Napisz do nas

TechPolska.pl

Znajdziesz nas

Systemy SIEM i z czym są „jadane”. Zarządzanie bezpieczeństwem.

Security Information and Event Management (SIEM) to podejście do zarządzania bezpieczeństwem, które łączy funkcje SIM (zarządzanie informacjami o zabezpieczeniach) i SEM (zarządzanie zdarzeniami bezpieczeństwa) w jeden system zarządzania bezpieczeństwem. Akronim SIEM wymawia się „sim” z cichym e. Podstawowymi zasadami każdego systemu SIEM jest agregowanie odpowiednich danych z wielu źródeł, identyfikowanie odchyleń od normy i podejmowanie odpowiednich działań.

Hacker Hacking Cyber Security – Free image on Pixabay

Podstawy, z którymi warto się zapoznać

Na najbardziej podstawowym poziomie system SIEM może być oparty na regułach lub wykorzystywać silnik korelacji statystycznej w celu ustalenia relacji między wpisami dziennika zdarzeń. Zaawansowane systemy SIEM ewoluowały, obejmując analitykę zachowań użytkowników i podmiotów (UEBA) oraz orkiestrację, automatyzację i reagowanie w zakresie bezpieczeństwa (SOAR).

Zgodność ze standardem Payment Card Industry Data Security Standard (PCI DSS) pierwotnie doprowadziła do przyjęcia SIEM w dużych przedsiębiorstwach, ale obawy związane z zaawansowanymi trwałymi zagrożeniami (APT) skłoniły mniejsze organizacje do przyjrzenia się korzyściom, jakie mogą zaoferować dostawcy usług zabezpieczeń zarządzanych przez SIEM (MSSP). Możliwość spojrzenia na wszystkie dane związane z bezpieczeństwem z jednego punktu widzenia ułatwia organizacjom dowolnej wielkości dostrzeżenie nietypowych wzorców.

Bezpieczeństwo jest ważne nie tylko w przypadku, gdy zajmujemy się organizacją. Dlatego na odpowiednie zabezpieczenia możecie liczyć także w momencie, gdy korzystacie z portalu Slotozilla PL. Jest to strona z informacjami na temat kasyn online, automatów online oraz bonusów kasynowych. Znajdziecie tu najbardziej interesujące gry w darmowych wersjach, a także recenzje najbardziej popularnych kasyn w Polsce – i to wszystko w bezpiecznym środowisku!

Wracając do tematu, systemy SIEM działają poprzez wdrażanie wielu agentów windykacyjnych w sposób hierarchiczny w celu gromadzenia zdarzeń związanych z bezpieczeństwem z urządzeń użytkowników końcowych, serwerów i sprzętu sieciowego, a także specjalistycznego sprzętu zabezpieczającego, takiego jak zapory ogniowe, systemy antywirusowe lub systemy zapobiegania włamaniom (IPS). Kolekcjonerzy przesyłają zdarzenia do scentralizowanej konsoli zarządzania, gdzie analitycy bezpieczeństwa przesiewają hałas, łącząc punkty i ustalając priorytety incydentów związanych z bezpieczeństwem.

W niektórych systemach przetwarzanie wstępne może mieć miejsce w kolektorach brzegowych, a tylko niektóre zdarzenia są przekazywane do scentralizowanego węzła zarządzania. W ten sposób można zmniejszyć ilość przekazywanych i przechowywanych informacji. Chociaż postępy w uczeniu maszynowym pomagają systemom dokładniej oznaczać anomalie, analitycy nadal muszą przekazywać informacje zwrotne, stale edukując system na temat środowiska. Oto niektóre z najważniejszych funkcji, które należy przejrzeć podczas oceny produktów SIEM:

  • Integracja z innymi kontrolkami. Czy system może wydawać polecenia innym kontrolom bezpieczeństwa przedsiębiorstwa, aby zapobiec lub zatrzymać trwające ataki?
  • Sztuczna inteligencja (AI). Czy system może poprawić swoją dokładność poprzez uczenie maszynowe i głębokie uczenie?
  • Kanały analizy zagrożeń. Czy system może obsługiwać wybrane przez organizację kanały informacyjne o zagrożeniach, czy też wymagane jest korzystanie z określonego kanału?
  • Obszerne raportowanie zgodności. Czy system zawiera wbudowane raporty dla typowych potrzeb w zakresie zgodności i zapewnia organizacji możliwość dostosowywania lub tworzenia nowych raportów zgodności?
  • Możliwości kryminalistyki. Czy system może przechwycić dodatkowe informacje o zdarzeniach związanych z bezpieczeństwem, rejestrując nagłówki i zawartość pakietów będących przedmiotem zainteresowania?

Narzędzia SIEM działają poprzez gromadzenie danych o zdarzeniach i dziennikach utworzonych przez systemy hosta, aplikacje i urządzenia zabezpieczające, takie jak filtry antywirusowe i zapory, w całej infrastrukturze firmy i łączenie tych danych na scentralizowanej platformie. Narzędzia SIEM identyfikują i sortują dane na takie kategorie, jak udane i nieudane logowanie, aktywność złośliwego oprogramowania i inne prawdopodobne złośliwe działania. Oprogramowanie SIEM generuje następnie alerty bezpieczeństwa, gdy zidentyfikuje potencjalne problemy z bezpieczeństwem. Korzystając z zestawu wstępnie zdefiniowanych reguł, organizacje mogą ustawić te alerty z niskim lub wysokim priorytetem.

Na przykład konto użytkownika, które generuje 25 nieudanych prób logowania w ciągu 25 minut, może zostać oznaczone jako podejrzane, ale nadal będzie miało niższy priorytet, ponieważ próby logowania zostały prawdopodobnie wykonane przez użytkownika, który prawdopodobnie zapomniał swoich danych logowania. Jednak konto użytkownika, które generuje 130 nieudanych prób logowania w ciągu pięciu minut, zostanie oznaczone jako zdarzenie o wysokim priorytecie, ponieważ najprawdopodobniej jest to trwający atak brute-force.

Cyber Security Internet – Free photo on Pixabay

Dlaczego SIEM jest ważny?

SIEM jest ważny, ponieważ ułatwia przedsiębiorstwom zarządzanie bezpieczeństwem poprzez filtrowanie ogromnych ilości danych bezpieczeństwa i nadawanie priorytetu alertom bezpieczeństwa generowanym przez oprogramowanie. Oprogramowanie SIEM umożliwia organizacjom wykrywanie incydentów, które w innym przypadku mogłyby pozostać niewykryte. Oprogramowanie analizuje wpisy w dzienniku, aby zidentyfikować oznaki złośliwej aktywności. Ponadto, ponieważ system gromadzi zdarzenia z różnych źródeł w całej sieci, może odtworzyć oś czasu ataku, umożliwiając firmie określenie charakteru ataku i jego wpływu na biznes.

System SIEM może również pomóc organizacji spełnić wymagania dotyczące zgodności, automatycznie generując raporty zawierające wszystkie zarejestrowane zdarzenia związane z bezpieczeństwem wśród tych źródeł. Bez oprogramowania SIEM firma musiałaby zbierać dane dziennika i kompilować raporty ręcznie. System SIEM usprawnia również zarządzanie incydentami, umożliwiając zespołowi ds. bezpieczeństwa firmy odkrycie drogi ataku w sieci, zidentyfikowanie źródeł, które zostały naruszone, oraz zapewnienie zautomatyzowanych narzędzi do zapobiegania trwającym atakom. Niektóre z zalet SIEM obejmują:

  • znacząco skraca czas identyfikacji zagrożeń, minimalizując szkody wynikające z tych zagrożeń,
  • obsługuje duże ilości danych, dzięki czemu organizacje mogą nadal skalować i zwiększać swoje dane,
  • zapewnia wykrywanie zagrożeń i alerty bezpieczeństwa,
  • może przeprowadzić szczegółową analizę kryminalistyczną w przypadku poważnych naruszeń bezpieczeństwa.

Oczywiście SIEM ma znacznie więcej zalet, ale to właśnie na te warto zwrócić głównie uwagę. Nie każdy system może jednak być bez wad. Nie inaczej jest w przypadku SIEM, a wbrew pozorom można ich wyliczyć całkiem sporo. Pomimo jego zalet, nadal istnieją pewne ograniczenia, w tym:

  • Zwykle wdrożenie zajmuje dużo czasu, ponieważ wymaga wsparcia, aby zapewnić pomyślną integrację z mechanizmami kontroli bezpieczeństwa organizacji i wieloma hostami w jej infrastrukturze. Instalacja oprogramowania SIEM trwa zwykle 90 dni lub dłużej, zanim zacznie działać.
  • Jest drogi. Początkowa inwestycja w SIEM może sięgać setek tysięcy dolarów. Powiązane koszty mogą się również sumować, w tym koszty personelu do zarządzania i monitorowania wdrażania SIEM, rocznego wsparcia oraz oprogramowania lub agentów do gromadzenia danych.
  • Analizowanie, konfigurowanie i integrowanie raportów wymagają talentu ekspertów. Dlatego niektóre systemy SIEM są zarządzane bezpośrednio w centrum operacji bezpieczeństwa (SOC), scentralizowanej jednostce obsługiwanej przez zespół bezpieczeństwa informacji, który zajmuje się kwestiami bezpieczeństwa organizacji.

Jak więc widać, SIEM nie jest idealnym systemem, gdyż jego wady skutecznie zniechęcają wciąż całkiem sporo biznesów. Nie oznacza to jednak, że z czasem system ten nie będzie zyskiwał na popularności. W nadchodzących latach szacuje się, że SIEM będzie częścią zabezpieczania coraz większej ilości organizacji.

Narzędzia i oprogramowanie SIEM

Oprócz tego, co udało nam się dowiedzieć na temat działania SIEM, poniżej pragniemy zamieścić porównanie najczęściej wykorzystywanych narzędzi robiących użytek z tego systemu. Z pewnością pozwoli wam to nabrać nieco wglądu w to, z czego organizacje chętnie korzystają. Oto 3 najpopularniejsze narzędzia i oprogramowanie SIEM.

Aplikacja Splunk QRadar IBM LogRhythm
Zalety Splunk obsługuje monitorowanie bezpieczeństwa i oferuje zaawansowane możliwości wykrywania zagrożeń. QRadar można wdrożyć jako urządzenie sprzętowe, urządzenie wirtualne lub urządzenie programowe ujednolicenie SIEM, zarządzanie dziennikami, monitorowanie sieci i punktów końcowych oraz analiza śledcza i analiza bezpieczeństwa
Przeznaczenie pełny lokalny system SIEM usługa w chmurze dostarczana z IBM Cloud w oparciu o produkt QRadar SIEM system SIEM dla mniejszych organizacji
Rodzaj Oprogramowanie Narzędzie Narzędzie

Przedstawione w powyższej tabeli przykłady oprogramowania i narzędzi to jedne z najlepszych opcji dostępnych do rynku. Przydają się zarówno mniejszym, jak i większym organizacjom, dlatego nic dziwnego, że coraz więcej biznesów sięga po ich pomoc. Nierzadko zdarza się również, że organizacje korzystają z kilku narzędzi jednocześnie, aby zwiększyć bezpieczeństwo.

 

Share:

administrator

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *