Vad är SIEM-programvara?
Säkerhetsinformation och SIEM-programvara (SIEM) ger företagets säkerhetspersonal både insikt i och en meritlista över aktiviteterna inom deras IT-miljö.
SIEM-teknik har funnits i mer än ett decennium och utvecklades ursprungligen från loggdisciplinen. Det kombinerade säkerhetshändelsehantering (SEM) – som analyserar logg- och händelsesdata i realtid för att ge hotövervakning, händelsekorrelation och incidentrespons – med säkerhetsinformationshantering (SIM) som samlar in, analyserar och rapporterar loggdata.
Hur SIEM fungerar
SIEM-programvara samlar in och aggregerar loggdata som genereras genom hela organisationens teknikinfrastruktur, från värdsystem och applikationer till nätverks- och säkerhetsenheter såsom brandväggar och antivirusfilter.
Programvaran identifierar och kategoriserar incidenter och händelser samt analyserar dem. Programvaran levererar två huvudmål, som är att
- tillhandahålla rapporter om säkerhetsrelaterade incidenter och händelser, såsom framgångsrika och misslyckade inloggningar, skadlig aktivitet och andra möjliga skadliga aktiviteter och
- skicka varningar om analysen visar att en aktivitet går mot förutbestämda regleruppsättningar och därmed indikerar ett potentiellt säkerhetsproblem.
Företagets behov av bättre efterlevnadshantering drev mycket av det tidiga antagandet av denna teknik, säger Paula Musich, forskningschef på Enterprise Management Associates (EMA), ett marknadsundersöknings- och konsultföretag baserat i Boulder, Colo.
”Revisorerna behövde ett sätt att se om efterlevnad uppfylldes eller inte, och SIEM tillhandahöll den övervakning och rapportering som krävs för att uppfylla mandat som HIPPA, SOX och PCI DSS, säger hon med hänvisning till Health Insurance Portability and Accountability Act, Sarbanes – Oxley Act och Payment Card Industry Data Säkerhetsstandard.
Ex perts säger att företagens efterfrågan på ökade säkerhetsåtgärder har drivit mer av SIEM-marknaden de senaste åren.
”Nu ser stora organisationer vanligtvis på SIEM som en grund för att stå upp säkerhetsoperationscentret”, säger Musich. / p>
Analytics och intelligens
En av de viktigaste drivkrafterna bakom användningen av SIEM-programvara för säkerhetsoperationer vilar med de nyare funktionerna som finns i många av produkterna på marknaden.
”Nu tar många SEIM-teknologier in hotinformationsflöden utöver traditionell loggdata, och det finns flera SIEM-produkter som har säkerhetsanalysfunktioner som tittar på nätverksbeteende såväl som användarnas beteende ge mer intelligens kring huruvida en aktivitet indikerar skadlig aktivitet, ”förklarar Musich.
Faktum är att teknikforskningsföretaget Gartner i sin rapport från maj 2017 om den världsomfattande SIEM-marknaden kallar intelligensen i SIEM-verktyg och säger” innovation SIEM-marknaden rör sig g i en spännande takt för att skapa ett bättre verktyg för upptäckt av hot. ”
Gartner-rapporten konstaterar vidare att leverantörer introducerar maskininlärning, avancerad statistisk analys och andra analysmetoder till sina produkter, medan vissa också experimenterar med artificiell intelligens och djupinlärningsfunktioner.
Enligt Gartner marknadsför leverantörer sådana framsteg som funktioner som kan ge mer exakta detekteringshastigheter i snabbare takt. Gartner påpekar dock att företagen ännu inte är klara om, eller hur mycket, dessa funktioner ger nya avkastningar till organisationen.
Rob Stroud, en huvudanalytiker med Forrester Research och tidigare styrelseordförande med ISACA, en internationell yrkesförening med fokus på IT-styrning, säger att han ser löften i sådan teknik.
