Güvenlik Bilgisi Etkinlik Yönetimi (SIEM): Uzun Mesafede

Yazar: Eugene Taylor
Yaratılış Tarihi: 9 Ağustos 2021
Güncelleme Tarihi: 20 Haziran 2024
Anonim
Güvenlik Bilgisi Etkinlik Yönetimi (SIEM): Uzun Mesafede - Teknoloji
Güvenlik Bilgisi Etkinlik Yönetimi (SIEM): Uzun Mesafede - Teknoloji

İçerik


Kaynak: Cuteimage / Dreamstime.com

Paket servisi:

Güvenlik bilgileri ve olay yönetimi, sistem güvenliğinde çok güçlü bir araç olarak ortaya çıkmaktadır.

Birçok kurum genelinde, son yıllarda artan veri ihlalleri ve artan veri ihlali ciddiyeti siber güvenlik maliyetlerinde keskin bir artışa neden olmuştur.

En sofistike teknolojiye mümkün olan en kısa sürede yatırım yapma zorunluluğunun ortasında, hangi çözümlerin orada olduğunu ve uygun olup olmadıklarını anlamak giderek daha önemli hale geldi.

Güvenlik ürünlerinin en hızlı büyüyen sektörlerinden biri, normal aktivite temeli oluşturmak için olay ve kimlik doğrulama günlüklerinden veri toplayan ve ardından bu temel çizgiyi kullanmak üzere kullanan güvenlik bilgileri ve olay yönetimi (SIEM) sistemi gibi kullanıcı davranışı analiz araçlarıdır. Kötü niyetli kullanıcı davranışlarını ve diğer anormallikleri tespit etmek. (Güvenlik hakkında daha fazla bilgi edinmek için bkz. Yönetişim ve Uyumluluğun Ötesinde: Neden BT Güvenlik Riski Önemlidir?)


Analojiler yardımcı olursa, merkezi bir ekrandan sürekli gözlemlemenin, uyarıları tetikleyen ve ardından hemen düzeltici eylemi başlatan anormallikleri tespit etmeye yardımcı olduğu bir YBÜ monitörü düşünün. Kardiyak çıkış için bir kanal oluşturmak üzere hastanın cildine elektrot yerleştirmeye benzer şekilde, ajanlar sunucuya bağlantı yapmak ve Sanal Günlük Toplayıcıya (VLC) veri iletimi için bir yol oluşturmak için ara katman olarak kullanılır.

Bunu karşılayabilecek şirketler için, bu teknolojinin haberi 90'lı yılların başında bir tanrı gibiydi, tomrukların tsunamisinin izinsiz giriş ve önleme tespit sistemleri tarafından kırbaçlanması, kütük yönetimi sistemleri için büyük bir boşluk yaratıyordu. Ancak günümüzde SIEM araçları, öncelikle kütük yönetimi için tasarlanan log merkezli sistemlerden çok uzun bir süre önce geldi ve bu yüzden bunları uygulama maliyetleri de arttı.


Son yıllarda, SIEM teknolojisi, tipik olarak önleyici kontrolleri atlayan tehditleri tespit etmeye yardımcı olmak için, olay paket korelasyonu gibi ham paket veri yakalama ve makine öğrenme yöntemleri gibi özelliklerle daha da gelişmiştir. Accenture'da Kamu Güvenliği Sektöründe Kuzey Amerika Güvenlik Lideri Lalit Ahluwalia, “Saldırıların sürekli olarak tespit edilmesi ve uygun korumanın sürdürülmesi bir yolculuktur ve SIEM bu süreçte kilit bir faktördür” diyor.

Herhangi bir kuruluşun SIEM'i dağıtması için, ağ, VoIP, güvenlik ve sistem yönetimi cihazları da dahil olmak üzere kritik cihazlarının ürettiği güvenlikle ilgili tüm olay günlüğü yollarının belgeleneceği kapsamlı bir gereksinim toplama aşamasından geçmek zorunda kalacaklardı. .

Tamamlandıktan sonra, katman yazılım aracıları daha sonra ham veri paketlerini yakalayan ve davranış analizleri ve bir uyarı izleme sistemi için algoritmalar kullanarak tehdit tespitini ve önlenmesini kolaylaştıran bir siber tehdit konusuna dağıtan bir VLC'ye kaydeder.

Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz

Hiç kimse yazılım kalitesini önemsemediğinde programlama becerilerinizi geliştiremezsiniz.

Ancak uygulama ve hazırlık maliyetleri denklemin sadece bir kısmıdır. Devam eden izleme diğer kısımdır.

İkinci yarı

Müşteri şirketi, yeni günlüklerin araca gönderildiğinden emin olmak için bilgi güvenliği mühendisleri ve mimarlar gibi özel personele ihtiyaç duyacak, yanlış pozitifleri azaltmak için filtreler güncellenecek, performans sürekli olarak ince ayarlanmış, disk alanı izlenir ve yük dengeleme yapılır Ağ daha fazla bant genişliği için ağlamaya başladığında çözümler uygulanır.

Bulut Perspektifleri

Bir şirketin bir SIEM'i uygulama maliyetini belirleyen ana etkenlerden biri, bir bulut hizmetini kullanmayı seçip seçmemeleridir (SIEMaaS). Daha fazla şirket IaaS, SaaS ve PaaS'a doğru ilerledikçe, onunla entegre olan teknolojiye veya gerekirse en azından seçeneğe sahip olmak daha mantıklı hale geliyor.

Bir çözüm daha fazla ölçeklenebilir hale geldiğinde, uygulanması alternatiflerden daha ucuz ve hızlı olacaktır. Bununla birlikte, şirket içi bir çözümle karşılaştırıldığında, diğer cihazlarla bağlantı kolay olmayabilir.

Servis sağlayıcının yedekleme planına bağlı olmasına rağmen, SIEMaaS, yerine çalışma durumunda, erişilebilir bir bulut hizmetinin yalıtılmış bir veri merkezi çökerken ayakta kalma şansının daha iyi olması nedeniyle, yerine çalışma durumunda daha güvenilir bir yedekleme güvenliği sağlar. Öte yandan, kesinti bulut servis sağlayıcısından kaynaklanıyorsa, müşteri şirket ellerinde birçok teknik anarşi ile sonuçlanabilir.

Bazı uzmanlar, SIEM'in buluta maruz kalmasının, ağ platformları daha az tecrit edildikçe kuruluşun saldırı yüzeyini artırabileceğine inanıyor. Ancak, Hewlett Packard Enterprises Güvenlik Çözüm Mimarı Rahim Karmali, hiçbir şeyin gerçeklerden daha fazla olamayacağına inanıyor. “Endişelenmeniz gereken giriş noktaları - cep telefonunuz, tablet bilgisayarınız, dizüstü bilgisayarınız vb. Sık sık bu cihazlar güvenli olamayacak ağlarda yüzüyor.”

Artıları (Genel olarak SIEM)

Bulut perspektifleri bir yana, görünen şeyin bir kuruluşun bir SIEM ile olandan daha iyidir. Sağlık ve Sigorta Taşınabilirliği ve Sorumluluk Yasası (HIPAA), Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI DSS) ve Sarbanes-Oxley Yasası (SOX) gibi birçok standart uygunluk raporlama gereksinimi, merkezi bir günlük toplama yoluyla yerine getirilmektedir.

Saldırganın ağ üzerinden veya saldırı vektöründeki tüm ana bilgisayarlar ve sunucular üzerinden yolunu bulmak için hiç kimse günlükleri el ile geçirmediğinden olay ele alma işlemi çok daha etkili hale gelir; bunun yerine, SIEM sistemi bu olayları kuşbakışı bir bakış açısıyla tanımlar ve ilişkilendirir ve ardından saldırının doğasını belirlemek için olay dizisini yeniden yapılandırır.

Ahluwalia, “Bu, günlük bilgilerini uygulamalar, veritabanları, işletim sistemleri, ağ ve güvenlik aygıtlarıyla ilişkilendirerek şüpheli olayları doğru bir şekilde belirleme becerisine sahip bir uyarı aracıdır” diyor.

Ciddi saldırılar artık izole edilmiyor ve tespit edilmesini önlemek için olaylar birden fazla sisteme dağıtılabilir. Bir SIEM olmadan, kötü amaçlı olaylar orman yangını gibi yayılabilir.

Bazı SIEM ürünleri ayrıca, güvenlik duvarları ve izinsiz giriş önleme sistemleri gibi diğer güvenlik kontrollerine alarm vererek saldırıları durdurabilir. Karmali, “Şirketler artık kötü amaçlı yazılım ve fidye yazılımı gibi şeylere reaktif bir yaklaşım getiremez” diyor. “Harekete geçirilebilir zeka sağlayan bir sisteme ihtiyaçları var.” (Güvenlik hakkında daha fazla bilgi için, bkz. Şifreleme Yeterince Yetmiyor: 3 Veri Güvenliği Konusunda Eleştirel Gerçekler.)

Eksileri (Genel olarak SIEM)

SIEM, bir şirketin saatlerce el emeği harcayacağı birçok etkinliği otomatikleştirir, ancak etkinliğini korumak için yeni bir beceri seti gerektirir. Bir müşteri şirketi, araca doğru günlüklerin gönderilmesini sağlamak için tüm departmanların aktif katılımını ister çünkü korelasyon motorları alakasız verilerden veya yanlış pozitiflerden elemediklerinde daha verimli çalışırlar. Kuruluş ne kadar büyük olursa, kütüklerinin SIEM sistemini ele geçirme eğilimi o kadar fazla olur.

Dahası, SIEM teknolojisi 1996'daki kuruluşundan bu yana büyük ilerlemeler kaydetse de, tek başına bir sistem değildir. Karmali, “insan, süreç ve teknolojinin” bir birleşimini gerektirdiğini söylüyor.

Optimal verimlilik genellikle SIEM sistemleri güvenlik duvarları, izinsiz giriş tespit / önleme sistemleri, kötü amaçlı yazılım koruma uygulamaları ve diğer kontroller ile birleştiğinde elde edilir.

Sonuç

Kurum çapında çoğu kuruluş, işlevsel ve etkili bir SIEM sistemi ile daha güvenlidir; Ancak hangi SIEM sisteminin en uygun olduğunu seçmek zor olabilir. Örneğin, daha küçük şirketler, daha ölçeklenebilir ve uygulaması daha hızlı olabilen bir bulut çözümüyle daha iyi durumdalar. Daha büyük şirketler için, bulutun ve öncülün kendi ölçek ekonomilerini sağladığı hibrit çözümün ne kadar pahalı olabileceğine yatırım yapmak faydalı olacaktır.

Her iki şekilde de, her büyüklükteki kuruluşlar için, optimum verimlilik ve yüksek bir yatırım getirisi elde etmenin yolu, sistemin sürekli izlenmesi ve bakımını yapacak özel bir kadroya sahip olmaktır.

Birçok şirket uyumluluk nedenleriyle bir SIEM uygulamaktadır ve eğer sistemi yönetmek, bakımını yapmak ve ince ayar yapmak için yeterli kaynağa sahip olmazlarsa, ellerinde çok pahalı, etkin olmayan bir günlük toplayıcı ile sonuçlanabilir.