Hva er SIEM og hvordan fungerer det?


SIEM use cases

SIEM har mange use cases i det moderne trussellandskapet inkludert oppdagelse og forebygging av interne og eksterne trusler, som samt overholdelse av ulike juridiske standarder.

SIEM-bruk i samsvar

Strammere regelverk for overholdelse presser bedrifter til å investere tyngre i IT-sikkerhet og SIEMplays en viktig rolle, og hjelper organisasjoner å overholde PCI DSS-, GDPR-, HIPAA- og SOX-standarder. Slike overholdelsesmandater blir stadig mer utbredt og legger økt press på å oppdage og rapportere innbrudd. Selv om SIEM opprinnelig ble brukt hovedsakelig av store bedrifter, på grunn av den økende vekta på overholdelse og å holde forretningssikkerhet, kan det være nødvendig for små og mellomstore bedrifter fordi regler som GDPR gjelder for organisasjoner uavhengig av størrelse.

IoT-sikkerhet

Internet of Things (IoT) -markedet vokser. Gartner spådde at det vil være 26 milliarder tilkoblede enheter innen 2020. Men med fremgang kommer risikoen ettersom flere tilkoblede enheter tilbyr flere inngangspunkter for å målrette virksomheter fordi så snart en hacker er på en del av nettverket ditt via tilkoblet enhet, kan de få tilgang til resten av det veldig enkelt. De fleste IoTsolution-leverandører tilbyr API og eksterne datalagre som enkelt kan integreres i SIEM-løsninger. Dette gjør SIEM-programvare til en viktig del av virksomhetens cybersikkerhet, da den kan redusere IoT-trusler som DoS-angrep og markere risiko- eller kompromitteringsenheter som en del av miljøet ditt.

Forebygging av insidertrusler

Eksterne trusler er ikke det eneste som gjør organisasjoner sårbare, innsidertrusler utgjør en betydelig risiko, spesielt med tanke på enkel tilgang. SIEMsoftware tillater organisasjoner å kontinuerlig overvåke ansattes handlinger og opprette varsler for uregelmessige hendelser basert på ‘normal’ aktivitet. Bedrifter kan også bruke SIEM til å gjennomføre detaljert overvåking av privilegerte kontoer og opprette varsler relatert til handlinger en gitt bruker ikke har lov til å utføre, for eksempel installere programvare eller deaktiveringssikkerhetsprogramvare.

Neste generasjon mot eldre SIEM

SIEM har eksistert siden 2005, men har utviklet seg betydelig siden oppstarten. Neste generasjons SIEM har mange oppgraderinger, forbedringer og nye evner som forgjengeren ikke kunne skryte av. Begrensningene for SIEM fra legacy inkluderer:

  • SIEM kunne ikke behandle alle relevante data så synet var begrenset
  • SIEM var tidkrevende å vedlikeholde da programvaren var kompleks og vanskelig å operere
  • SIEM skapte tidssvinnende arbeid for sikkerhetsteam da programvaren produserte mange falske positive

Etter hvert som teknologien avanserte, utviklet angrepene seg og SIEM måtte utvikle seg med det. Neste generasjons programvare som FireEye inkluderer følgende funksjoner og fordeler:

  • Åpen, ‘big data architecture’ muliggjør raskere integrering med virksomhetsinfrastruktur, inkludert sky, on-site og BYOD som også er skalerbar
  • SIEM kan også integrere trusselinformasjon fra tilpassede, åpen kildekode og kommersielle kilder
  • Realtidsvisualiseringsverktøy forstår de viktigste høyrisikoaktivitetene for å prioritere varsler. Dette inkluderer muligheten for å måle status mot regulatoriske rammer som PCI DSS) for risikoprioritering og -administrasjon
  • Atferdsanalyse kan forstå hendelseskontekst og gjenkjenne hensikt innenfor spesifikke scenarier. Ved å bruke denne UserEntity Behavior Analytics (UEBA) er programvaren i stand til å fremheve betydelige endringer i atferd
  • Neste generasjons SIEM kan også tilpasses for å tillate sikkerhetsteam å lage skreddersydde arbeidsflyter basert på deres unike situasjoner

Hvordan få mest mulig ut av SIEM-sikkerhetsløsninger

I et tradisjonelt sikkerhetsoperasjonssenter er hendelsesrespons prosesser etterfulgt av cybersikkerhetsteam rundt om i verden ofte standard og kan ta timer. SOAR automatiserer arbeidsflyter og akselererer kvalifisering, etterforskning og respons som reduserer responstid ved å automatisere store deler av prosessen som hjelper sikkerhetsgrupper med å prioritere virkelige trusler. Den gjør dette ved å samhandle med andre sikkerhetsteknologier for automatisk å utføre de første trinnene i hendelsesrespons.

UEBA spiller også en viktig rolle i SIEMs evner, da det er mulig å modellere oppførselen til både mennesker og også maskinene med nettverk. , tilbyr avansert trusseldeteksjon.

Helix Security Platform

FireEyes skyhostede sikkerhetsoperasjonsplattform, HelixSecurity Platform, samler SOAR, UEBA og andre funksjoner, og tilpasser dem med neste generasjon SIEM for å tilby en effektiv og enkel å implementere sikkerhetsløsning.

Les mer om Helix og dens evner.

Write a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *