Co to jest oprogramowanie SIEM?
Oprogramowanie do zarządzania informacjami o bezpieczeństwie i zdarzeniami (SIEM) zapewnia specjalistom ds. Bezpieczeństwa w przedsiębiorstwie zarówno wgląd w, jak i historię działań w ich środowisku IT.
Technologia SIEM istnieje od ponad dziesięciu lat, początkowo ewoluując z dyscypliny zarządzania dziennikami. Łączył zarządzanie zdarzeniami bezpieczeństwa (SEM) – które analizuje dzienniki i dane zdarzeń w czasie rzeczywistym w celu monitorowania zagrożeń, korelacji zdarzeń i reagowania na incydenty – z zarządzaniem informacjami bezpieczeństwa (SIM), które gromadzi, analizuje i raportuje dane dziennika.
Jak działa SIEM
Oprogramowanie SIEM gromadzi i agreguje dane dzienników generowane w całej infrastrukturze technologicznej organizacji, od systemów hosta i aplikacji po sieć i urządzenia zabezpieczające, takie jak zapory ogniowe i filtry antywirusowe.
Następnie oprogramowanie identyfikuje i kategoryzuje incydenty i zdarzenia, a także je analizuje. Oprogramowanie spełnia dwa główne cele, którymi są
- dostarczanie raportów o incydentach i zdarzeniach związanych z bezpieczeństwem, takich jak udane i nieudane logowanie, aktywność złośliwego oprogramowania i inne możliwe złośliwe działania oraz
- wysyłaj alerty, jeśli analiza wykaże, że działanie jest sprzeczne z wcześniej określonymi zestawami reguł, a tym samym wskazuje na potencjalny problem z bezpieczeństwem.
Potrzeba lepszego zarządzania zgodnością spowodowała wiele jak mówi Paula Musich, dyrektor ds. badań w Enterprise Management Associates (EMA), firmie zajmującej się badaniami rynku i konsultingiem z siedzibą w Boulder w stanie Kolorado.
„Audytorzy potrzebowali sposobu, aby sprawdzić, czy zgodność spełniał lub nie, a SIEM zapewnił monitorowanie i raportowanie niezbędne do spełnienia wymagań takich jak HIPPA, SOX i PCI DSS ”- mówi, odnosząc się do ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych, ustawy Sarbanes – Oxley oraz danych branżowych dotyczących kart płatniczych Standard bezpieczeństwa.
Jednak np Eksperci twierdzą, że zapotrzebowanie przedsiębiorstw na większe środki bezpieczeństwa wpłynęło na rozwój rynku SIEM w ostatnich latach.
„Obecnie duże organizacje zazwyczaj traktują SIEM jako podstawę do wspierania centrum operacji bezpieczeństwa” – mówi Musich.
Analityka i inteligencja
Jednym z głównych czynników odpowiedzialnych za używanie oprogramowania SIEM do operacji związanych z bezpieczeństwem są nowsze możliwości zawarte w wielu produktach w
„Obecnie wiele technologii SEIM dostarcza źródła informacji o zagrożeniach oprócz tradycyjnych danych dziennika, a istnieje wiele produktów SIEM, które mają funkcje analizy bezpieczeństwa, które analizują zachowanie sieci, a także zachowanie użytkowników dostarczają więcej informacji na temat tego, czy aktywność wskazuje na złośliwą aktywność ”, wyjaśnia Musich.
Rzeczywiście, firma badawcza Gartner w swoim raporcie z maja 2017 roku na temat światowego rynku SIEM przywołuje inteligencję w narzędziach SIEM, mówiąc:„ innowacje w rynek SIEM się rozwija g w ekscytującym tempie, aby stworzyć lepsze narzędzie do wykrywania zagrożeń. ”
Raport Gartnera dalej zauważa, że dostawcy wprowadzają do swoich produktów uczenie maszynowe, zaawansowaną analizę statystyczną i inne metody analityczne, podczas gdy niektórzy również eksperymentują z sztuczna inteligencja i funkcje głębokiego uczenia.
Według firmy Gartner, dostawcy sprzedają takie postępy jako możliwości, które mogą zapewnić dokładniejsze wskaźniki wykrywania w szybszym tempie. Jednak Gartner zwraca uwagę, że przedsiębiorstwa nie są jeszcze jasne, czy i w jakim stopniu te możliwości przynoszą firmie nowe korzyści.
Rob Stroud, główny analityk w firmie Forrester Research i były prezes zarządu w ISACA, międzynarodowe stowarzyszenie zawodowe skupiające się na zarządzaniu IT, twierdzi, że widzi obiecujące technologie w takich technologiach.
„Dzięki sztucznej inteligencji i uczeniu maszynowemu możemy przeprowadzać wnioskowanie oraz monitorowanie i ostrzeganie oparte na wzorcach, ale prawdziwą szansą jest przywracanie predykcyjne. To jest teraz przejście na rynku. Przechodzi od narzędzia do monitorowania do sugestii naprawczych ”- mówi Stroud, dodając, że oczekuje, że oprogramowanie SIEM będzie w stanie zautomatyzować działania naprawcze w przyszłości.
SIEM w przedsiębiorstwie
Według firmy Gartner, oprogramowanie SIEM pochłania tylko niewielką część całkowitych dolarów wydanych na bezpieczeństwo przedsiębiorstw na całym świecie. Gartner szacuje globalne wydatki na bezpieczeństwo przedsiębiorstwa na prawie 98,4 miliarda dolarów w 2017 r. Dzięki oprogramowaniu SIEM zbierając około 2,4 miliarda dolarów. Gartner przewiduje, że wydatki na technologię SIEM nieznacznie wzrosną, do prawie 2,6 miliarda dolarów w 2018 roku i 3,4 miliarda dolarów w 2021 roku.
Oprogramowanie SIEM jest używane głównie przez duże organizacje i firmy publiczne, w których zgodność do przepisów pozostaje silnym czynnikiem w korzystaniu z tej technologii, zdaniem analityków.
Podczas gdy niektóre średnie firmy również oprogramowania SIEM, małe firmy zwykle nie potrzebują ani nie chcą w nie inwestować.Analitycy twierdzą, że często kosztuje ich zakup własnego rozwiązania, ponieważ jego roczny koszt może wynosić od dziesiątek tysięcy do ponad 100 000 USD. Ponadto małe firmy nie mają możliwości zatrudniania talentów potrzebnych do utrzymania oprogramowania SIEM na bieżąco.
To powiedziawszy, analitycy zauważają również, że niektóre małe i średnie firmy dostarczają SIEM jako oferowanie oprogramowania jako usługi za pośrednictwem dostawców outsourcingu, którzy są na tyle duże, że mogą sprzedawać tę usługę swoim klientom z sektora MŚP.
Obecnie duże przedsiębiorstwa zwykle używają oprogramowania SIEM lokalnie, ze względu na wrażliwość niektórych danych przechodzących przez system. „Zapisujesz wrażliwe rzeczy, a ludzie nie mają takiego apetytu na przesyłanie ich przez Internet” – mówi John Hubbard, główny analityk z US Security Operations Center GlaxoSmithKline i instruktor w SANS Institute, organizacji zajmującej się bezpieczeństwem profesjonalistów.
Jednak wraz ze wzrostem możliwości uczenia maszynowego i sztucznej inteligencji w produktach SIEM, niektórzy analitycy oczekują, że dostawcy SIEM będą oferować opcję hybrydową, a niektóre analizy będą działały w chmurze .
„Obserwujemy gromadzenie i selekcjonowanie oraz analizę danych w chmurze; widzimy, że pojawia się to, ponieważ dostawca może zebrać więcej danych niż organizacja ”- mówi Stroud.
Narzędzia SIEM i wybór dostawców
Rynek SIEM ma kilku dominujących dostawców sprzedaży na całym świecie, w szczególności IBM, Splunk i HPE. Istnieje co najmniej kilku innych głównych graczy, a mianowicie Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds i Trustwave.
Musich mówi, że firmy muszą oceniać produkty na podstawie własnych celów, aby określić, które najlepiej odpowiadałyby ich potrzebom. Organizacje, które chcą tej technologii przede wszystkim ze względu na zgodność, będą cenić pewne możliwości, takie jak raportowanie, bardziej niż organizacje, które chcą wykorzystać SIEM do utworzenia centrum operacji bezpieczeństwa.
Tymczasem Mówi, że organizacje, które mają petabajty danych, znajdą dostawców lepiej spełniających ich potrzeby, podczas gdy te, które mają mniej danych, mogą wybrać inne opcje. Podobnie firmy, które chcą wyjątkowego polowania na zagrożenia, prawdopodobnie będą szukać najlepszych narzędzi do wizualizacji danych i funkcji wyszukiwania, których inni mogą nie potrzebować.
Liderzy bezpieczeństwa muszą wziąć pod uwagę wiele innych czynników – na przykład, czy mogą wspierają konkretne narzędzie, ile danych będą mieć w systemie i ile chcą wydać – oceniając dostawców SIEM, mówi Musich. Na przykład ArcSight ESM firmy HPE to dojrzałe narzędzie, które ma wiele funkcji, ale wymaga znacznej wiedzy i jest droższe niż inne opcje.
„Zawsze będzie szeroki zakres możliwości”, Musich dodaje: „A im bardziej wyrafinowane są zabezpieczenia operacji, tym lepiej wykorzystają narzędzia, które mają”.
Biorąc pod uwagę różne wymagania dotyczące możliwości w zależności od dwóch głównych czynników stojących za nimi Wybór SIEM, Hubbard mówi, że widzi, że wiele organizacji wybiera dwa różne systemy, z których jeden koncentruje się na zgodności, a drugi na wykrywaniu zagrożeń.
„Możesz zebrać dużo za zgodność , ale to może spowolnić pracę w zastosowaniach do wykrywania zagrożeń. Masz więc taktyczny SIEM do wykrywania zagrożeń ”- mówi.
Maksymalizacja wartości SIEM
Mimo to większość firm nadal używa Oprogramowanie SIEM służy przede wszystkim do śledzenia i badania tego, co się stało, mówi Eric Ogren, starszy analityk ds. Informacji zespół curity w 451 Research. Ogren mówi, że ten przypadek użycia jest napędzany przez eskalację zagrożenia włamaniami i coraz poważniejsze konsekwencje, z którymi przywódcy i organizacje będą musieli się zmierzyć w takich sytuacjach.
Jak mówi Ogren: „Jeśli firma zostanie zhakowana, żaden dyrektor ds. poproś zarząd, aby zapytał, co się stało i powiedział: „Cholera, jeśli wiem”. Chcą powiedzieć: „Przeglądamy dane dziennika, aby dowiedzieć się, co się stało”.
W tym samym czasie , wiele firm wychodzi teraz poza to i coraz częściej wykorzystuje technologię do wykrywania i reagowania w czasie niemal rzeczywistym, mówi Ogren.
„Teraz gra jest taka: jak szybko możesz wykryć?” mówi, dodając, że rozwijające się możliwości uczenia maszynowego pomagają systemom SIEM w dokładniejszym identyfikowaniu nietypowych i potencjalnie złośliwych działań.
Pomimo takich postępów organizacje nadal mają trudności z maksymalizacją korzyści, a tym samym , wartość, jaką uzyskują nawet z istniejących systemów, twierdzą eksperci.
Istnieje wiele powodów takiego stanu rzeczy.
Po pierwsze, technologie SIEM wymagają dużej ilości zasobów i wymagają doświadczonego personelu do wdrożenia, utrzymania i dopracować je – personel, w który nie wszystkie organizacje jeszcze w pełni zainwestowały.
„Wiele organizacji wprowadza technologię, ponieważ wiedzą, że jest to coś, czego chcą, ale nie mają personelu lub nie otrzymują personelu odpowiedniego szkolenia aby z niego korzystać ”- mówi Stroud.
Oprogramowanie SIEM wymaga również wysokiej jakości danych w celu uzyskania maksymalnej wydajności -„ Im większe źródło danych mu podasz, tym lepiej je uzyskuje i tym lepiej widzi wartości odstające ”- wyjaśnia Stroud. Jednak organizacje nadal mają problemy z definiowaniem i dostarczaniem właściwych danych.
Nawet mając mocne dane i wyrafinowany zespół obsługujący technologię SIEM, samo oprogramowanie ma ograniczenia, twierdzą analitycy. Wskazują, że wykrywanie dopuszczalnych działań i uzasadnionego potencjalnego zagrożenia nie jest całkowicie dokładne – rozbieżność, która prowadzi do dużej liczby fałszywych alarmów w wielu wdrożeniach.
Ten scenariusz wymaga silnego zarządzania i skutecznych procedur w przedsiębiorstwie, aby zespoły bezpieczeństwa nie ulegały przeciążeniu w postaci alertów.
Stroud mówi, że specjaliści ds. bezpieczeństwa często zaczynają od ścigania oszałamiającej liczby fałszywych alertów. Wyrafinowane organizacje nauczą się dostrajać narzędzia w godzinach nadliczbowych, aby oprogramowanie rozumiało, jakie są zwykłe zdarzenia, i tym samym zmniejsza liczbę fałszywych alertów.
Z drugiej strony jednak mówi, że niektóre zespoły bezpieczeństwa będą na tym skąpić krok i zamiast tego wyłączaj więcej fałszywych alertów z przyzwyczajenia – praktyka, która grozi pominięciem prawdziwych zagrożeń.
Musich mówi, że bardziej wyrafinowane organizacje również piszą skrypty automatyzujące bardziej przyziemne funkcje, takie jak wyciąganie kontekstowych dane z różnych źródeł, aby uzyskać pełniejszy obraz alertów, aby przyspieszyć dochodzenia i identyfikację rzeczywistych zagrożeń.
„Potrzeba dobrych procesów, a także dojrzałości operacji bezpieczeństwa” – dodaje. „To oznacza mając to nie tylko samo w sobie narzędzie, ale także zintegrowane z innymi technologiami i posiadające ogólny proces kierowania działaniami. ”
To takie ruchy, mówi, że może skrócić czas, jaki pracownicy spędzają na zajęciach niższego poziomu ities i zamiast tego pozwolić im skierować swoją energię na zadania o wysokiej wartości, które podnoszą poziom bezpieczeństwa firmy.
Więcej o SIEM:
- ArcSight vs. Splunk? Dlaczego możesz chcieć oba kryteria
- Kryteria oceny SIEM
- SIEM: 14 pytań, które należy zadać przed zakupem
- Podstawy zarządzania dziennikami
- SIEMs -as-a-service odpowiada na potrzeby małych, średnich przedsiębiorstw