”Med AI och maskininlärning kan vi göra slutsatser och mönsterbaserad övervakning och varning, men den verkliga möjligheten är prediktiv restaurering. Detta är övergången på marknaden nu. Det går från ett övervakningsverktyg till saneringsförslag, säger Stroud och tillägger att han förväntar sig att SIEM-programvara till och med kommer att kunna automatisera sanering i framtiden.
SIEM i företaget
SIEM-programvara fångar endast en liten del av de totala dollar som spenderas på företagssäkerhet över hela världen, enligt Gartner. Gartner uppskattar de globala utgifterna för företagssäkerhet till nästan 98,4 miljarder dollar för 2017, med SIEM-programvara samla omkring 2,4 miljarder dollar. Gartner förutspår utgifterna för SIEM-teknik kommer att öka blygsamt, till nästan 2,6 miljarder dollar 2018 och 3,4 miljarder dollar 2021.
SIEM-programvara används mest av stora organisationer och offentliga företag, där efterlevnad till föreskrifter är fortfarande en stark faktor i användningen av denna teknik, enligt analytiker.
Medan vissa medelstora företag också SIEM-programvara, behöver små företag inte behöva eller vilja investera i den.Analytiker säger att de ofta är prissatta för att köpa sin egen lösning, eftersom den årliga kostnaden kan gå från tiotusentals till mer än 100 000 dollar plus. Dessutom har små företag inte förmågan att anställa den talang som behövs för att underhålla SIEM-programvaran fortlöpande.
Med detta sagt noterar analytiker också att vissa små och medelstora företag har SIEM levererat som ett program-som-en-tjänst-erbjudande genom outsourcingleverantörer som är tillräckligt stora för att sälja sina SMB-kunder den tjänsten.
För närvarande tenderar stora företagsanvändare att alltid köra SIEM-programvara lokalt på grund av känsligheten av en del av data som går genom systemet. ”Du loggar känsliga saker, och det är inte något som människor har mycket aptit för att skicka via internet”, säger John Hubbard, ledande analytiker för GlaxoSmithKlines amerikanska säkerhetsoperationscenter och instruktör vid SANS Institute, en organisation för säkerhet. Men när maskininlärning och artificiell intelligens ökar inom SIEM-produkter förväntar sig vissa analytiker att SIEM-leverantörer kommer att erbjuda ett hybridalternativ, med några av analyserna som körs i molnet .
”Vi ser insamling och kurering och intelligens via moln; vi ser att det dyker upp för att leverantören kan få mer information än en organisation kan, säger Stroud.
SIEM-verktyg och val av leverantör
SIEM-marknaden har flera dominerande leverantörsbaserade på global försäljning, särskilt IBM, Splunk och HPE. Det finns åtminstone flera större aktörer, nämligen Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds och Trustwave.
Musich säger att företag måste utvärdera produkter utifrån sina egna mål för att avgöra vilka bäst skulle tillgodose deras behov. Organisationer som främst vill ha denna teknik för efterlevnad kommer att värdera vissa funktioner, såsom rapportering, mer än organisationer som vill använda SIEM för att inrätta ett säkerhetsoperationscenter.
Under tiden säger hon, organisationer som har petabytes med data kommer att hitta vissa leverantörer som bättre kan tillgodose deras behov, medan de som har mindre data kan välja andra alternativ. På samma sätt kommer företag som vill ha enastående hotjakt sannolikt att leta efter de bästa datavisualiseringsverktygen och sökfunktioner som andra kanske inte behöver ha.
Säkerhetsledare måste ta hänsyn till många andra faktorer – till exempel om de kan stödja ett visst verktyg, hur mycket data de kommer att ha i systemet och hur mycket de vill spendera – vid utvärdering av SIEM-leverantörer, säger Musich. Till exempel är HPEs ArcSight ESM ett moget verktyg som har mycket funktionalitet men kräver en betydande mängd expertis och är dyrare än andra alternativ.
”Det kommer alltid att finnas en rad funktioner” Musich tillägger: ”Och ju mer sofistikerad säkerheten är i operationerna, desto bättre användning kommer de att använda av de verktyg de har.”
