Hvad er SIEM, og hvordan fungerer det?


SIEM-brugssager

SIEM har mange brugssager i det moderne trussellandskab, herunder detektion og forebyggelse af interne og eksterne trusler, som samt overholdelse af forskellige juridiske standarder.

SIEM-anvendelse under overholdelse

Strammere compliance-regler presser virksomhederne til at investere mere i IT-sikkerhed og SIEMplays en vigtig rolle, der hjælper organisationer med at overholde PCI DSS-, GDPR-, HIPAA- og SOX-standarder. Sådanne overholdelsesmandater bliver mere og mere udbredte og lægger øget pres på afsløring og rapportering af brud. Mens SIEM oprindeligt hovedsageligt blev brugt af store virksomheder på grund af den voksende vægt på overholdelse og opretholdelse af forretningssikkerhed, kan det være nødvendigt for små og mellemstore virksomheder, da regler som GDPR finder anvendelse på organisationer uanset deres størrelse.

IoT-sikkerhed

Markedet for tingenes internet (IoT) vokser. Gartner forudsagde, at der vil være 26 milliarder tilsluttede enheder inden 2020. Men med fremskridt kommer der risiko, da flere tilsluttede enheder tilbyder flere indgangspunkter, hvor de kan målrette virksomheder, fordi så snart en hacker er på en del af dit netværk via en tilsluttet enhed, kan de få adgang til resten af det meget let. De fleste IoTsolution-leverandører leverer API og eksterne datalagre, der let kan integreres i SIEM-løsninger. Dette gør SIEM-software til en væsentlig del af din virksomheds cybersikkerhed, da den kan afbøde IoT-trusler som DoS-angreb og markere risikofyldte eller kompromitterende enheder som en del af dit miljø.

Forebyggelse af insidertrusler

Eksterne trusler er ikke det eneste, der gør organisationer sårbare, insidertrusler udgør en betragtelig risiko, især i betragtning af den lette adgang. SIEMsoftware giver organisationer mulighed for løbende at overvåge medarbejderhandlinger og oprette alarmer for uregelmæssige begivenheder baseret på ‘normal’ aktivitet. Virksomheder kan også bruge SIEM til at foretage granulær overvågning af privilegerede konti og oprette alarmer relateret til handlinger, som en given bruger ikke har tilladelse til at udføre, såsom installation af software eller deaktiveringssikkerhedssoftware.

Næste generation vs ældre SIEM

SIEM har eksisteret siden 2005, men har udviklet sig betydeligt siden sin oprindelse. Næste generations SIEM har mange opgraderinger, forbedringer og nye muligheder, som dens forgænger ikke kunne prale af. SIEM’s begrænsninger for legacy inkluderer:

  • SIEM kunne ikke behandle alle relevante data, så dens opfattelse var begrænset
  • SIEM var tidskrævende at vedligeholde, da softwaren var kompleks og vanskelig at drive
  • SIEM skabte tidsspildende arbejde for sikkerhedsteam, da softwaren producerede mange falske positive

Da teknologien avancerede, udviklede angreb sig, og SIEM måtte udvikle sig med det. Næste generations software såsom FireEye inkluderer følgende kapaciteter og fordele:

  • Åben, ‘big data architecture’ giver hurtigere integration med virksomhedsinfrastruktur, inklusive cloud, on-site og BYOD, som også er skalerbar
  • SIEM kan også integrere trusselsintelligens fra brugerdefinerede, open source og kommercielle kilder
  • Realtidsvisualiseringsværktøjer forstår de vigtigste højrisikoaktiviteter til at prioritere alarmer. Dette inkluderer evnen til at måle status mod regulatoriske rammer såsom PCI DSS) til risikoprioritering og -administration
  • Adfærdsanalyse kan forstå begivenhedskontekst og genkende hensigt inden for specifikke scenarier. Ved at bruge denne UserEntity Behavior Analytics (UEBA) er softwaren i stand til at fremhæve væsentlige ændringer i adfærd
  • Næste generations SIEM kan også tilpasses, så sikkerhedsteam kan oprette skræddersyede arbejdsgange baseret på deres unikke situation

Sådan får du mest ud af SIEM-sikkerhedsløsninger

I et traditionelt sikkerhedsoperationscenter er hændelsesresponsprocesser efterfulgt af cybersikkerhedsteams overalt i verden ofte standard og kan tage timer. SOAR automatiserer arbejdsgange og fremskynder kvalificering, undersøgelse og reaktion af trussel, hvilket reducerer svartider ved at automatisere store dele af processen, som hjælper sikkerhedsteam med at prioritere reelle trusler. Det gør det ved at interagere med andre sikkerhedsteknologier for automatisk at udføre de første trin i hændelsesrespons.

UEBA spiller også en vigtig rolle i SIEMs kapaciteter, da det er muligt at modellere både menneskers og maskiners opførsel med netværk , der tilbyder avanceret trusselsregistrering.

Helix Security Platform

FireEyes cloudhostede sikkerhedsoperationsplatform, HelixSecurity Platform, samler SOAR, UEBA og andre funktioner og opsætter dem med næste generation SIEM giver en effektiv og nem implementeringssikkerhedsløsning.

Læs mere om Helix og dens muligheder.

Write a Comment

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *