Съдържание
- Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
- Втората половина
- Облачни перспективи
- Плюсове (SIEM като цяло)
- Минуси (SIEM като цяло)
- заключение
Източник: Cuteimage / Dreamstime.com
За вкъщи:
Информацията за сигурността и управлението на събития се очертават като много мощен инструмент в сигурността на системата.
За повечето организации в рамките на предприятията нарастващият брой и осакатяващата тежест на инциденти с нарушаване на данни през последните години доведоха до рязко увеличение на разходите за киберсигурност.
На фона на принудата да инвестираме в най-сложната технология възможно най-бързо, става все по-важно да разберем какви решения са там и дали те са подходящи.
Един от най-бързо развиващите се сектори на продуктите за сигурност са инструменти за анализиране на поведението на потребителите, като например системата за информация за сигурност и управление на събития (SIEM), която събира данни от дневници за събития и удостоверяване, за да установи основна линия на нормална дейност и след това използва тази базова линия за откриване на злонамерено поведение на потребителите и други аномалии. (За да научите повече за сигурността, вижте Отвъд управлението и спазването: Защо рискът от ИТ сигурност е какво е важно.)
Ако аналогиите помогнат, помислете за монитор на ICU, където непрекъснатото наблюдение от централен дисплей помага да се идентифицират аномалии, които от своя страна задействат сигналите и след това незабавно инициират коригиращи действия. И подобно на поставянето на електрод върху кожата на пациента, за да се създаде канал за сърдечен изход, агентите се използват като междинен софтуер за осъществяване на връзка със сървъра и създаване на път за предаване на данни към виртуален колектор на лога (VLC).
За компаниите, които биха могли да си го позволят, новините за тази технология бяха като бог още през 90-те, където цунамито от трупи, които биват разбити от системите за откриване на проникване и предотвратяване, създаваше огромен вакуум за системите за управление на журнали. Днес обаче инструментите на SIEM са изминали много далеч от системите, ориентирани към лога, които са били предназначени предимно за управление на журнали и затова имат разходи за тяхното внедряване.
През последните години технологията SIEM стана по-усъвършенствана с функции като заснемане на необработени пакети данни и методологии за машинно обучение, като корелация на събитията, за да помогне на място заплахи, които обикновено заобикалят превантивните контроли. „Придвижването към непрекъснато откриване на атаки и подходяща защита е пътуване, а SIEM е ключов фактор в този процес“, казва Лалит Ахлувалия, лидер по сигурността за публичния сектор в Северна Америка в Accenture.
За да може всяко предприятие да внедрява SIEM, те трябва да преминат през изчерпателна фаза на събиране на изисквания, в която всички документи, свързани със сигурността на журнала на събития, произведени от техните критични уреди, включително мрежови, VoIP, системи за сигурност и системи за администриране, ще бъдат документирани ,
След като бъдат завършени, агентите за междинен софтуер се конфигурират към тези регистрационни файлове към VLC, който улавя необработени пакети данни и ги разпространява до хост на кибер заплаха, който улеснява откриването и предотвратяването на заплахи, като се използват алгоритми за анализ на поведението и система за наблюдение на предупрежденията.
Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.
И все пак разходите за изпълнение и подготовка са само една част от уравнението. Текущият мониторинг е другата част.
Втората половина
Клиентската компания ще се нуждае от специализиран персонал, като инженери по сигурността на информацията и архитекти, за да се уверят, че на журнала се изпращат нови журнали, филтрите се актуализират, за да се намалят фалшивите позитиви, производителността е постоянно фина настройка, дисковото пространство се следи и балансира натоварването решения се прилагат, когато мрежата започне да плаче за повече честотна лента.
Облачни перспективи
Един от основните фактори, които определят разходите на компанията за внедряване на SIEM, е дали те избират да използват облачна услуга (SIEMaaS). Тъй като все повече компании се придвижват към IaaS, SaaS и PaaS, става по-логично технологията, която да се интегрира с нея, или поне опцията, ако е необходимо.
Когато дадено решение стане по-мащабируемо, вероятно е да стане по-евтино и по-бързо да се приложи от алтернативата. Въпреки това, в сравнение с локалното решение, свързаността с други уреди може да не е толкова проста.
Въпреки че зависи от плана за архивиране на доставчика на услуги, SIEMaaS вероятно ще осигури по-надеждна защита за архивиране в случай на отказ, тъй като достъпната облачна услуга има по-голям шанс да остане, докато изолиран център за данни се срине. От друга страна, ако прекъсването е причинено от доставчика на облачни услуги, клиентската компания може да завърши с много техническа анархия.
Някои експерти смятат, че излагането на SIEM в облака може да увеличи атакуващата повърхност на организацията, тъй като тяхната мрежова платформа става по-малко изолирана. Въпреки това Рахим Кармали, архитект на решения за сигурност за Hewlett Packard Enterprises, смята, че нищо не може да бъде по-далеч от истината. „Това е входните точки, за които трябва да се притеснявате - вашият мобилен телефон, таблет, лаптоп и т.н. Много често тези устройства плават в мрежи, които може да не са защитени.“
Плюсове (SIEM като цяло)
Облачните перспективи настрана, очевидно е, че една организация е по-добре със SIEM, отколкото без такава. Много стандартни изисквания за отчитане на съответствието, като тези от Закона за здравната и застрахователната преносимост и отчетността (HIPAA), стандарта за защита на данните за индустрията на платежните карти (PCI DSS) и закона на Sarbanes-Oxley (SOX), се изпълняват чрез централизирана колекция от дневници.
Работата с инциденти става много по-ефективна, тъй като никой не преминава ръчно през регистрационни файлове, за да намери маршрута на нападателя през мрежата или всички хостове и сървъри във вектора на атаката; вместо това, системата SIEM идентифицира и съпоставя тези събития от птичи поглед и след това реконструира последователността от събития, за да определи естеството на атаката.
„Той служи като средство за алармиране с възможност за точно идентифициране на съмнителни събития чрез съпоставяне на информацията в дневника от приложения, бази данни, операционни системи, мрежи и устройства за сигурност“, казва Ahluwalia.
Сериозните атаки вече не са изолирани и събитията могат да се разпространяват в множество системи, за да се избегне откриването. Без SIEM на място, злонамерените събития могат да се разпространят като див пожар.
Някои продукти на SIEM също имат възможност да спрат атаките чрез сигнали за други мерки за сигурност, като защитни стени и системи за предотвратяване на проникване. „Компаниите вече не могат да предприемат реактивен подход към неща като злонамерен софтуер и софтуер за извличане,“ казва Кармали. „Те се нуждаят от система, която осигурява разумна информация.“ (За повече информация за сигурността вижте Шифроване Just Isnt Enough: 3 Critical Truths About Data Data.)
Минуси (SIEM като цяло)
SIEM автоматизира много дейности, за които една компания би прекарала часове ръчен труд, но също така изисква нов набор от умения, за да поддържа ефективността си. Компанията-клиент ще изисква активно участие от всички отдели, за да гарантира, че коректните регистрационни файлове се изпращат на агента, тъй като двигателите за корелация работят по-ефективно, когато не пресяват неподходящи данни или неверни позитиви. Колкото по-голяма е организацията, толкова по-голяма е тенденцията нейните дневници да затрупват системата SIEM.
Освен това, въпреки че технологията SIEM постигна огромен напредък от създаването си през 1996 г., тя не е самостоятелна система. Тя изисква комбинация от „хора, процес и технологии“, казва Кармали.
Оптималната ефективност обикновено се постига, когато SIEM системите се обединят със защитни стени, системи за откриване / предотвратяване на проникване, приложения за защита от злонамерен софтуер и други контроли.
заключение
Повечето организации за целия бизнес са по-сигурни с функционираща и ефективна система SIEM; въпреки това изборът коя система SIEM е най-подходящ може да се окаже предизвикателство. По-малките компании, например, се справят по-добре с облачно решение, което може да бъде по-мащабируемо и по-бързо за изпълнение. За по-големите компании би било полезно да инвестират в това, което може да бъде по-скъпо, хибридно решение, в което облакът и помещението осигуряват собствена икономия от мащаба.
Така или иначе, за организации от всякакъв размер начинът за постигане на оптимална ефективност и висока възвръщаемост на инвестициите е чрез специализиран персонал, който да извършва текущ мониторинг и поддръжка на системата.
Много компании прилагат SIEM поради съображения за съответствие и ако нямат достатъчно ресурси за управление, поддържане и фина настройка на системата, биха могли да се окажат с много скъп, неефективен колектор на журнали в ръцете си.