKlines US Security Operations Center en instructeur bij het SANS Institute, een organisatie voor beveiliging professionals.
Naarmate de mogelijkheden voor machine learning en kunstmatige intelligentie binnen SIEM-producten toenemen, verwachten sommige analisten dat SIEM-leveranciers een hybride optie zullen bieden, waarbij een deel van de analyses in de cloud wordt uitgevoerd .
“We zien verzamelen en beheren en intelligentie via de cloud; we zien dat naar voren komen omdat de leverancier meer gegevens kan verzamelen dan een organisatie kan “, zegt Stroud.
SIEM-tools en leveranciersselectie
De SIEM-markt heeft verschillende dominante leveranciers op wereldwijde verkoop, met name IBM, Splunk en HPE. Er zijn in ieder geval nog een aantal grote spelers, namelijk Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds en Trustwave.
Musich zegt dat bedrijven producten moeten evalueren op basis van hun eigen doelstellingen om te bepalen welke zou het beste aan hun behoeften voldoen. Organisaties die deze technologie voornamelijk willen voor compliance, zullen bepaalde mogelijkheden, zoals rapportage, meer waarderen dan organisaties die SIEM willen gebruiken om een security operations center op te zetten.
Ondertussen, Ze zegt dat organisaties die petabytes aan gegevens hebben, sommige leveranciers beter in staat zullen vinden om aan hun behoeften te voldoen, terwijl degenen die minder gegevens hebben, misschien voor andere opties kiezen. Evenzo zullen bedrijven die een uitstekende opsporing van bedreigingen willen, waarschijnlijk op zoek gaan naar de beste tools voor gegevensvisualisatie en zoekmogelijkheden die anderen misschien niet nodig hebben.
Beveiligingsleiders moeten rekening houden met tal van andere factoren, zoals of ze dat wel kunnen een bepaald hulpmiddel ondersteunen, hoeveel gegevens ze binnen het systeem zullen hebben en hoeveel ze willen uitgeven – bij het evalueren van SIEM-leveranciers, zegt Musich. HPEs ArcSight ESM is bijvoorbeeld een volwassen tool die veel functionaliteit heeft, maar een aanzienlijke hoeveelheid expertise vereist en duurder is dan andere opties.
“Er zal altijd een reeks mogelijkheden zijn”, Musich voegt eraan toe: “En hoe geavanceerder de beveiliging is in de operaties, hoe beter ze gebruik zullen maken van de tools die ze hebben.”
Gezien de verschillende capaciteitsvereisten, afhankelijk van de twee belangrijkste drijfveren achter SIEM-selectie, Hubbard zegt dat hij ziet dat veel organisaties kiezen voor twee verschillende systemen, waarbij het ene gericht is op compliance en het andere gericht is op bedreigingsdetectie.
“Je zou veel kunnen verzamelen voor compliance , maar dat kan het vertragen voor het gebruik van bedreigingsdetectie. U hebt dus een tactische SIEM voor het detecteren van bedreigingen “, zegt hij.
De waarde van SIEM maximaliseren
Toch blijven de meeste bedrijven SIEM-software, voornamelijk voor het volgen en onderzoeken van wat er is gebeurd, zegt Eric Ogren, senior analist bij de informatiedienst veiligheidsteam bij 451 Research. Ogren zegt dat deze use case wordt gedreven door de escalerende dreiging van inbreuken en de steeds ernstiger gevolgen waarmee leiders en organisaties te maken zullen krijgen bij dergelijke evenementen.
Zoals Ogren zegt: “Als een bedrijf wordt gehackt, wil geen CIO dat laat het bestuur vragen wat er is gebeurd en zeg: Verdomme als ik het weet. Ze willen zeggen: We bekijken logboekgegevens om erachter te komen wat er is gebeurd. ”
Tegelijkertijd , gaan veel bedrijven nu verder en gebruiken ze steeds vaker de technologie voor detectie en bijna realtime respons, zegt Ogren.
“Het spel is nu: hoe snel kun je detecteren? ” zegt hij, eraan toevoegend dat de zich ontwikkelende mogelijkheden voor machine learning SIEM-systemen helpen om ongebruikelijke en potentieel kwaadaardige activiteiten nauwkeuriger te identificeren.
Ondanks dergelijke vorderingen worden organisaties nog steeds uitgedaagd in hun mogelijkheden om de voordelen te maximaliseren en dus , de waarde die ze zelfs uit bestaande systemen halen, zeggen experts.
Daar zijn verschillende redenen voor.
Ten eerste zijn SIEM-technologieën resource-intensief en hebben ze ervaren personeel nodig om te implementeren, onderhouden en verfijn ze – personeel waarin nog niet alle organisaties volledig hebben geïnvesteerd.
“Veel organisaties gebruiken de technologie omdat ze weten dat het iets is dat ze willen, maar ze hebben niet het personeel of ze krijgen het personeel niet de training die ze nodig hebben om het te gebruiken “, zegt Stroud.
SIEM-software heeft ook kwaliteitsgegevens nodig voor maximale opbrengst -” Hoe groter de gegevensbron, hoe beter het wordt en hoe beter het uitschieters kan zien “, legt Stroud uit. Toch blijven organisaties worstelen met het definiëren en aanleveren van de juiste data.
En zelfs met sterke data en een geavanceerd team dat de SIEM-technologie gebruikt, heeft de software zelf grenzen, zeggen analisten. Ze wijzen erop dat het niet helemaal nauwkeurig is om te detecteren wat acceptabele activiteit is en wat een legitieme potentiële dreiging is – een discrepantie die bij veel implementaties tot grote aantallen valse waarschuwingen leidt.
Dat scenario vereist sterk bestuur en effectieve procedures binnen de onderneming, zodat de beveiligingsteams niet bezwijken voor overbelasting van waarschuwingen.
Stroud zegt dat beveiligingsprofessionals vaak beginnen met het achterhalen van een duizelingwekkende hoeveelheid valse waarschuwingen. Geavanceerde organisaties zullen leren om de tooling overuren af te stemmen, zodat de software begrijpt wat gebruikelijke gebeurtenissen zijn en daardoor het aantal valse waarschuwingen verminderen.
Aan de andere kant zegt hij echter dat sommige beveiligingsteams daar op zullen bezuinigen stap en zet in plaats daarvan meer valse waarschuwingen uit gewoonte – een praktijk die het risico loopt echte bedreigingen te missen.
Musich zegt dat de meer geavanceerde organisaties ook scripts schrijven om meer alledaagse functies te automatiseren, zoals contextuele gegevens uit verschillende bronnen om een completer beeld te krijgen van waarschuwingen om het onderzoek en de identificatie van echte bedreigingen te versnellen.
“Er zijn zowel goede processen nodig als volwassenheid in de beveiligingsoperaties”, voegt ze eraan toe. “Dat betekent het is niet alleen een hulpmiddel op zich, maar het is geïntegreerd met andere technologieën en het heeft een algemeen proces om de activiteiten te sturen. “
Het zijn zulke bewegingen, zegt ze, dat kan de tijd die het personeel besteedt aan activiteiten op een lager niveau verminderen ities en laat ze in plaats daarvan hun energie richten op de hoogwaardige taken die de hele beveiligingshouding van het bedrijf verbeteren.
Meer over SIEM:
- ArcSight vs. Splunk? Waarom u beide zou willen hebben
- Evaluatiecriteria voor SIEM
- SIEM: 14 vragen die u moet stellen voordat u koopt
- Basisprincipes van logboekbeheer
- SIEMs -as-a-service komt tegemoet aan de behoeften van kleine, middelgrote ondernemingen