Mikä on SIEM ja miten se toimii?


SIEM-käyttötapaukset

SIEMillä on monia käyttötapauksia nykyaikaisessa uhka-ympäristössä, mukaan lukien sisäisten ja ulkoisten uhkien havaitseminen ja ehkäisy, kuten samoin kuin erilaisten lakisääteisten standardien noudattaminen.

SIEM-yhteensopivuus

Tiukemmat vaatimustenmukaisuusmääräykset kannustavat yrityksiä investoimaan enemmän IT-tietoturvaan, ja SIEM on tärkeä auttaa organisaatioita noudattamaan PCI DSS-, GDPR-, HIPAA- ja SOX-standardeja. Tällaiset vaatimustenmukaisuusmandaatit ovat yleistymässä ja aiheuttavat lisääntynyttä painetta rikkomusten havaitsemiseen ja ilmoittamiseen. Vaikka SIEMiä käyttivät alun perin suuret yritykset, vaatimustenmukaisuuden ja liiketoiminnan turvaamisen kasvavan painotuksen vuoksi sitä voidaan vaatia pienille ja keskisuurille yrityksille, koska GDPR: n kaltaisia säännöksiä voidaan soveltaa organisaatioihin niiden koosta riippumatta.

IoT-turvallisuus

Esineiden internetin (IoT) markkinat kasvavat. Gartner ennusti, että liitettyjä laitteita on 26 miljardia vuoteen 2020 mennessä. Edistyksen mukana on kuitenkin riski, että useampi kytketty laite tarjoaa enemmän sisääntulopisteitä, joiden kautta voidaan kohdistaa yrityksiin, koska heti kun hakkeri on yhdessä verkon osassa yhdistetyn laitteen kautta, he voivat käyttää loput hyvin helposti. Useimmat IoTsolution-toimittajat tarjoavat API- ja ulkoisia tietovarastoja, jotka voidaan helposti integroida SIEM-ratkaisuihin. Tästä syystä SIEM-ohjelmisto on olennainen osa yrityksesi kyberturvallisuutta, koska se voi lieventää esineiden internetin uhkia, kuten DoS-hyökkäyksiä, ja merkitä vaarassa olevia tai vaarantuneita laitteita osana ympäristöäsi.

Sisäpiirin uhkien ehkäisy

Ulkoiset uhkat eivät ole ainoat tekijät, jotka tekevät organisaatioista haavoittuvia, sisäpiirin uhkat aiheuttavat huomattavan riskin, erityisesti kun otetaan huomioon pääsyn helppous. SIEMsoftware antaa organisaatioille mahdollisuuden seurata jatkuvasti työntekijöiden toimia ja luoda hälytyksiä sääntöjenvastaisista tapahtumista perustuen ” normaaliin ” toimintaan. Yritykset voivat myös käyttää SIEMiä tarkkailemaan etuoikeutettuja tilejä perusteellisesti ja luomaan ilmoituksia toimista, joita tietty käyttäjän ei sallita suorittaa, kuten ohjelmistojen asentaminen tai käytöstä poisto-ohjelmisto.

Seuraava sukupolvi vs vanha SIEM

SIEM on ollut käytössä vuodesta 2005 lähtien, mutta on kehittynyt merkittävästi syntymän jälkeen. Seuraavan sukupolven SIEM: ssä on monia päivityksiä, parannuksia ja uusia ominaisuuksia, joista edeltäjänsä ei voinut ylpeillä. Legacy-SIEM: n rajoituksia ovat:

  • SIEM ei voinut käsitellä kaikkia asiaankuuluvia tietoja, joten sen näkymä oli rajallinen
  • SIEM: n ylläpito oli aikaa vievää, koska ohjelmisto oli monimutkainen ja vaikea toimia
  • SIEM loi aikaa vievää työtä tietoturvaryhmille, kun ohjelmisto tuotti paljon vääriä positiivisia tuloksia.

Teknologian edetessä hyökkäykset kehittyivät ja SIEMin oli kehityttävä. Seuraavan sukupolven ohjelmistot, kuten FireEye, sisältävät seuraavat valmiudet ja edut:

  • Avoin, ’big data -arkkitehtuuri’ mahdollistaa nopeamman integroinnin yritysinfrastruktuurin kanssa, mukaan lukien pilvi, paikan päällä ja BYOD, joka on myös skaalautuva
  • SIEM voi myös integroida uhkatiedustelun mukautetuista, avoimen lähdekoodin ja kaupallisista lähteistä.
  • Reaaliaikavisualisointityökalut ymmärtävät tärkeimmät, riskialttiimmat toiminnot hälytysten priorisointiin. Tähän sisältyy kyky mitata tila suhteessa sääntelykehyksiin, kuten PCI DSS) uudelleensuuntaamiseen ja hallintaan.
  • Käyttäytymisanalytiikka voi ymmärtää tapahtumakontekstia ja tunnistaa tarkoituksen erityisskenaarioissa. Käyttämällä tätä UserEntity Behavior Analyticsia (UEBA) ohjelmisto pystyy korostamaan merkittäviä muutoksia käyttäytymisessä.
  • Seuraavan sukupolven SIEM on myös muokattavissa, jotta tietoturvaryhmät voivat rakentaa räätälöityjä työnkulkuja ainutlaatuisten tilanteidensa mukaan.

Kuinka saada kaiken irti SIEM-tietoturvaratkaisuista

Perinteisessä turvaoperaatiokeskuksessa hätätilanteiden käsittelyprosessit, joita kyberturvallisuusryhmät seuraavat ympäri maailmaa, ovat usein standardeja ja voivat kestää tunteja. SOAR automatisoi työnkulut ja nopeuttaa uhkien pätevöintiä, tutkimuksia ja vastauksia, mikä lyhentää vasteaikoja automatisoimalla suuren osan prosessista, mikä auttaa suojaustiimejä priorisoimaan todelliset uhat. Se tekee tämän vuorovaikutuksessa muiden tietoturvatekniikoiden kanssa, jotta tapahtumien reagoinnin alkuvaiheet voidaan suorittaa automaattisesti.

UEBA: lla on myös tärkeä osa SIEM: n kyvyssä, koska on mahdollista mallintaa sekä ihmisten että koneiden käyttäytymistä verkkoyhteydellä , joka tarjoaa edistyksellisen uhkien havaitsemisen.

Helix Security Platform

FireEyen pilvessä isännöity tietoturvaoperaatioalusta, HelixSecurity Platform, yhdistää SOAR-, UEBA- ja muut ominaisuudet ja ottaa ne käyttöön uuden sukupolven kanssa SIEM tarjoaa tehokkaan ja helppokäyttöisen tietoturvaratkaisun.

Lue lisää Helixistä ja sen ominaisuuksista.

Write a Comment

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *