การจัดการเหตุการณ์ข้อมูลด้านความปลอดภัย (SIEM): สำหรับการลากยาว

ผู้เขียน: Eugene Taylor
วันที่สร้าง: 9 สิงหาคม 2021
วันที่อัปเดต: 20 มิถุนายน 2024
Anonim
The Integrated Security Operations Center (ISOC)
วิดีโอ: The Integrated Security Operations Center (ISOC)

เนื้อหา


ที่มา: Cuteimage / Dreamstime.com

Takeaway:

การรักษาความปลอดภัยข้อมูลและการจัดการเหตุการณ์ถือเป็นเครื่องมือที่ทรงพลังในด้านความปลอดภัยของระบบ

สำหรับองค์กรทั่วทั้งองค์กรจำนวนที่เพิ่มสูงขึ้นและความรุนแรงของการฝ่าฝืนข้อมูลในช่วงไม่กี่ปีที่ผ่านมาทำให้ต้นทุนการรักษาความปลอดภัยไซเบอร์เพิ่มขึ้นอย่างรวดเร็ว

ท่ามกลางความต้องการที่จะลงทุนในเทคโนโลยีที่ทันสมัยที่สุดโดยเร็วที่สุดเท่าที่จะเป็นไปได้มันมีความสำคัญมากขึ้นเรื่อย ๆ ที่จะเข้าใจว่ามีทางออกใดบ้างและเหมาะสมหรือไม่

หนึ่งในกลุ่มผลิตภัณฑ์ด้านความปลอดภัยที่เติบโตเร็วที่สุดคือเครื่องมือวิเคราะห์พฤติกรรมผู้ใช้เช่นข้อมูลความปลอดภัยและระบบการจัดการเหตุการณ์ (SIEM) ซึ่งรวบรวมข้อมูลจากบันทึกเหตุการณ์และการตรวจสอบความถูกต้องเพื่อสร้างพื้นฐานของกิจกรรมปกติแล้วใช้พื้นฐานนี้ ตรวจจับพฤติกรรมผู้ใช้ที่เป็นอันตรายและความผิดปกติอื่น ๆ (หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยโปรดดูที่นอกเหนือจากการกำกับดูแลและการปฏิบัติตาม: ทำไมความเสี่ยงด้านความปลอดภัยด้านไอทีจึงเป็นเรื่องสำคัญ)

หากอุปมาอุปมัยช่วยให้คิดว่าจอภาพ ICU ซึ่งการสังเกตอย่างต่อเนื่องจากจอแสดงผลส่วนกลางช่วยระบุความผิดปกติซึ่งในทางกลับกันจะกระตุ้นการแจ้งเตือนจากนั้นเริ่มการแก้ไขทันที และคล้ายกับการจัดวางอิเล็กโทรดบนผิวหนังของผู้ป่วยเพื่อสร้างท่อสำหรับการส่งสัญญาณการเต้นของหัวใจตัวแทนจะใช้เป็นตัวกลางในการเชื่อมต่อกับเซิร์ฟเวอร์และสร้างเส้นทางสำหรับการส่งข้อมูลไปยัง Virtual Log Collector (VLC)


สำหรับ บริษัท ที่สามารถจ่ายได้ข่าวของเทคโนโลยีนี้ก็เหมือนย้อนกลับไปในยุค 90 ที่สึนามิของบันทึกถูกวิปปิ้งโดยระบบตรวจจับการบุกรุกและป้องกันกำลังสร้างสุญญากาศมหาศาลสำหรับระบบการจัดการบันทึก อย่างไรก็ตามวันนี้เครื่องมือ SIEM มาไกลจากระบบ log-centric ที่มีไว้สำหรับการจัดการบันทึกเป็นหลักและมีค่าใช้จ่ายในการใช้งาน

ในช่วงไม่กี่ปีที่ผ่านมาเทคโนโลยี SIEM ได้ก้าวหน้ายิ่งขึ้นด้วยฟีเจอร์ต่าง ๆ เช่นการจับข้อมูลแพ็คเก็ตดิบและวิธีการเรียนรู้ของเครื่องเช่นความสัมพันธ์ของเหตุการณ์เพื่อช่วยระบุการคุกคามที่โดยทั่วไปจะผ่านการควบคุมเชิงป้องกัน “ การมุ่งสู่การตรวจจับการโจมตีอย่างต่อเนื่องและการป้องกันที่เหมาะสมเป็นการเดินทางและ SIEM เป็นเครื่องมือสำคัญในกระบวนการนั้น” Lalit Ahluwalia ผู้นำการรักษาความปลอดภัยของอเมริกาเหนือสำหรับภาคสาธารณะของ Accenture กล่าว

เพื่อให้องค์กรใด ๆ ในการปรับใช้ SIEM พวกเขาจะต้องผ่านขั้นตอนการรวบรวมความต้องการอย่างละเอียดซึ่งเส้นทางบันทึกเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยทั้งหมดที่ผลิตโดยอุปกรณ์สำคัญของพวกเขารวมถึงเครือข่าย VoIP ความปลอดภัยและเครื่องมือการบริหารระบบ .


