Gestionarea informațiilor și evenimentelor de securitate (SIEM) este o abordare a gestionării securității care combină funcțiile SIM (gestionarea informațiilor de securitate) și SEM (gestionarea evenimentelor de securitate) într-o singură sistem de management al securității. Acronimul SIEM se pronunță „sim” cu un e silențios.

Principiile care stau la baza fiecărui sistem SIEM este să agregăm date relevante din mai multe surse, să identificăm abateri de la normă și să luăm măsurile corespunzătoare. De exemplu, atunci când este detectată o problemă potențială, un sistem SIEM ar putea să înregistreze informații suplimentare, să genereze o alertă și să instruiască alte controale de securitate pentru a opri progresul unei activități.

La cel mai de bază nivel, un sistem SIEM poate fi bazat pe reguli sau poate utiliza un motor de corelație statistică pentru a stabili relații între intrările jurnalului de evenimente. Sistemele SIEM avansate au evoluat pentru a include analiza comportamentului utilizatorilor și entităților (UEBA) și orchestrarea, automatizarea și răspunsul de securitate (SOAR).

Conformitatea Standardului de securitate a datelor cu carduri de plată (PCI DSS) a determinat inițial adoptarea SIEM în întreprinderile mari, dar preocupările legate de amenințările persistente avansate (APT) au determinat organizațiile mai mici să analizeze beneficiile pe care le pot oferi furnizorii de servicii de securitate gestionate de SIEM (MSSP). Abilitatea de a privi toate datele legate de securitate dintr-un singur punct de vedere face mai ușor pentru organizațiile de toate dimensiunile să identifice modele care sunt ieșite din comun.

Sistemele SIEM funcționează prin implementarea mai multor Agenții de colectare în mod ierarhic pentru a aduna evenimente legate de securitate de pe dispozitivele utilizatorului final, servere și echipamente de rețea, precum și echipamente de securitate specializate, precum firewall-uri, sisteme antivirus sau de prevenire a intruziunilor (IPS). Colectorii redirecționează evenimentele către o consolă de gestionare centralizată, unde analiștii de securitate trec prin zgomot, conectând punctele și prioritizând incidentele de securitate.

În unele sisteme, preprocesarea se poate întâmpla la colectoarele de margine. , cu doar anumite evenimente fiind transmise către un nod de management centralizat. În acest fel, volumul de informații comunicate și stocate poate fi redus. Deși progresele în învățarea automată ajută sistemele să semnaleze anomaliile cu mai multă precizie, analiștii trebuie să ofere în continuare feedback, educând continuu sistemul despre mediu.

Iată câteva dintre cele mai importante caracteristici de revizuit atunci când se evaluează produsele SIEM:

• Integrarea cu alte controale. Poate sistemul să dea comenzi altor controale de securitate ale întreprinderii pentru a preveni sau opri atacurile în curs?
• Inteligență artificială (AI). Poate sistemul să-și îmbunătățească propria acuratețe prin învățare automată și învățare profundă?
• Fluxuri de inteligență de amenințare. Sistemul poate sprijini fluxurile de informații privind amenințările la alegerea organizației sau este mandatat să utilizeze un anumit feed?
• Raportare extinsă a conformității. Sistemul include rapoarte încorporate pentru nevoile comune de conformitate și oferă organizație cu capacitatea de a personaliza sau de a crea noi rapoarte de conformitate?
• Capabilități de criminalistică. Poate sistemul să capteze informații suplimentare despre evenimentele de securitate înregistrând anteturile și conținutul pachetelor de interes?

Cum funcționează SIEM?

Instrumentele SIEM funcționează prin colectarea datelor despre evenimente și jurnale create de sistemele gazdă, aplicații și dispozitive de securitate, precum filtre antivirus și firewall-uri, în întreaga infrastructură a companiei și aducând acel date împreună pe o platformă centralizată. Instrumentele SIEM identifică și sortează datele în astfel de categorii precum conectări reușite și nereușite, activități malware și alte activități malware dăunătoare.

Software-ul SIEM generează alerte de securitate atunci când identifică potențiale probleme de securitate. Folosind un set de reguli predefinite, organizațiile pot seta aceste alerte ca prioritate scăzută sau înaltă.

De exemplu, un cont de utilizator care generează 25 de încercări de conectare nereușite în 25 de minute ar putea fi semnalat ca suspect, dar totuși setat la o prioritate mai mică, deoarece încercările de conectare au fost făcute probabil de către utilizatorul care probabil și-a uitat informațiile de conectare.

Cu toate acestea, un cont de utilizator care generează 130 de încercări de conectare nereușite în cinci minute ar fi marcat ca fiind o prioritate ridicată eveniment deoarece este cel mai probabil un atac cu forță brută în curs.

De ce este important SIEM?

SIEM este important, deoarece facilitează gestionarea securității întreprinderilor prin filtrarea masivă cantități de date de securitate și prioritizarea alertelor de securitate pe care le generează software-ul.

Software-ul SIEM permite organizațiilor să detecteze incidente care altfel pot rămâne nedetectate. Software-ul analizează intrările de jurnal pentru a identifica semne de activitate dăunătoare.În plus, deoarece sistemul adună evenimente din diferite surse din rețea, poate recrea cronologia unui atac, permițând unei companii să determine natura atacului și impactul acestuia asupra afacerii.

A SIEM sistemul poate ajuta, de asemenea, o organizație să îndeplinească cerințele de conformitate, generând automat rapoarte care includ toate evenimentele de securitate înregistrate printre aceste surse. Fără software-ul SIEM, compania ar trebui să adune date de jurnal și să compileze rapoartele manual.

Un sistem SIEM îmbunătățește, de asemenea, gestionarea incidentelor, permițând echipei de securitate a companiei să descopere ruta pe care o face un atac în rețea. , identificați sursele care au fost compromise și oferiți instrumentele automate pentru a preveni atacurile în curs.

Beneficiile SIEM

Unele dintre beneficiile SIEM includ următoarele:

• scurtează timpul necesar identificării amenințărilor în mod semnificativ, minimizând daunele cauzate de aceste amenințări;
• oferă o imagine holistică a mediului de securitate a informațiilor unei organizații, facilitând colectarea și analiza informații de securitate pentru a menține sistemele în siguranță – toate datele unei organizații intră într-un depozit centralizat unde sunt stocate și ușor accesibile;
• pot fi utilizate de companii pentru o varietate de cazuri de utilizare care se învârt în jurul datelor sau jurnale, inclusiv programe de securitate, audit și raportare a conformității, el lp birou și depanarea rețelei;
• acceptă cantități mari de date, astfel încât organizațiile să poată continua să extindă și să își mărească datele;
• oferă detectarea amenințărilor și alerte de securitate; și
• poate efectua analize criminalistice detaliate în cazul unor încălcări majore ale securității.

Limitările SIEM

În ciuda beneficiilor sale, există încă unele limitările SIEM, inclusiv următoarele:

• De obicei, implementarea durează mult, deoarece necesită asistență pentru a asigura integrarea cu succes a controalelor de securitate ale unei organizații și a numeroaselor gazde din infrastructura sa. Instalarea SIEM durează de obicei 90 de zile sau mai mult înainte de a începe să funcționeze.
• Este scump. Investiția inițială în SIEM poate fi de sute de mii de dolari. Și costurile asociate se pot adăuga, inclusiv costurile personalului pentru gestionarea și monitorizarea unei implementări SIEM, asistență anuală și software sau agenți pentru colectarea datelor.
• Analiza, configurarea și integrarea rapoartelor necesită talentul de experți. De aceea, unele sisteme SIEM sunt gestionate direct în cadrul unui centru de operațiuni de securitate (SOC), o unitate centralizată echipată de o echipă de securitate a informației care se ocupă de problemele de securitate ale unei organizații.
• Instrumentele SIEM depind de obicei de reguli pentru a analiza toate datele înregistrate. Problema este că rețeaua unei companii generează un număr mare de alerte – de obicei, 10.000 pe zi – care pot fi sau nu pozitive. În consecință, este dificil de identificat atacurile potențiale din cauza numărului de jurnale irelevante.
• Un instrument SIEM configurat greșit poate pierde evenimente importante de securitate, ceea ce face ca gestionarea riscului informațional să fie mai puțin eficientă.

