Inhoud
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- De tweede helft
- Cloudperspectieven
- Voordelen (SIEM in het algemeen)
- Nadelen (SIEM in het algemeen)
- Gevolgtrekking
Bron: Cuteimage / Dreamstime.com
Afhaal:
Beveiligingsinformatie en gebeurtenisbeheer is in opkomst als een zeer krachtig hulpmiddel voor systeembeveiliging.
Voor de meeste bedrijfsbrede organisaties hebben het stijgende aantal en de verlammende ernst van datalekkenincidenten in de afgelopen jaren geleid tot een sterke stijging van hun cyberbeveiligingskosten.
Te midden van de drang om zo snel mogelijk in de meest geavanceerde technologie te investeren, is het steeds belangrijker geworden om te begrijpen welke oplossingen er zijn en of ze goed passen.
Een van de snelst groeiende sectoren van beveiligingsproducten zijn analyseprogramma's voor gebruikersgedrag, zoals het beveiligingsinformatie- en eventmanagementsysteem (SIEM), dat gegevens verzamelt uit gebeurtenis- en authenticatielogboeken om een basislijn van normale activiteit vast te stellen en deze basislijn vervolgens gebruikt om kwaadaardig gebruikersgedrag en andere afwijkingen detecteren. (Voor meer informatie over beveiliging, zie Beyond Governance and Compliance: Waarom IT-beveiligingsrisico belangrijk is.)
Als analogieën helpen, kunt u denken aan een ICU-monitor waarbij continue observatie vanuit een centraal display helpt afwijkingen te identificeren die op hun beurt waarschuwingen activeren en vervolgens onmiddellijk corrigerende maatregelen initiëren. En vergelijkbaar met elektrodeplaatsing op de huid van een patiënt om een kanaal voor cardiale output te creëren, worden agenten gebruikt als middleware om een verbinding met de server te maken en een pad te creëren voor gegevensoverdracht naar een Virtual Log Collector (VLC).
Voor bedrijven die het zich konden veroorloven, was het nieuws van deze technologie als een god in de jaren 90, waar de tsunami van logboeken die werden opgedrongen door indringings- en preventiedetectiesystemen een enorm vacuüm creëerde voor logbeheersystemen. Tegenwoordig zijn SIEM-tools echter ver verwijderd van de logcentrische systemen die in de eerste plaats waren bedoeld voor logboekbeheer, en hebben dus de kosten om ze te implementeren.
In de afgelopen jaren is de SIEM-technologie geavanceerder geworden met functies zoals het vastleggen van onbewerkte packet-gegevens en methoden voor machine learning, zoals correlatie van gebeurtenissen, om bedreigingen te herkennen die doorgaans preventieve controles omzeilen. "Op weg naar continue detectie van aanvallen en passende bescherming is een reis, en SIEM is een belangrijke factor in dat proces", zegt Lalit Ahluwalia, de Noord-Amerikaanse beveiligingsleider voor de publieke sector bij Accenture.
Opdat een onderneming SIEM zou inzetten, zou zij een volledige fase van het verzamelen van eisen moeten doorlopen waarin alle beveiligingsgerelateerde eventlogpaden geproduceerd door hun kritieke apparaten, inclusief netwerk-, VoIP-, beveiligings- en systeembeheertoestellen, zouden worden gedocumenteerd .
Eenmaal voltooid, worden middleware-agenten vervolgens naar die logboeken geconfigureerd in een VLC, die onbewerkte datapakketten vastlegt en deze verspreidt naar een cyberdreiginghost die bedreigingsdetectie en -preventie vergemakkelijkt met behulp van algoritmen voor gedragsanalyse en een alarmbewakingssysteem.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
Je kunt je programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
Toch zijn implementatie- en voorbereidingskosten slechts een onderdeel van de vergelijking. Lopende monitoring is het andere deel.
De tweede helft
Het klantbedrijf heeft toegewijd personeel nodig, zoals informatiebeveiligingsingenieurs en architecten, om ervoor te zorgen dat nieuwe logboeken naar de agent worden verzonden, filters worden bijgewerkt om het aantal foutieve positieven te verminderen, de prestaties worden consequent verfijnd, de schijfruimte wordt bewaakt en load-balancing oplossingen worden geïmplementeerd wanneer het netwerk om meer bandbreedte begint te schreeuwen.
Cloudperspectieven
Een van de belangrijkste factoren die de kosten van een bedrijf voor het implementeren van een SIEM bepalen, is of ze ervoor kiezen om een cloudservice (SIEMaaS) te gebruiken. Naarmate meer bedrijven op weg zijn naar IaaS, SaaS en PaaS, wordt het logischer om technologie te hebben die ermee integreert, of op zijn minst de optie, indien nodig.
Wanneer een oplossing schaalbaarder wordt, is deze waarschijnlijk goedkoper en sneller te implementeren dan het alternatief. In vergelijking met een oplossing op locatie is connectiviteit met andere apparaten echter niet zo eenvoudig.