เมื่อเสร็จสิ้นตัวแทนมิดเดิลแวร์จะถูกกำหนดค่าให้กับบันทึกเหล่านั้นไปยัง VLC ซึ่งจับแพ็กเก็ตข้อมูลดิบและเผยแพร่ไปยังโฮสต์ภัยคุกคามไซเบอร์ที่อำนวยความสะดวกในการตรวจจับและป้องกันภัยคุกคามโดยใช้อัลกอริทึมสำหรับการวิเคราะห์พฤติกรรมและระบบตรวจสอบการแจ้งเตือน

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

แต่ค่าใช้จ่ายในการดำเนินการและการเตรียมการเป็นเพียงส่วนหนึ่งของสมการ การตรวจสอบอย่างต่อเนื่องเป็นส่วนอื่น ๆ

ครึ่งหลัง

บริษัท ลูกค้าจะต้องมีบุคลากรเฉพาะเช่นวิศวกรรักษาความปลอดภัยของข้อมูลและสถาปนิกเพื่อให้แน่ใจว่ามีการส่งบันทึกใหม่ไปยังเอเจนต์ตัวกรองจะได้รับการปรับปรุงเพื่อลดผลบวกปลอมประสิทธิภาพได้รับการปรับอย่างสม่ำเสมอมีการตรวจสอบพื้นที่ดิสก์และโหลดบาลานซ์ โซลูชั่นจะดำเนินการเมื่อเครือข่ายเริ่มส่งเสียงแบนด์วิดท์มากขึ้น

มุมมองคลาวด์

หนึ่งในปัจจัยหลักที่กำหนดต้นทุนของ บริษัท ในการนำ SIEM มาใช้คือพวกเขาเลือกใช้บริการคลาวด์ (SIEMaaS) หรือไม่ เมื่อมี บริษัท จำนวนมากเข้ามาสู่ IaaS, SaaS และ PaaS มันจะมีเหตุผลมากขึ้นที่จะมีเทคโนโลยีที่รวมเข้ากับมันหรืออย่างน้อยตัวเลือกถ้าจำเป็น

เมื่อโซลูชันมีความยืดหยุ่นมากขึ้นมีแนวโน้มที่จะถูกกว่าและเร็วกว่าการนำไปใช้มากกว่าทางเลือกอื่น อย่างไรก็ตามเมื่อเปรียบเทียบกับโซลูชันในสถานที่การเชื่อมต่อกับอุปกรณ์อื่น ๆ อาจไม่ตรงไปตรงมา

แม้ว่าจะขึ้นอยู่กับแผนการสำรองข้อมูลของผู้ให้บริการ แต่ SIEMaaS จะให้ความปลอดภัยในการสำรองข้อมูลที่เชื่อถือได้มากขึ้นในกรณีที่เกิดความล้มเหลวเนื่องจากบริการคลาวด์ที่เข้าถึงได้มีโอกาสที่ดีกว่าในการเข้าพักในขณะที่ศูนย์ข้อมูลแยก ในทางกลับกันหากกระแสไฟฟ้าดับเกิดจากผู้ให้บริการคลาวด์ บริษัท ลูกค้าอาจประสบกับปัญหาทางเทคนิคมากมายในมือ

ผู้เชี่ยวชาญบางคนเชื่อว่าการเปิดเผย SIEM ไปยังคลาวด์สามารถเพิ่มพื้นผิวการโจมตีขององค์กรได้เนื่องจากแพลตฟอร์มเครือข่ายของพวกเขาแยกน้อยลง อย่างไรก็ตาม Rahim Karmali สถาปนิกผู้แก้ปัญหาด้านความปลอดภัยของ Hewlett Packard Enterprises เชื่อว่าไม่มีอะไรจะดีไปกว่าความจริง “ มันเป็นจุดเริ่มต้นที่คุณต้องกังวล - มือถือแท็บเล็ตแล็ปท็อป ฯลฯ บ่อยครั้งที่อุปกรณ์เหล่านั้นลอยอยู่บนเครือข่ายที่อาจไม่ปลอดภัย”

ข้อดี (SIEM โดยทั่วไป)

มุมมองของคลาวด์กันสิ่งที่ชัดเจนคือองค์กรจะดีกว่ากับ SIEM มากกว่าไม่มีใคร ข้อกำหนดการรายงานการปฏิบัติตามมาตรฐานหลายประการเช่นจากพระราชบัญญัติประกันสุขภาพและการพกพาและความรับผิดชอบ (HIPAA), มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) และกฎหมาย Sarbanes-Oxley (SOX) ได้รับการรวบรวมผ่านการรวบรวมบันทึกส่วนกลาง

การจัดการเหตุการณ์จะมีประสิทธิภาพมากขึ้นเนื่องจากไม่มีใครผ่านบันทึกด้วยตนเองเพื่อค้นหาเส้นทางของผู้โจมตีผ่านเครือข่ายหรือโฮสต์และเซิร์ฟเวอร์ทั้งหมดในเวกเตอร์การโจมตี แต่ระบบ SIEM จะระบุและเชื่อมโยงเหตุการณ์เหล่านี้จากมุมมองแบบตานกแล้วสร้างลำดับเหตุการณ์ใหม่เพื่อกำหนดลักษณะของการโจมตี

