bezpečnostní informace a správa událostí (SIEM)
Bezpečnostní informace a správa událostí (SIEM) je přístup ke správě zabezpečení, který kombinuje funkce SIM (správa bezpečnostních informací) a SEM (správa bezpečnostních událostí) do jedné systém řízení bezpečnosti. Zkratka SIEM se vyslovuje „sim“ s tichým e.
Základním principem každého systému SIEM je agregovat relevantní data z více zdrojů, identifikovat odchylky od normy a přijmout vhodná opatření. Když je například zjištěn potenciální problém, systém SIEM může zaznamenat další informace, vygenerovat výstrahu a dát pokyn jiným bezpečnostním ovládacím prvkům k zastavení postupu aktivity.
Na nejzákladnější úrovni je systém SIEM mohou být založeny na pravidlech nebo použít statistický korelační modul k navázání vztahů mezi položkami protokolu událostí. Pokročilé systémy SIEM se vyvinuly tak, aby zahrnovaly analýzu chování uživatelů a entit (UEBA) a orchestraci zabezpečení, automatizaci a reakci (SOAR).
Dodržování standardu standardu PCI DSS (Payment Card Industry Data Security Standard) původně vedlo k přijetí SIEM ve velkých podnicích, ale obavy z pokročilých trvalých hrozeb (APT) vedly menší organizace k tomu, aby zkoumaly výhody, které mohou poskytovat poskytovatelé spravovaných bezpečnostních služeb (MSSP) SIEM. Možnost podívat se na všechna data související se zabezpečením z jednoho úhlu pohledu usnadňuje organizacím všech velikostí odhalit neobvyklé vzory.
Systémy SIEM fungují nasazením multi Agenti kolekce shromažďují hierarchickým způsobem shromažďování událostí souvisejících se zabezpečením ze zařízení koncových uživatelů, serverů a síťových zařízení a také ze speciálního bezpečnostního vybavení, jako jsou brány firewall, antivirové systémy nebo systémy prevence narušení (IPSes). Kolektory předávají události do centralizované konzoly pro správu, kde bezpečnostní analytici procházejí šumem, spojují tečky a upřednostňují bezpečnostní incidenty.
V některých systémech může dojít k předzpracování u okrajových kolektorů , přičemž do uzlu centralizované správy jsou předávány pouze určité události. Tímto způsobem lze snížit objem sdělovaných a uložených informací. Ačkoli pokroky ve strojovém učení pomáhají systémům přesněji označovat anomálie, analytici musí stále poskytovat zpětnou vazbu a soustavně vzdělávat systém o prostředí.
Zde jsou některé z nejdůležitějších funkcí, které je třeba při hodnocení produktů SIEM zkontrolovat:
- Integrace s dalšími ovládacími prvky. Může systém dávat příkazy jiným ovládacím prvkům podnikové bezpečnosti, aby zabránil nebo zastavil probíhající útoky?
- Umělá inteligence (AI). Může systém zlepšit svou vlastní přesnost pomocí strojového učení a hlubokého učení?
- Informační kanály o hrozbách. Může systém podporovat informační zpravodajství o hrozbách podle výběru organizace, nebo je povinen použít konkrétní informační kanál?
- Rozsáhlé hlášení dodržování předpisů. Zahrnuje systém integrované zprávy pro běžné potřeby dodržování předpisů a poskytuje organizace se schopností přizpůsobit nebo vytvořit nové zprávy o shodě?
- Forenzní funkce. Může systém zachytit další informace o událostech zabezpečení zaznamenáním záhlaví a obsahu požadovaných paketů?
Jak funguje SIEM?
Nástroje SIEM fungují tak, že shromažďují data událostí a protokolů vytvořená hostitelskými systémy, aplikacemi a bezpečnostními zařízeními, jako jsou antivirové filtry a brány firewall, v infrastruktuře společnosti a přinášejí to data společně na centralizované platformě. Nástroje SIEM identifikují a třídí data do takových kategorií, jako jsou úspěšná a neúspěšná přihlášení, aktivita malwaru a další pravděpodobné škodlivé aktivity.
Software SIEM poté generuje bezpečnostní upozornění, když identifikuje potenciální bezpečnostní problémy. Pomocí sady předdefinovaných pravidel mohou organizace nastavit tato upozornění na nízkou nebo vysokou prioritu.
