Ce este software-ul SIEM?
Informațiile de securitate și software-ul de gestionare a evenimentelor (SIEM) oferă profesioniștilor din domeniul securității întreprinderilor atât informații cât și o urmăriți activitățile din mediul lor IT.
Tehnologia SIEM există de mai bine de un deceniu, evoluând inițial din disciplina gestionării jurnalelor. A combinat gestionarea evenimentelor de securitate (SEM) – care analizează datele jurnalului și evenimentelor în timp real pentru a furniza monitorizarea amenințărilor, corelarea evenimentelor și răspunsul la incidente – cu gestionarea informațiilor de securitate (SIM) care colectează, analizează și raportează datele jurnalului.
Cum funcționează SIEM
Software-ul SIEM colectează și agregă datele din jurnal generate în întreaga infrastructură tehnologică a organizației, de la sisteme și aplicații gazdă la rețea și dispozitive de securitate, cum ar fi firewall-uri și filtre antivirus.
Software-ul identifică și clasifică incidentele și evenimentele, precum și le analizează. Software-ul îndeplinește două obiective principale, care sunt de a
- furniza rapoarte privind incidentele și evenimentele legate de securitate, cum ar fi conectările reușite și nereușite, activitatea malware și alte posibile activități dăunătoare și
- trimiteți alerte dacă analiza arată că o activitate se desfășoară împotriva seturilor de reguli prestabilite și indică astfel o potențială problemă de securitate.
Nevoia întreprinderii de o mai bună gestionare a conformității a condus la o mare parte din adoptarea timpurie a acestei tehnologii, spune Paula Musich, director de cercetare la Enterprise Management Associates (EMA), o firmă de cercetare de piață și consultanță cu sediul în Boulder, Colorado.
„Auditorii au avut nevoie de o modalitate de a examina dacă conformitatea a fost îndeplinită sau nu, iar SIEM a furnizat monitorizarea și raportarea necesare pentru îndeplinirea unor mandate precum HIPPA, SOX și PCI DSS ”, spune ea, referindu-se la Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate, legea Sarbanes – Oxley și datele privind industria cardurilor de plată Standard de securitate.
Cu toate acestea, ex Persoanele spun că cererea întreprinderilor pentru măsuri de securitate mai mari a condus mai mult pe piața SIEM în ultimii ani.
„În prezent, organizațiile mari privesc SIEM ca o bază pentru înființarea centrului de operațiuni de securitate”, spune Musich.
Analitică și inteligență
Unul dintre principalii factori din spatele utilizării software-ului SIEM pentru operațiuni de securitate se bazează pe noile capabilități conținute în multe dintre produsele de pe pe piață.
„Acum o mulțime de tehnologii SEIM aduc fluxuri de informații despre amenințări în plus față de datele de jurnal tradiționale și există mai multe produse SIEM care au capabilități de analiză de securitate care privesc comportamentul rețelei, precum și comportamentul utilizatorilor către oferiți mai multă inteligență în ceea ce privește dacă o activitate indică activitate dăunătoare „, explică Musich.
Într-adevăr, firma de cercetare tehnologică Gartner, în raportul său din mai 2017 privind piața mondială a SIEM, apelează la inteligența instrumentelor SIEM, spunând„ inovație în piața SIEM este în mișcare g într-un ritm interesant pentru a crea un instrument mai bun de detectare a amenințărilor. ”
Raportul Gartner menționează în continuare că furnizorii introduc învățarea automată, analiza statistică avansată și alte metode analitice la produsele lor, în timp ce unii experimentează și cu inteligență artificială și capacități de învățare profundă.
Potrivit lui Gartner, furnizorii comercializează astfel de progrese, precum capabilități care pot oferi rate de detectare mai precise într-un ritm mai rapid. Cu toate acestea, Gartner subliniază faptul că întreprinderile nu sunt încă clare dacă sau cu cât aceste capacități produc noi profituri pentru organizație.
Rob Stroud, analist principal la Forrester Research și președinte al consiliului de administrație anterior cu ISACA, o asociație profesională internațională axată pe guvernarea IT, spune că vede promițătoare în astfel de tehnologii.
„Cu AI și învățarea automată putem face inferențe și monitorizare și alertare bazate pe tipare, dar adevărata oportunitate este restaurare predictivă. Aceasta este tranziția pe piață acum. Trece de la un instrument de monitorizare la sugestii de remediere „, spune Stroud, adăugând că se așteaptă ca software-ul SIEM să poată chiar automatiza remedierea în viitor.
SIEM în întreprindere
Software-ul SIEM captează doar o mică parte din totalul dolarilor cheltuiți pentru securitatea întreprinderii la nivel mondial, potrivit Gartner. Gartner estimează cheltuielile globale pentru securitatea întreprinderii la aproape 98,4 miliarde de dolari pentru 2017, cu software-ul SIEM strângând aproximativ 2,4 miliarde de dolari. Gartner prezice că cheltuielile cu tehnologia SIEM vor crește modest, ajungând la aproape 2,6 miliarde de dolari în 2018 și 3,4 miliarde de dolari în 2021.
Software-ul SIEM este utilizat în cea mai mare parte de organizațiile mari și de companiile publice, unde conformitatea conform reglementărilor rămâne un factor puternic în utilizarea acestei tehnologii, potrivit analiștilor.
În timp ce unele companii de dimensiuni medii, de asemenea, software-ul SIEM, companiile mici nu tind să aibă nevoie și nici nu doresc să investească în aceasta.Analiștii spun că de multe ori nu își cumpără propria soluție, deoarece costul său anual poate varia de la zeci de mii la peste 100.000 de dolari. În plus, companiile mici nu au capacitatea de a angaja talentul necesar pentru a întreține software-ul SIEM în mod continuu.
Acestea fiind spuse, analiștii mai observă că unele companii mici și mijlocii au livrat SIEM ca o ofertă de software ca serviciu prin intermediul furnizorilor de externalizare care sunt suficient de mari pentru a-și vinde clienții IMM acel serviciu.
În prezent, utilizatorii mari ai întreprinderilor tind să ruleze întotdeauna software-ul SIEM local, datorită sensibilității a unora dintre datele care trec prin sistem. „Înregistrați lucruri sensibile și acest lucru nu este ceva pe care oamenii îl doresc mult să-l trimită pe internet”, spune John Hubbard, analist principal pentru Centrul de operațiuni de securitate din SUA al GlaxoSmithKline și instructor la SANS Institute, o organizație pentru securitate profesioniști.
Cu toate acestea, odată cu creșterea capacităților de învățare automată și inteligență artificială în cadrul produselor SIEM, unii analiști se așteaptă ca furnizorii SIEM să ofere o opțiune hibridă, unele dintre analizele rulând în cloud .
„Vedem colectarea, curatarea și inteligența prin cloud; vedem că acestea apar deoarece vânzătorul poate colecta mai multe date decât poate organizația ”, spune Stroud.
Instrumentele SIEM și selecția furnizorilor
Piața SIEM are mai mulți furnizori dominanți pe baza la vânzările la nivel mondial, în special IBM, Splunk și HPE. Există cel puțin încă câțiva jucători majori, și anume Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds și Trustwave.
Musich spune că companiile trebuie să evalueze produsele pe baza propriilor obiective pentru a determina care sunt ar satisface cel mai bine nevoile lor. Organizațiile care doresc această tehnologie în primul rând pentru conformitate vor valorifica anumite capacități, cum ar fi raportarea, mai mult decât organizațiile care doresc să folosească SIEM pentru a înființa un centru de operațiuni de securitate.
Între timp, spune ea, organizațiile care au petabytes de date vor găsi unii furnizori mai capabili să își satisfacă nevoile, în timp ce cei care au mai puține date ar putea opta pentru alte opțiuni. În mod similar, companiile care doresc o vânătoare de amenințări remarcabile vor căuta probabil instrumente de vizualizare a datelor de top și capabilități de căutare pe care alții ar putea să nu trebuiască să le aibă.
Liderii de securitate trebuie să ia în considerare numeroși alți factori – cum ar fi dacă pot susține un anumit instrument, cât de multe date vor avea în sistem și cât vor să cheltuiască – atunci când evaluează furnizorii SIEM, spune Musich. De exemplu, ArcSight ESM de la HPE este un instrument matur care are o mulțime de funcționalități, dar necesită o cantitate semnificativă de expertiză și este mai scump decât alte opțiuni.
„Va exista întotdeauna o serie de capabilități” Musich adaugă. „Și cu cât securitatea este mai sofisticată în operațiuni, cu atât vor folosi mai bine instrumentele pe care le au.”
Având în vedere cerințele de capacitate variate, în funcție de cei doi factori principali din spatele acestora Selecția SIEM, Hubbard spune că vede multe organizații să opteze pentru două sisteme diferite, una fiind axată pe conformitate și cealaltă axată pe detectarea amenințărilor.