“ มันทำหน้าที่เป็นเครื่องมือในการเตือนด้วยความสามารถในการระบุเหตุการณ์ที่น่าสงสัยอย่างแม่นยำโดยเชื่อมโยงข้อมูลบันทึกจากแอปพลิเคชันฐานข้อมูลระบบปฏิบัติการเครือข่ายและอุปกรณ์รักษาความปลอดภัย” Ahluwalia กล่าว

การโจมตีที่ร้ายแรงจะไม่ถูกแยกอีกต่อไปและเหตุการณ์สามารถกระจายข้ามหลายระบบเพื่อหลีกเลี่ยงการตรวจจับ หากไม่มี SIEM อยู่เหตุการณ์ที่เป็นอันตรายอาจแพร่กระจายเหมือนไฟป่า

ผลิตภัณฑ์ SIEM บางอย่างยังมีความสามารถในการหยุดการโจมตีด้วยการแจ้งเตือนไปยังการควบคุมความปลอดภัยอื่น ๆ เช่นไฟร์วอลล์และระบบป้องกันการบุกรุก “ บริษัท ไม่สามารถใช้วิธีโต้ตอบกับสิ่งต่าง ๆ เช่นมัลแวร์และ ransomware ได้อีกต่อไป” Karmali กล่าว “ พวกเขาต้องการระบบที่ให้ข้อมูลอัจฉริยะที่สามารถดำเนินการได้” (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยดูที่การเข้ารหัสไม่เพียงพอ: 3 ความจริงที่สำคัญเกี่ยวกับความปลอดภัยของข้อมูล)

ข้อเสีย (SIEM โดยทั่วไป)

SIEM ดำเนินการอัตโนมัติหลายกิจกรรมที่ บริษัท จะใช้เวลาทำงานด้วยตนเองหลายชั่วโมง แต่ก็ต้องใช้ทักษะใหม่เพื่อรักษาประสิทธิภาพของมัน บริษัท ลูกค้าจะต้องมีส่วนร่วมอย่างแข็งขันจากทุกแผนกเพื่อให้แน่ใจว่ามีการส่งบันทึกที่ถูกต้องไปยังตัวแทนเพราะเครื่องมือความสัมพันธ์ทำงานได้อย่างมีประสิทธิภาพมากขึ้นเมื่อพวกเขาไม่ได้กรองข้อมูลที่ไม่เกี่ยวข้องหรือผลบวกปลอม ยิ่งองค์กรมีขนาดใหญ่เท่าใดก็จะยิ่งมีแนวโน้มมากขึ้นเท่านั้นที่บันทึกของมันจะครอบงำระบบ SIEM

นอกจากนี้แม้ว่าเทคโนโลยี SIEM ได้ก้าวหน้าไปมากตั้งแต่เริ่มก่อตั้งในปี 1996 แต่ไม่ใช่ระบบแบบสแตนด์อโลน มันต้องการการรวมกันของ“ คนกระบวนการและเทคโนโลยี” คาร์มาลิกล่าว

ประสิทธิภาพที่ดีที่สุดมักเกิดขึ้นได้เมื่อระบบ SIEM ทำงานร่วมกับไฟร์วอลล์ระบบตรวจจับ / ป้องกันการบุกรุกแอปพลิเคชันป้องกันมัลแวร์และการควบคุมอื่น ๆ

ข้อสรุป

องค์กรทั่วทั้งองค์กรส่วนใหญ่มีความปลอดภัยมากขึ้นด้วยระบบ SIEM ที่ใช้งานได้และมีประสิทธิภาพ อย่างไรก็ตามการเลือกระบบ SIEM ที่เหมาะสมที่สุดอาจเป็นสิ่งที่ท้าทาย ตัวอย่างเช่น บริษัท ขนาดเล็กลงจะดีกว่าด้วยโซลูชันคลาวด์ที่สามารถปรับขนาดได้และรวดเร็วยิ่งขึ้นในการติดตั้ง สำหรับ บริษัท ขนาดใหญ่มันจะคุ้มค่าที่จะลงทุนในโซลูชั่นไฮบริดที่มีราคาแพงกว่าซึ่งทั้งระบบคลาวด์และสถานที่ตั้งมีทั้งการประหยัดต่อขนาด

ไม่ว่าจะด้วยวิธีใดสำหรับองค์กรทุกขนาดวิธีที่จะทำให้เกิดประสิทธิภาพสูงสุดและผลตอบแทนการลงทุนสูงคือการให้พนักงานที่ทุ่มเทเพื่อทำการตรวจสอบและบำรุงรักษาระบบอย่างต่อเนื่อง

บริษัท หลายแห่งใช้ SIEM ด้วยเหตุผลด้านความสอดคล้องและหากพวกเขาไม่มีทรัพยากรเพียงพอที่จะจัดการดูแลและปรับแต่งระบบอาจจบลงด้วยการรวบรวมบันทึกที่มีราคาแพงมากและไม่มีประสิทธิภาพ