Například uživatelský účet, který vygeneruje 25 neúspěšných pokusů o přihlášení za 25 minut, může být označen jako podezřelý, ale stále může být nastaven na nižší priorita, protože pokusy o přihlášení pravděpodobně provedl uživatel, který pravděpodobně zapomněl své přihlašovací údaje.
Uživatelský účet, který vygeneruje 130 neúspěšných pokusů o přihlášení za pět minut, by však byl označen jako vysoce prioritní událost, protože se s největší pravděpodobností jedná o útok hrubou silou.
Proč je SIEM důležitý?
SIEM je důležitý, protože podnikům usnadňuje správu zabezpečení filtrováním masivního obsahu množství bezpečnostních dat a upřednostnění výstrah zabezpečení, které software generuje.
Software SIEM umožňuje organizacím detekovat incidenty, které by jinak mohly zůstat nezjištěné. Software analyzuje položky protokolu a identifikuje známky škodlivé aktivity.Kromě toho, protože systém shromažďuje události z různých zdrojů v celé síti, může znovu vytvořit časovou osu útoku, což společnosti umožní určit povahu útoku a jeho dopad na podnikání.
A SIEM Systém může také pomoci organizaci splnit požadavky na dodržování předpisů automatickým generováním zpráv, které obsahují všechny zaznamenané události zabezpečení mezi těmito zdroji. Bez softwaru SIEM by společnost musela shromažďovat data protokolů a ručně sestavovat zprávy.
Systém SIEM také vylepšuje správu incidentů tím, že umožňuje bezpečnostnímu týmu společnosti odhalit cestu, kterou útok vede napříč sítí , identifikujte zdroje, které byly napadeny, a poskytněte automatizované nástroje, které zabrání probíhajícím útokům.
Výhody SIEM
Mezi výhody SIEM patří:
- zkracuje čas potřebný k významné identifikaci hrozeb a minimalizuje škody způsobené těmito hrozbami;
- nabízí ucelený pohled na prostředí informační bezpečnosti organizace, což usnadňuje shromažďování a analýzu bezpečnostní informace pro zajištění bezpečnosti systémů – všechna data organizace putují do centralizovaného úložiště, kde jsou uložena a snadno přístupná;
- mohou je společnosti využívat pro různé případy použití, které se točí kolem dat nebo protokoly, včetně bezpečnostních programů, auditů a zpráv o shodě, on Řešení potíží se sítí a sítí lp;
- podporuje velké množství dat, takže organizace mohou i nadále rozšiřovat a zvyšovat svá data;
- poskytuje detekci hrozeb a bezpečnostní upozornění; a
- mohou provádět podrobnou forenzní analýzu v případě závažného narušení bezpečnosti.
Omezení systému SIEM
Navzdory jeho výhodám stále existují určité omezení SIEM, včetně následujících:
- Implementace obvykle trvá dlouho, protože vyžaduje podporu k zajištění úspěšné integrace s bezpečnostními kontrolami organizace a mnoha hostiteli v její infrastruktuře. Instalace SIEM obvykle trvá 90 dní nebo déle, než začne fungovat.
- Je to drahé. Počáteční investice do SIEM může být v řádu stovek tisíc dolarů. A související náklady se také mohou sčítat, včetně nákladů na personál za správu a monitorování implementace SIEM, roční podporu a software nebo agenty ke sběru dat.
- Analýza, konfigurace a integrace sestav vyžaduje talent Odborníci. Proto jsou některé systémy SIEM spravovány přímo v bezpečnostním operačním středisku (SOC), což je centralizovaná jednotka, kterou zaměstnává tým bezpečnosti informací a který se zabývá bezpečnostními problémy organizace.
- Nástroje SIEM obvykle závisí na pravidla pro analýzu všech zaznamenaných dat. Problém je v tom, že síť společnosti generuje velké množství výstrah – obvykle 10 000 denně -, které mohou nebo nemusí být pozitivní. V důsledku toho je obtížné identifikovat potenciální útoky z důvodu počtu irelevantních protokolů.
- Chybně nakonfigurovaný nástroj SIEM může chybět důležité bezpečnostní události, což zefektivňuje správu informačních rizik.
Nástroje a software SIEM
Některé z těchto nástrojů v prostoru SIEM zahrnují následující:
- Splunk. Splunk je úplný místní systém SIEM. Splunk podporuje monitorování zabezpečení a nabízí pokročilé funkce detekce hrozeb.
