suojaustiedot ja tapahtumien hallinta (SIEM)

syyskuu 16, 2020
No Comments

Suojaustiedot ja tapahtumien hallinta (SIEM) on lähestymistapa turvallisuuden hallintaan, joka yhdistää SIM (suojaustietojen hallinta) ja SEM (suojaustapahtumien hallinta) toiminnot yhdeksi turvallisuuden hallintajärjestelmä. Lyhenne SIEM lausutaan ”sim” äänettömällä e: llä.

Jokaisen SIEM-järjestelmän perusperiaatteena on koota asiaankuuluvat tiedot useista lähteistä, tunnistaa poikkeamat normista ja ryhtyä asianmukaisiin toimiin. Esimerkiksi, kun potentiaalinen ongelma havaitaan, SIEM-järjestelmä voi kirjata lisätietoja, luoda hälytyksen ja ohjeistaa muita turvaohjauksia lopettamaan toiminnan etenemisen.

Perustasolla SIEM-järjestelmä voi olla sääntöihin perustuva tai käyttää tilastollista korrelaatiomoottoria suhteiden luomiseksi tapahtumalokimerkintöjen välille. Edistyneet SIEM-järjestelmät ovat kehittyneet sisällyttämään käyttäjien ja entiteettien käyttäytymisanalytiikat (UEBA) sekä tietoturva-orkestroinnit, automaatiot ja vastaukset (SOAR).

Maksukorttiteollisuuden tietoturvastandardin (PCI DSS) noudattaminen sai alun perin aikaan SIEM: n käyttöönoton suurissa yrityksissä, mutta edistyneiden pysyvien uhkien (APT) huoli on saanut pienemmät organisaatiot tarkastelemaan etuja, joita SIEM: n hallinnoimat tietoturvapalvelujen tarjoajat (MSSP) voivat tarjota. Mahdollisuus tarkastella kaikkia turvallisuuteen liittyviä tietoja yhdestä näkökulmasta helpottaa kaikenkokoisten organisaatioiden havaitsemaan epätavallisia malleja.

SIEM-järjestelmät toimivat ottamalla käyttöön useita Kerää agentit hierarkkisella tavalla keräämään turvallisuuteen liittyviä tapahtumia loppukäyttäjien laitteilta, palvelimilta ja verkkolaitteista sekä erikoistuneista turvavarusteista, kuten palomuureista, virustorjunnasta tai tunkeutumisen estojärjestelmistä (IPS). Keräilijät välittävät tapahtumat keskitettyyn hallintakonsoliin, jossa tietoturva-analyytikot sekoittavat melun, yhdistävät pisteet ja asettavat etusijalle tietoturvatapahtumat.

Joissakin järjestelmissä esikäsittely voi tapahtua reunankerääjillä. , vain tietyt tapahtumat siirretään keskitettyyn hallintasolmuun. Tällä tavoin välitettävän ja tallennettavan tiedon määrää voidaan vähentää. Vaikka koneoppimisen edistysaskeleet auttavat järjestelmiä ilmoittamaan poikkeamat tarkemmin, analyytikoiden on silti annettava palautetta ja valistettava järjestelmää jatkuvasti ympäristöstä.

Tässä on joitain tärkeimpiä tarkistettavia ominaisuuksia arvioitaessa SIEM-tuotteita:

  • Integrointi muihin hallintalaitteisiin. Voiko järjestelmä antaa komentoja muille yrityksen suojausvalvonnoille käynnissä olevien hyökkäysten estämiseksi tai lopettamiseksi?
  • Tekoäly (AI). Voiko järjestelmä parantaa omaa tarkkuutta koneoppimisen ja syvällisen oppimisen avulla?
  • Uhkien älykkyys syötetään. Voiko järjestelmä tukea organisaation valitsemia uhkatiedon syötteitä vai onko se valtuutettu käyttämään tiettyä syötettä?
  • Laaja raportointi vaatimustenmukaisuudesta. Sisältääkö järjestelmä sisäänrakennettuja raportteja yleisiin vaatimustenmukaisuuden tarpeisiin ja tarjoaako se organisaatio, jolla on kyky mukauttaa tai luoda uusia vaatimustenmukaisuusraportteja?
  • Rikostekniset ominaisuudet. Voiko järjestelmä kaapata lisätietoja tietoturvatapahtumista tallentamalla kiinnostavien pakettien otsikot ja sisällön?

Kuinka SIEM toimii?

SIEM-työkalut toimivat keräämällä isäntäjärjestelmien, sovellusten ja turvalaitteiden, kuten virustentorjuntasuodattimien ja palomuurien, luomia tapahtuma- ja lokitietoja koko yrityksen infrastruktuuriin ja tuomalla ne tietoja yhdessä keskitetyllä alustalla. SIEM-työkalut tunnistavat ja lajittelevat tiedot sellaisiin luokkiin, kuten onnistuneet ja epäonnistuneet kirjautumiset, haittaohjelmat ja muut todennäköisesti haitalliset toiminnot.

SIEM-ohjelmisto luo sitten tietoturvahälytykset tunnistaessaan mahdolliset tietoturvaongelmat. Käyttämällä ennalta määritettyjä sääntöjä organisaatiot voivat asettaa nämä ilmoitukset mataliksi tai tärkeiksi.

Esimerkiksi käyttäjätili, joka tuottaa 25 epäonnistunutta kirjautumisyritystä 25 minuutissa, voidaan merkitä epäilyttäväksi, mutta silti se voidaan asettaa matalampi prioriteetti, koska sisäänkirjautumisyritykset todennäköisesti teki käyttäjä, joka oli todennäköisesti unohtanut kirjautumistietonsa.

Kuitenkin käyttäjätili, joka tuottaa 130 epäonnistunutta kirjautumisyritystä viidessä minuutissa, merkitään tärkeäksi tapahtuma, koska se on todennäköisesti raa’an voiman hyökkäys käynnissä.

Miksi SIEM on tärkeä?

SIEM on tärkeä, koska se helpottaa yritysten turvallisuuden hallintaa suodattamalla massiivisia määrä tietoturvatietoja ja priorisoi ohjelmiston luomat tietoturvavaroitukset.

SIEM-ohjelmisto antaa organisaatioille mahdollisuuden havaita tapahtumia, joita muuten ei voida havaita. Ohjelmisto analysoi lokimerkinnät tunnistaakseen haitallisen toiminnan merkit.Lisäksi, koska järjestelmä kerää tapahtumia verkosta eri lähteistä, se voi luoda hyökkäyksen aikajanan, jolloin yritys voi määrittää hyökkäyksen luonteen ja sen vaikutuksen liiketoimintaan.

SIEM Järjestelmä voi myös auttaa organisaatiota täyttämään vaatimustenmukaisuusvaatimukset luomalla automaattisesti raportit, jotka sisältävät kaikki kirjatut tietoturvatapahtumat näiden lähteiden joukossa. Ilman SIEM-ohjelmistoa yrityksen olisi kerättävä lokitiedot ja koottava raportit manuaalisesti.

SIEM-järjestelmä parantaa myös tapahtumien hallintaa antamalla yrityksen turvallisuusryhmän paljastaa reitin, jonka hyökkäys kulkee verkon yli. , tunnista vaarantuneet lähteet ja tarjoa automaattiset työkalut käynnissä olevien hyökkäysten estämiseksi.

SIEMin edut

Jotkut SIEM: n edut sisältävät seuraavat:

  • lyhentää uhkien tunnistamiseen kuluvaa aikaa merkittävästi minimoiden uhkien aiheuttamat vahingot;
  • tarjoaa kokonaisvaltaisen kuvan organisaation tietoturvaympäristöstä, mikä helpottaa tietojen keräämistä ja analysointia tietoturvatiedot järjestelmien turvallisuuden takaamiseksi – kaikki organisaation tiedot menevät keskitettyyn tietovarastoon, jossa ne on tallennettu ja helposti käytettävissä;
  • yritykset voivat käyttää niitä erilaisissa tietojen käyttötapauksissa tai lokit, mukaan lukien turvallisuusohjelmat, auditointi ja vaatimustenmukaisuuden raportointi, hän lp-työpöydän ja verkon vianetsintä;
  • tukee suuria määriä tietoja, jotta organisaatiot voivat jatkaa tietojensa laajentamista ja lisäämistä;
  • tarjoaa uhkien havaitsemisen ja tietoturvahälytykset; ja
  • osaa suorittaa yksityiskohtaisen rikosteknisen analyysin suurten tietoturvaloukkausten varalta.

SIEM: n rajoitukset

Eduistaan huolimatta on olemassa joitain SIEM-rajoitukset, mukaan lukien seuraavat:

  • Se kestää yleensä kauan, koska se vaatii tukea, jotta voidaan varmistaa onnistunut integrointi organisaation turvaohjauksiin ja sen infrastruktuurin moniin isäntiin. SIEM: n asentaminen kestää yleensä 90 päivää tai kauemmin, ennen kuin se alkaa toimia.
  • Se on kallista. Alkuinvestointi SIEMiin voi olla satoja tuhansia dollareita. Ja siihen liittyvät kustannukset voivat myös kasvaa, mukaan lukien henkilöstökustannukset SIEM-toteutuksen hallinnasta ja seurannasta, vuotuinen tuki sekä ohjelmistot tai agentit tietojen keräämiseksi.
  • Raporttien analysointi, konfigurointi ja integrointi vaatii asiantuntijat. Siksi joitain SIEM-järjestelmiä hallitaan suoraan turvallisuusoperaatiokeskuksessa (SOC), keskitetyssä yksikössä, jonka palveluksessa on tietoturvaryhmä, joka käsittelee organisaation turvallisuuskysymyksiä.
  • SIEM-työkalut riippuvat yleensä säännöt kaikkien tallennettujen tietojen analysoimiseksi. Ongelmana on, että yrityksen verkko tuottaa suuren määrän ilmoituksia – yleensä 10 000 päivässä – jotka voivat olla positiivisia tai eivät. Siksi potentiaalisia hyökkäyksiä on vaikea tunnistaa merkityksettömien lokien määrän vuoksi.
  • Väärin asetettu SIEM-työkalu saattaa jättää huomiotta tärkeät tietoturvatapahtumat, mikä vähentää tietoriskien hallintaa.

SIEM-työkalut ja ohjelmistot

Jotkut työkalut SIEM-avaruuteen sisältää seuraavat:

  • Splunk. Splunk on täysin paikallinen SIEM-järjestelmä. Splunk tukee tietoturvan valvontaa ja tarjoaa edistyneitä uhkien havaitsemisominaisuuksia.
  • IBM QRadar. QRadar voidaan ottaa käyttöön laitteistona, virtuaalisena laitteena tai ohjelmistona, yrityksen tarpeista ja kapasiteetista riippuen. QRadar on Cloud on IBM Cloudin toimittama pilvipalvelu, joka perustuu QRadar SIEM -tuotteeseen.
  • LogRhythm. LogRhythm, hyvä SIEM-järjestelmä pienemmille organisaatioille, yhdistää SIEM: n, lokinhallinnan, verkko- ja päätepisteiden seurannan ja rikostekniset palvelut sekä tietoturva-analyysit.
  • Exabeam. Exabeamin SIEM-tuote tarjoaa useita ominaisuuksia, kuten UEBA, datajärvi, edistynyt analytiikka ja uhkienmetsästäjä.
  • RSA. RSA NetWitness Platform on uhkien havaitsemis- ja reagointityökalu, joka sisältää tietojen hankinnan, edelleenlähetyksen, tallennuksen ja analyysin. RSA tarjoaa myös SOAR.

Oikean SIEM-tuotteen valitseminen

Oikean SIEM-työkalun valinta vaihtelee useiden tekijöiden, mukaan lukien organisaation budjetti ja turvallisuusasento.