„S-ar putea să colectați multe pentru conformitate , dar asta o poate încetini pentru utilizările de detectare a amenințărilor. Deci aveți un SIEM tactic pentru detectarea amenințărilor „, spune el.
Maximizarea valorii SIEM
Totuși, majoritatea companiilor continuă să utilizeze Software-ul SIEM în primul rând pentru urmărirea și investigarea a ceea ce s-a întâmplat, spune Eric Ogren, analist senior cu informațiile echipa curity la 451 Research. Ogren spune că acest caz de utilizare este determinat de amenințarea crescândă a încălcărilor și de consecințele din ce în ce mai severe cu care se vor confrunta liderii și organizațiile în astfel de evenimente.
După cum spune Ogren: „Dacă o companie este piratată, niciun CIO nu vrea să solicitați consiliului să întrebe ce s-a întâmplat și să spună „La naiba dacă știu.” Vor să spună: „Trecem prin datele jurnalului pentru a afla ce s-a întâmplat.” ”
În același timp, totuși , multe companii merg acum dincolo de asta și folosesc din ce în ce mai mult tehnologia pentru detectare și răspuns aproape în timp real, spune Ogren.
„Jocul este acum: cât de repede poți detecta?” spune el, adăugând că capacitățile de învățare automată în evoluție ajută sistemele SIEM să identifice mai precis activitatea neobișnuită și potențial rău intenționată.
În ciuda acestor progrese, organizațiile continuă să fie provocate în abilitățile lor de a maximiza beneficiile și, astfel, , valoarea pe care o obțin chiar și din sistemele existente, spun specialiștii.
Există diverse motive pentru asta.
În primul rând, tehnologiile SIEM necesită resurse mari și necesită personal experimentat pentru implementare, întreținere și reglați-le – personal în care nu toate organizațiile au investit încă în totalitate.
„O mulțime de organizații aduc tehnologia pentru că știu că își doresc ceva, dar nu au personal sau nu primesc personalul pregătirea de care au nevoie să-l utilizați „, spune Stroud.
Software-ul SIEM necesită, de asemenea, date de calitate pentru un randament maxim -„ Cu cât îi oferiți o sursă de date mai mare, cu atât devin mai bune și cu atât poate vedea mai bine valorile aberante ”, explică Stroud. Cu toate acestea, organizațiile continuă să lupte pentru a defini și furniza datele corecte.
Și chiar și cu date puternice și o echipă sofisticată care rulează tehnologia SIEM, software-ul în sine are limite, spun analiștii. Aceștia subliniază că nu este complet precis în detectarea activității acceptabile și a amenințărilor potențiale legitime – o discrepanță care duce la un număr mare de alerte false în multe implementări.
Acest scenariu necesită o guvernanță puternică și proceduri eficiente în cadrul întreprinderii, astfel încât echipele de securitate să nu cedeze pentru a alerta supraîncărcarea.
Stroud spune că profesioniștii din domeniul securității încep adesea să urmărească o cantitate uluitoare de alerte false. Organizațiile sofisticate vor învăța să regleze programul de lucru suplimentar, astfel încât software-ul să înțeleagă care sunt evenimentele obișnuite și, prin urmare, să reducă numărul de alerte false. pas și, în schimb, acordați mai multe alerte false din obișnuință – o practică care riscă să lipsească amenințările reale.
Musich spune că organizațiile mai sofisticate scriu și scripturi pentru a automatiza mai multe funcții banale, cum ar fi extragerea contextuală date din diferite surse pentru a oferi o imagine mai completă a alertelor pentru a accelera investigațiile și identificarea amenințărilor reale.
„Este nevoie de procese bune, precum și de o maturitate în operațiunile de securitate”, adaugă ea. „Asta înseamnă dacă nu este doar un instrument în sine, ci îl integrează cu alte tehnologii și are un proces general care să ghideze activitățile. ”
Este o mișcare așa, spune ea, că poate reduce timpul petrecut de personal pe activități de nivel inferior și le permite în schimb să-și redirecționeze energiile către sarcinile de mare valoare care ridică întreaga postură de securitate a companiei.
Mai multe despre SIEM:
- ArcSight vs. Splunk? De ce s-ar putea să doriți ambele
- Criterii de evaluare pentru SIEM
- SIEM: 14 întrebări de pus înainte de a cumpăra
- Noțiuni de bază despre gestionarea jurnalelor
- SIEM -ca-un-serviciu răspunde nevoilor întreprinderilor mici și mijlocii