- IBM QRadar. QRadar lze nasadit jako hardwarové zařízení, virtuální zařízení nebo softwarové zařízení, v závislosti na potřebách a kapacitě společnosti. QRadar on Cloud je cloudová služba dodávaná z IBM Cloud na základě produktu QRadar SIEM.
- LogRhythm. LogRhythm, dobrý systém SIEM pro menší organizace, sjednocuje SIEM, správu protokolů, monitorování sítí a koncových bodů a forenzní analýzu a analýzu zabezpečení.
- Exabeam. Produkt SIEM společnosti Exabeam nabízí několik funkcí, včetně UEBA, datové jezero, pokročilá analytika a lovec hrozeb.
- RSA. RSA NetWitness Platform je nástroj pro detekci a reakci na hrozby, který zahrnuje sběr, předávání, ukládání a analýzu dat. RSA také nabízí SOAR.
Jak vybrat správný produkt SIEM
Výběr správného nástroje SIEM se liší v závislosti na řadě faktorů, včetně rozpočtu organizace a bezpečnostní pozice.
Společnosti by však měly hledat nástroje SIEM, které nabízejí následující funkce:
- hlášení shody;
- reakce na incidenty a forenzní analýza;
- monitorování přístupu k databázi a serveru;
- detekce interních a externích hrozeb;
- monitorování, korelace a analýza hrozeb v reálném čase napříč různými aplikacemi a systémy;
- systém detekce narušení (IDS), IPS, brána firewall, protokol aplikací událostí a další integrace aplikací a systémů;
- informace o hrozbách;
- monitorování aktivity uživatelů ( UAM).
Historie SIEM
Technologie SIEM, která existuje od poloviny 20. století, se původně vyvinula z disciplíny správy logů, kolektivních procesů a zásad používaných ke správě a usnadnit generování, přenos, analýzu, ukládání, archivaci a konečnou likvidaci velkého množství dat protokolu vytvořených v informačním systému.
Analytici společnosti Gartner Inc. vytvořili ve zprávě Gartner z roku 2005 termín SIEM, „Improve Zabezpečení IT se správou zranitelnosti. “ Ve zprávě analytici navrhli nový bezpečnostní informační systém založený na SIM a SEM.
SIM, postavený na starších systémech pro správu sběru protokolů, představil dlouhodobou analýzu úložiště a hlášení o protokolových datech. SIM také integrovala protokoly s inteligencí hrozeb. SEM se zaměřil na identifikaci, shromažďování, monitorování a hlášení událostí souvisejících se zabezpečením v softwaru, systémech nebo IT infrastruktuře.
Poté dodavatelé vytvořili SIEM kombinací SEM, který analyzuje data protokolu a událostí v reálném čase a poskytuje monitorování hrozeb , korelace událostí a reakce na incidenty se SIM, která shromažďuje, analyzuje a hlásí data protokolu.
Budoucnost SIEM
Budoucí trendy SIEM zahrnují následující:
- Vylepšená orchestrace. SIEM v současné době poskytuje společnostem pouze základní automatizaci pracovního postupu. Jak však organizace nadále rostou, SIEM bude muset nabídnout další funkce. Například kvůli zvýšené komercializaci AI a strojového učení budou nástroje SIEM muset nabídnout rychlejší orchestraci, aby poskytly různým oddělením v rámci společnosti stejnou úroveň ochrany. Kromě toho budou bezpečnostní protokoly a provádění těchto protokolů rychlejší a také efektivnější a efektivnější.
- Lepší spolupráce s nástroji MDR (Managed Detection and Response). Vzhledem k tomu, že hrozby hackerství a neoprávněného přístupu stále rostou, je důležité, aby organizace implementovaly dvoustupňový přístup k detekci a analýze bezpečnostních hrozeb. IT tým společnosti může implementovat SIEM interně, zatímco poskytovatel spravovaných služeb (MSP ) může implementovat nástroj MDR.
- Vylepšená správa a monitorování cloudu. Dodavatelé SIEM zlepší možnosti cloudové správy a monitorování svých nástrojů, aby lépe vyhověli bezpečnostním potřebám organizací, které používají cloud.
- SIEM a SOAR se vyvinou do jednoho nástroje. Hledejte tradiční produkty SIEM, abyste využili výhod SOAR; prodejci SOAR však pravděpodobně zareagují rozšířením schopností svých produktů.