Med tanke på de olika kapacitetskraven beroende på de två huvudsakliga drivkrafterna bakom. SIEM-val, säger Hubbard att han ser att många organisationer väljer två olika system, med en fokuserad på efterlevnad och den andra fokuserad på upptäckt av hot.
”Du kanske samlar mycket för efterlevnad , men det kan sakta ner för användning av hotdetektering. Så du har en taktisk SIEM för hotdetektering, säger han.
Maximering av SIEMs värde
Fortfarande fortsätter de flesta företag att använda SIEM-programvara främst för att spåra och undersöka vad som har hänt, säger Eric Ogren, senioranalytiker med informationen se curity team på 451 Research. Ogren säger att detta användningsfall drivs av det eskalerande hotet om intrång och det alltmer allvarliga nedfall som ledare och organisationer kommer att möta i sådana händelser.
Som Ogren säger: ”Om ett företag blir hackat vill ingen CIO låt styrelsen fråga vad som hände och säg: Fan om jag vet. De vill säga: Vi går igenom loggdata för att ta reda på vad som hände. ”
Samtidigt dock , många företag går nu längre än det och använder i allt högre grad tekniken för detektering och nästan realtidssvar, säger Ogren.
”Spelet är nu: Hur snabbt kan du upptäcka, detektera?” säger han och tillägger att de utvecklande maskininlärningsfunktionerna hjälper SIEM-system att mer exakt identifiera ovanliga och potentiellt skadliga aktiviteter.
Trots sådana framsteg fortsätter organisationer att utmanas i sina förmågor att maximera fördelarna och därmed , det värde de får ut av befintliga system, säger experter.
Det finns olika anledningar till det.
För det första är SIEM-teknik resurskrävande och kräver erfaren personal att implementera, underhålla och finjustera dem – personal som inte alla organisationer har investerat helt i än.
”Många organisationer tar in tekniken eftersom de vet att det är något de vill ha men de har inte personalen eller de får inte personalen den utbildning de behöver att använda den, säger Stroud.
SIEM-programvara kräver också kvalitetsdata för maximalt utbyte – ”Ju större datakälla du ger, desto bättre blir det och desto bättre kan det se outliers”, förklarar Stroud. Ändå fortsätter organisationer att kämpa med att definiera och tillhandahålla rätt data.
Och även med stark data och ett sofistikerat team som driver SIEM-tekniken har själva programvaran begränsningar, säger analytiker. De påpekar att det inte är helt korrekt att upptäcka vad som är acceptabel aktivitet och vad som är ett legitimt potentiellt hot – en avvikelse som leder till ett stort antal falska varningar vid många distributioner.
Detta scenario kräver stark styrning och effektiva procedurer inom företaget så att säkerhetsgrupperna inte ger efter för övervarning.
Stroud säger att säkerhetspersonal ofta börjar med att jaga ned en svindlande mängd falska varningar. Sofistikerade organisationer kommer att lära sig att ställa in övertid på verktyget så att programvaran förstår vad som är vanliga händelser och därmed sänker antalet falska varningar.
På andra sidan säger han dock att vissa säkerhetsteam kommer att spara på det steg och ställ istället in fler av de falska varningarna av vana – en praxis som riskerar att missa verkliga hot. data från olika källor för att ge en mer komplett bild kring varningar för att påskynda utredningar och identifiering av verkliga hot.
”Det krävs bra processer och en mognad i säkerhetsoperationerna”, tillägger hon. ”Det betyder att det inte bara är ett verktyg för sig själv utan att det integreras med andra tekniker och har en övergripande process för att styra aktiviteterna. ”
Det rör sig så, säger hon, att kan minska tiden personal tillbringar på lägre nivåaktivitet och istället låta dem omdirigera sin energi till de högvärdiga uppgifter som höjer företagets hela säkerhetsställning.
Mer om SIEM:
- ArcSight vs. Splunk? Varför kanske du vill ha båda
- Utvärderingskriterier för SIEM
- SIEM: 14 frågor att ställa innan du köper
- Grunderna för logghantering
- SIEM -as-a-service tillgodoser behoven hos små, medelstora företag