Hoewel afhankelijk van het back-upplan van de serviceprovider, biedt SIEMaaS waarschijnlijk betrouwbaardere back-upbeveiliging in geval van failover, omdat een toegankelijke cloudservice meer kans heeft om op te blijven terwijl een geïsoleerd datacenter uitvalt. Aan de andere kant, als de storing wordt veroorzaakt door de cloudserviceprovider, kan het klantbedrijf veel technische anarchie krijgen.
Sommige experts zijn van mening dat het blootstellen van SIEM aan de cloud het aanvalsoppervlak van de organisatie zou kunnen vergroten, omdat hun netwerkplatform minder geïsoleerd wordt. Rahim Karmali, Security Solution Architect voor Hewlett Packard Enterprises, is echter van mening dat niets minder waar is. "Het zijn de toegangspunten waar je je zorgen over moet maken - je mobiel, tablet, laptop, enz. Heel vaak drijven die apparaten op netwerken die misschien niet beveiligd zijn."
Voordelen (SIEM in het algemeen)
Afgezien van cloudperspectieven, is het duidelijk dat een organisatie beter af is met een SIEM dan zonder. Aan veel standaard rapportagevereisten voor compliance, zoals die van de Health and Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) en de Sarbanes-Oxley Act (SOX), wordt voldaan door een gecentraliseerde logboekverzameling.
Incidentafhandeling wordt veel effectiever omdat niemand handmatig door logboeken gaat om de route van de aanvaller door het netwerk of alle hosts en servers in de aanvalsvector te vinden; in plaats daarvan identificeert en correleert het SIEM-systeem deze gebeurtenissen vanuit vogelperspectief en reconstrueert vervolgens de reeks gebeurtenissen om de aard van de aanval te bepalen.
"Het dient als een waarschuwingstool met de mogelijkheid om verdachte gebeurtenissen nauwkeurig te identificeren door loginformatie van applicaties, databases, besturingssystemen, netwerk- en beveiligingsapparatuur te correleren," zegt Ahluwalia.
Ernstige aanvallen worden niet langer geïsoleerd en gebeurtenissen kunnen over meerdere systemen worden verdeeld om detectie te voorkomen. Zonder een SIEM kunnen schadelijke gebeurtenissen zich verspreiden als een lopend vuurtje.
Sommige SIEM-producten hebben ook de mogelijkheid om aanvallen te stoppen door waarschuwingen te geven aan andere beveiligingscontroles, zoals firewalls en inbraakpreventiesystemen. "Bedrijven kunnen niet langer reageren op zaken als malware en ransomware", zegt Karmali. "Ze hebben een systeem nodig dat bruikbare intelligentie biedt." (Voor meer informatie over beveiliging, zie Encryptie is niet genoeg: 3 kritieke waarheden over gegevensbeveiliging.)
Nadelen (SIEM in het algemeen)
SIEM automatiseert veel activiteiten waaraan een bedrijf anders uren handarbeid zou besteden, maar het vereist ook een nieuwe reeks vaardigheden om de effectiviteit te behouden. Een klantbedrijf vereist actieve deelname van alle afdelingen om ervoor te zorgen dat de juiste logboeken naar de agent worden verzonden, omdat correlatiemotoren efficiënter werken wanneer ze niet door irrelevante gegevens of valse positieven bladeren. Hoe groter de organisatie, hoe groter de neiging is dat haar logboeken het SIEM-systeem overweldigen.
Hoewel de SIEM-technologie sinds de start in 1996 enorme vooruitgang heeft geboekt, is het bovendien geen op zichzelf staand systeem. Het vereist een combinatie van "mensen, processen en technologie", zegt Karmali.
Optimale efficiëntie wordt meestal bereikt wanneer SIEM-systemen samenwerken met firewalls, inbraakdetectie- / preventiesystemen, malwarebeschermingstoepassingen en andere besturingselementen.
Gevolgtrekking
De meeste bedrijfsbrede organisaties zijn veiliger met een functioneel en effectief SIEM-systeem; het kiezen van welk SIEM-systeem het beste past, kan echter een uitdaging zijn. Kleinere bedrijven zijn bijvoorbeeld beter af met een cloudoplossing die schaalbaarder en sneller te implementeren is. Voor grotere bedrijven zou het de moeite waard zijn om te investeren in een duurdere, hybride oplossing, waarbij de cloud en het pand beide hun eigen schaalvoordelen bieden.
Hoe dan ook, voor organisaties van elke omvang is de manier om optimale efficiëntie en een hoog rendement op de investering te bereiken, door toegewijd personeel te hebben voor voortdurende monitoring en onderhoud van het systeem.
Veel bedrijven implementeren een SIEM om nalevingsredenen en, als ze niet voldoende middelen hebben om het systeem te beheren, te onderhouden en te verfijnen, kunnen ze een zeer dure, ineffectieve logverzamelaar in handen krijgen.