Instrumentele și software-ul SIEM

Unele dintre instrumente în spațiul SIEM includeți următoarele:

• Splunk. Splunk este un sistem SIEM local complet. Splunk acceptă monitorizarea securității și oferă capabilități avansate de detectare a amenințărilor.
• IBM QRadar. QRadar poate fi implementat ca un dispozitiv hardware, un dispozitiv virtual sau un dispozitiv software, în funcție de nevoile și capacitatea unei companii. QRadar pe Cloud este un serviciu cloud livrat de la IBM Cloud pe baza produsului QRadar SIEM.
• LogRhythm. LogRhythm, un sistem SIEM bun pentru organizațiile mai mici, unifică SIEM, gestionarea jurnalelor, monitorizarea rețelei și a punctelor finale și criminalistică și analize de securitate.
• Exabeam. Produsul SIEM al Exabeam oferă mai multe funcții, inclusiv UEBA, un lac de date, analize avansate și un vânător de amenințări.
• RSA. Platforma RSA NetWitness este un instrument de detectare și răspuns al amenințărilor care include achiziționarea, redirecționarea, stocarea și analiza datelor. RSA oferă și SOAR.

Cum să alegeți produsul SIEM potrivit

Selectarea instrumentului SIEM potrivit variază în funcție de o serie de factori, inclusiv bugetul unei organizații și postura de securitate.

Cu toate acestea, companiile ar trebui să caute instrumente SIEM care să ofere următoarele capabilități:

• raportarea conformității;
• răspuns la incidente și criminalistică;
• monitorizarea accesului la baze de date și server;
• detectarea amenințărilor interne și externe;
• monitorizarea, corelarea și analiza amenințărilor în timp real într-o varietate de aplicații și sisteme;
• sistem de detectare a intruziunilor (IDS), IPS, firewall, jurnal de aplicații de evenimente și alte integrări de aplicații și sisteme;
• inteligența amenințărilor; și
• monitorizarea activității utilizatorului ( UAM).

Istoria SIEM

Tehnologia SIEM, care există de la mijlocul anilor 2000, a evoluat inițial din disciplina de gestionare a jurnalelor, a proceselor și politicilor colective utilizate pentru administrarea și facilitează generarea, transmiterea, analiza, stocarea, arhivarea și eliminarea finală a volumelor mari de date jurnal create în cadrul unui sistem informațional.

Analiștii Gartner Inc. au inventat termenul SIEM în raportul Gartner din 2005, „Îmbunătățește Securitate IT cu managementul vulnerabilității. ” În raport, analiștii au propus un nou sistem de informații de securitate bazat pe SIM și SEM.

Construit pe sisteme vechi de gestionare a colectării jurnalelor, SIM a introdus analiza stocării pe termen lung și raportarea datelor de jurnal. SIM a integrat, de asemenea, jurnale cu informații de amenințare. SEM a abordat identificarea, colectarea, monitorizarea și raportarea evenimentelor legate de securitate în software, sisteme sau infrastructură IT.

Apoi, furnizorii au creat SIEM prin combinarea SEM, care analizează datele jurnalului și evenimentelor în timp real, oferind monitorizarea amenințărilor , corelarea evenimentelor și răspunsul la incidente, cu SIM, care colectează, analizează și raportează datele jurnalului.

Viitorul SIEM

Tendințele viitoare ale SIEM includ următoarele:

• Orchestrare îmbunătățită. În prezent, SIEM oferă companiilor doar automatizarea de bază a fluxului de lucru. Cu toate acestea, pe măsură ce organizațiile continuă să crească, SIEM va trebui să ofere capacități suplimentare. De exemplu, din cauza comercializării sporite a AI și a învățării automate, instrumentele SIEM vor trebui să ofere o orchestrare mai rapidă pentru a oferi diferitelor departamente din cadrul unei companii același nivel de protecție. În plus, protocoalele de securitate și execuția acestor protocoale vor fi mai rapide, precum și mai eficiente și mai eficiente.
• O colaborare mai bună cu instrumentele de detectare și răspuns gestionate (MDR). Pe măsură ce amenințările de hacking și acces neautorizat continuă să crească, este important ca organizațiile să implementeze o abordare pe două niveluri pentru a detecta și analiza amenințările la adresa securității. Echipa IT a unei companii poate implementa SIEM intern, în timp ce un furnizor de servicii gestionate (MSP) ) poate implementa instrumentul MDR.
• Management și monitorizare cloud îmbunătățite. Furnizorii SIEM vor îmbunătăți capacitățile de gestionare și monitorizare a cloud-ului instrumentelor lor pentru a satisface mai bine nevoile de securitate ale organizațiilor care utilizează cloud-ul.
• SIEM și SOAR vor evolua într-un singur instrument. Căutați produse tradiționale SIEM pentru a beneficia de avantajele SOAR; cu toate acestea, furnizorii SOAR vor răspunde probabil extinzând capacitățile produselor lor.