Pamamahala ng Impormasyon sa Kaganapan ng Seguridad (SIEM): Sa Para sa Long Haul

Nilalaman

• Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
• Ang Pangalawang Half
• Mga Pananaw sa Cloud
• Mga kalamangan (SIEM sa Pangkalahatang)
• Cons (SIEM sa Pangkalahatang)
• Konklusyon

Pinagmulan: Cute Larawan / Dreamstime.com

Takeaway:

Ang impormasyon ng seguridad at pamamahala ng kaganapan ay umuusbong bilang isang napakalakas na tool sa seguridad ng system.

Para sa karamihan ng mga samahan sa buong negosyo, ang dumaraming bilang at pagdurog ng kalubhaan ng mga insidente ng paglabag sa data sa mga nakaraang taon ay humantong sa isang matalim na pagtaas sa kanilang mga gastos sa seguridad sa cyber.

Sa gitna ng pagpilit na mamuhunan sa pinaka sopistikadong teknolohiya sa lalong madaling panahon, lalo itong naging mahalaga upang maunawaan kung anong mga solusyon ang naroroon at kung maayos ba ang mga ito.

Ang isa sa pinakamabilis na lumalagong sektor ng mga produkto ng seguridad ay ang mga tool sa pag-uugali ng pag-uugali ng gumagamit, tulad ng sistema ng seguridad at sistema ng pamamahala ng kaganapan (SIEM), na nagtitipon ng data mula sa mga kaganapan at pagpapatunay na mga log upang magtatag ng isang saligan ng normal na aktibidad, at pagkatapos ay gumagamit ng baseng ito sa tiktikan ang nakakahamak na pag-uugali ng gumagamit at iba pang mga anomalya. (Upang malaman ang higit pa tungkol sa seguridad, tingnan ang Higit pa sa Pamamahala at Pagsunod: Bakit ang Panganib sa Seguridad sa IT ay Ano ang Mahalaga.)

Kung tumulong ang mga analogies, mag-isip ng isang monitor ng ICU kung saan ang patuloy na pagmamasid mula sa isang gitnang display ay makakatulong na makilala ang mga abnormalidad na, sa turn, ay nag-uudyok ng mga alerto at pagkatapos ay agad na sinimulan ang pag-remedyo. At katulad ng paglalagay ng elektrod sa balat ng isang pasyente upang lumikha ng isang daloy para sa output ng puso, ang mga ahente ay ginagamit bilang middleware upang makagawa ng isang koneksyon sa server at lumikha ng isang landas para sa paghahatid ng data sa isang Virtual Log Collector (VLC).

Para sa mga kumpanya na makakaya nito, ang balita ng teknolohiyang ito ay tulad ng isang diyos noong pabalik na '90s, kung saan ang tsunami ng mga troso ay sinalsal ng panghihimasok at mga sistema ng pag-iwas sa pag-iwas ay lumikha ng isang napakalaking vacuum para sa mga sistema ng pamamahala ng log. Ngayon, gayunpaman, ang mga tool ng SIEM ay nagmula sa mga sistema ng log-centric na pangunahing inilaan para sa pamamahala ng log, at sa gayon ang mga gastos upang maipatupad ang mga ito.

Sa mga nagdaang taon, ang teknolohiya ng SIEM ay naging mas advanced na may mga tampok tulad ng hilaw na data packet data at mga pamamaraan ng pag-aaral ng makina, tulad ng pagwasto ng kaganapan, upang matulungan ang mga banta sa lugar na kadalasang hindi makakapigil sa mga kontrol sa pag-iwas. "Ang paglipat patungo sa patuloy na pagtuklas ng mga pag-atake at naaangkop na proteksyon ay isang paglalakbay, at ang SIEM ay isang pangunahing enabler sa prosesong iyon," sabi ni Lalit Ahluwalia, ang North America Security Lead for Public Sector at Accenture.

Upang ang anumang negosyo ay magpalawak ng SIEM, kakailanganin nilang dumaan sa isang kumpletong mga kinakailangan-pagtitipon ng yugto kung saan ang lahat ng mga landas na may kaugnayan sa seguridad na may kaugnayan sa seguridad na ginawa ng kanilang mga kritikal na kasangkapan, kabilang ang mga kasangkapan sa network, VoIP, seguridad at mga sistema ng pangangasiwa, ay idokumento .

Kapag nakumpleto na, ang mga ahente ng middleware ay na-configure sa mga log na iyon sa isang VLC, na kumukuha ng mga hilaw na packet ng data at ipinapamahagi ang mga ito sa isang host ng pagbabanta sa cyber na pinadali ang pag-deteksyon ng banta at pag-iwas gamit ang mga algorithm para sa pag-aanal ng pag-uugali at isang sistema ng pagsubaybay sa alerto.

Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay

Hindi mo mapagbuti ang iyong mga kasanayan sa pagprograma kapag walang nagmamalasakit sa kalidad ng software.

Ngunit ang mga gastos sa pagpapatupad at paghahanda ay isa lamang bahagi ng equation. Ang patuloy na pagsubaybay ay ang iba pang bahagi.

Ang Pangalawang Half

Ang kumpanya ng kliyente ay mangangailangan ng mga dedikadong tauhan, tulad ng mga inhinyero ng seguridad ng impormasyon at arkitekto, upang matiyak na ang mga bagong log ay ipinapadala sa ahente, ang mga filter ay na-update upang mabawasan ang mga maling positibo, ang pagganap ay patuloy na pinong-maayos, ang puwang ng disk ay sinusubaybayan at balanse ng pag-load ang mga solusyon ay ipinatupad kapag nagsisimula ang pag-iyak ng network para sa higit pang bandwidth.

Mga Pananaw sa Cloud

Ang isa sa mga pangunahing kadahilanan na tumutukoy sa gastos ng isang kumpanya para sa pagpapatupad ng isang SIEM ay kung pipiliin nilang gumamit ng cloud service (SIEMaaS). Habang mas maraming mga kumpanya ang lumipat patungo sa IaaS, SaaS at PaaS, nagiging mas lohikal na magkaroon ng teknolohiya na nagsasama dito, o hindi bababa sa pagpipilian, kung kinakailangan.

Kapag ang isang solusyon ay nagiging mas scalable, malamang na maging mas mura at mas mabilis na ipatupad kaysa sa kahalili. Gayunpaman, sa paghahambing sa isang paunang solusyon, ang koneksyon sa iba pang mga kasangkapan ay maaaring hindi tuwid.

Kahit na nakasalalay sa plano ng backup ng service provider, ang SIEMaaS ay malamang na magbigay ng mas maaasahang seguridad sa pag-backup sa kaso kung ang failover bilang isang naa-access na serbisyo sa ulap ay may mas mahusay na pagkakataon na manatili habang ang isang nakahiwalay na sentro ng data. Sa kabilang banda, kung ang outage ay sanhi ng cloud service provider, ang kumpanya ng kliyente ay maaaring magtapos sa maraming mga teknikal na anarchy sa kanilang mga kamay.

Ang ilang mga eksperto ay naniniwala na ang paglantad ng SIEM sa ulap ay maaaring madagdagan ang pag-atake ng samahan ng samahan dahil ang kanilang network platform ay hindi gaanong nakahiwalay. Gayunpaman, si Rahim Karmali, Security Solution Architect para sa Hewlett Packard Enterprises, ay naniniwala na walang maaaring higit pa mula sa katotohanan. "Ito ang mga punto ng pagpasok na kailangan mong mag-alala - ang iyong mobile, tablet, laptop, atbp. Kadalasan ang mga aparatong iyon ay lumulutang sa mga network na maaaring hindi mai-secure."

Mga kalamangan (SIEM sa Pangkalahatang)

Ang mga pananaw sa ulap bukod, ang maliwanag ay isang samahan ay mas mahusay na may isang SIEM kaysa sa wala. Maraming mga pamantayan sa pag-uulat ng pagsunod sa pagsunod, tulad ng mula sa Health and Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) at ang Sarbanes-Oxley Act (SOX), ay natutupad sa pamamagitan ng isang sentralisadong koleksyon ng log.

Ang paghawak sa insidente ay nagiging mas epektibo dahil walang manu-manong manu-manong dumadaan sa mga log upang mahanap ang ruta ng nagsasalakay sa pamamagitan ng network o lahat ng mga host at server sa pag-atake ng vector; sa halip, ang system ng SIEM ay kinikilala at itinatama ang mga pangyayaring ito, mula sa isang mata ng isang ibon, at pagkatapos ay muling binubuo ang pagkakasunud-sunod ng mga kaganapan upang matukoy ang likas na pag-atake.

"Naghahain ito bilang isang nakakaalerto na tool na may kakayahang tumpak na matukoy ang mga kahina-hinalang mga kaganapan sa pamamagitan ng pagwawasto ng impormasyon sa log mula sa mga aplikasyon, database, mga operating system, network at security device," sabi ni Ahluwalia.

Ang mga malubhang pag-atake ay hindi na nakahiwalay, at ang mga kaganapan ay maaaring ibinahagi sa maraming mga system upang maiwasan ang pagtuklas. Nang walang isang SIEM sa lugar, ang mga nakakahamak na kaganapan ay maaaring kumalat tulad ng wildfire.

Ang ilang mga produkto ng SIEM ay may kakayahang ihinto ang mga pag-atake sa pamamagitan ng pag-alerto sa iba pang mga kontrol sa seguridad, tulad ng mga firewall at mga sistema ng pag-iwas sa panghihimasok. "Ang mga kumpanya ay hindi na makagawa ng isang reaktibong pamamaraan sa mga bagay tulad ng malware at ransomware," sabi ni Karmali. "Kailangan nila ng isang sistema na nagbibigay ng pagkilos na katalinuhan." (Para sa higit pa sa seguridad, tingnan ang Enryption Just Isnt Enough: 3 Kritikal na Katotohanan Tungkol sa Data Security.)

Cons (SIEM sa Pangkalahatang)

Ang automates ng SIEM ay maraming mga aktibidad na ang isang kumpanya ay kung hindi man ay gumugol ng mga oras ng manu-manong paggawa, gayunpaman nangangailangan din ito ng isang bagong set ng kasanayan upang mapanatili ang pagiging epektibo nito. Ang isang kumpanya ng kliyente ay mangangailangan ng aktibong pakikilahok mula sa lahat ng mga kagawaran upang matiyak ang wastong mga log ay ipinapadala sa ahente dahil ang mga makina ng ugnayan ay mas mahusay na gumagana kapag hindi sila nasisilip sa pamamagitan ng hindi naaangkop na data o maling positibo. Kung mas malaki ang samahan, mas malaki ang pagkahilig ay para sa mga troso nito na malampasan ang sistema ng SIEM.

Bukod dito, kahit na ang teknolohiya ng SIEM ay nakagawa ng malaking pagsulong mula noong ito ay umpisa noong 1996, hindi ito isang sistema na walang pag-iisa. Nangangailangan ito ng isang kumbinasyon ng "mga tao, proseso at teknolohiya" sabi ni Karmali.

Karaniwang nakakamit ang pinakamabuting kalagayan kapag ang koponan ng mga system ng SIEM ay may mga firewall, panghihimasok sa panghihimasok / mga sistema ng pag-iwas, mga aplikasyon ng pangangalaga ng malware at iba pang mga kontrol.

Konklusyon

Karamihan sa mga samahan sa buong negosyo ay mas ligtas sa isang functional at epektibong SIEM system sa lugar; gayunpaman ang pagpili kung aling sistema ng SIEM ang pinakamahusay na akma ay maaaring patunayan na mahirap. Ang mas maliit na mga kumpanya, halimbawa, ay mas mahusay na may isang solusyon sa ulap na maaaring maging mas scalable at mas mabilis na maipatupad. Para sa mga mas malalaking kumpanya ay magiging kapaki-pakinabang na mamuhunan sa kung ano ang maaaring maging isang mas magastos, hybrid na solusyon, kung saan ang ulap at premise ay parehong nagbibigay ng kanilang sariling mga ekonomiya ng sukat.

Alinmang paraan, para sa mga samahan ng anumang laki, ang paraan upang makamit ang pinakamainam na kahusayan at isang mataas na pagbabalik sa pamumuhunan ay sa pamamagitan ng pagkakaroon ng dedikadong kawani upang maisagawa ang patuloy na pagsubaybay at pagpapanatili ng system.

Maraming mga kumpanya ang nagpapatupad ng isang SIEM para sa mga dahilan ng pagsunod at, kung wala silang sapat na mga mapagkukunan upang pamahalaan, mapanatili at pinong tune ang system, maaaring magtapos sa isang napaka mahal, hindi epektibo na maniningil ng log.