Yritysten tulisi kuitenkin etsiä SIEM-työkaluja, jotka tarjoavat seuraavat ominaisuudet:

  • vaatimustenmukaisuuden raportointi;
  • tapahtumiin reagointi ja rikostekniset palvelut;
  • tietokannan ja palvelimen käyttöoikeuksien valvonta;
  • sisäisten ja ulkoisten uhkien havaitseminen;
  • reaaliaikainen uhkien seuranta, korrelaatio ja analyysi useissa sovelluksissa ja järjestelmissä;
  • tunkeutumisen havaitsemisjärjestelmä (IDS), IPS, palomuuri, tapahtumasovellusloki ja muut sovellus- ja järjestelmäintegraatiot;
  • uhkatiedustelut ja
  • käyttäjän toiminnan seuranta ( UAM).

SIEM-historia

SIEM-tekniikka, joka on ollut olemassa 2000-luvun puolivälistä lähtien, kehittyi alun perin lokinhallinnan kurinalaisuudesta, kollektiivisista prosesseista ja käytänteistä, joita käytettiin hallinnassa ja hallinnassa. helpottaa tietojärjestelmässä luotujen suurten lokitietomäärien tuottamista, siirtämistä, analysointia, varastointia, arkistointia ja lopullista hävittämistä.

Gartner Inc. -analyytikot loivat sanan SIEM vuoden 2005 Gartner-raportissa ”Paranna IT-tietoturva ja haavoittuvuuksien hallinta. ” Raportissa analyytikot ehdottivat uutta turvallisuustietojärjestelmää, joka perustuu SIM: ään ja SEM: ään.

Vanhojen lokikokoelmien hallintajärjestelmiin rakennettu SIM esitteli pitkäaikaisen tallennuksen analyysin ja lokitietojen raportoinnin. SIM integroi myös lokit uhkatiedustelulla. SEM käsitteli tietoturvaan liittyvien tapahtumien tunnistamista, keräämistä, seurantaa ja raportointia ohjelmistoissa, järjestelmissä tai IT-infrastruktuurissa.

Sitten toimittajat loivat SIEM: n yhdistämällä SEM: n, joka analysoi loki- ja tapahtumadataa reaaliajassa ja tarjoaa uhkien seurannan , tapahtumakorrelaatio ja tapahtumavaste SIM: n kanssa, joka kerää, analysoi ja raportoi lokitiedot.

SIEM: n tulevaisuus

SIEM: n tulevaisuuden trendit sisältävät seuraavat:

  • Parempi orkesterointi. Tällä hetkellä SIEM tarjoaa yrityksille vain perustason työnkulun automaation. Organisaatioiden kasvaessa SIEM: n on kuitenkin tarjottava lisäominaisuuksia. Esimerkiksi tekoälyn ja koneoppimisen lisääntyneen kaupallistamisen vuoksi SIEM-työkalujen on tarjottava nopeampi orkestrointi, jotta yrityksen eri osastoilla olisi sama suojaustaso. Lisäksi suojausprotokollat ja niiden suorittaminen ovat nopeampia, tehokkaampia ja tehokkaampia.
  • Parempi yhteistyö hallittujen havaitsemis- ja vastetyökalujen (MDR) kanssa. Hakkeroinnin ja luvattoman käytön uhkien lisääntyessä on tärkeää, että organisaatiot toteuttavat kaksitasoisen lähestymistavan tietoturvauhkien havaitsemiseksi ja analysoimiseksi. Yrityksen IT-tiimi voi toteuttaa SIEM: n sisäisesti, kun taas hallittu palveluntarjoaja (MSP) ) voi toteuttaa MDR-työkalun.
  • Parannettu pilvien hallinta ja seuranta. SIEM-toimittajat parantavat työkalujensa pilvihallinta- ja valvontamahdollisuuksia vastaamaan paremmin pilvea käyttävien organisaatioiden turvallisuustarpeita.
  • SIEM ja SOAR kehittyvät yhdeksi työkaluksi. Etsi perinteisiä SIEM-tuotteita hyödyntääkseen SOARin edut; SOAR-toimittajat vastaavat kuitenkin todennäköisesti laajentamalla tuotteidensa ominaisuuksia.

Articles
Previous Post

Ranskalaiset katu
Next Post

Parhaat Grand Canyonin näkymät
Vastaa