Wat is SIEM en hoe werkt het?

SIEM-use-cases

SIEM kent veel use-cases in het moderne dreigingslandschap, waaronder detectie en preventie van interne en externe dreigingen, zoals evenals naleving van verschillende wettelijke normen.

SIEM-gebruik in overeenstemming

Strengere nalevingsregels zetten bedrijven ertoe aan om zwaarder te investeren in IT-beveiliging en SIEM speelt een belangrijke rol en helpt organisaties te voldoen aan PCI DSS, GDPR, HIPAA en SOX-normen. Dergelijke nalevingsmandaten komen steeds vaker voor en leggen een grotere druk op het opsporen en melden van inbreuken. Hoewel SIEM aanvankelijk voornamelijk door grote ondernemingen werd gebruikt, kan het vanwege de groeiende nadruk op compliance en het veilig houden van het bedrijf nodig zijn voor kleine en middelgrote bedrijven, omdat regelgeving zoals GDPR van toepassing is op organisaties, ongeacht hun grootte.

IoT-beveiliging

De Internet of Things (IoT) -markt groeit. Gartner voorspelde dat er in 2020 26 miljard verbonden apparaten zullen zijn. Maar met de vooruitgang komen risico’s met zich mee, aangezien meer verbonden apparaten meer toegangspunten bieden om bedrijven te targeten, want zodra een hacker zich op een deel van uw netwerk bevindt via een verbonden apparaat, hebben ze toegang tot de rest ervan heel gemakkelijk. De meeste leveranciers van IoT-oplossingen bieden API- en externe gegevensopslagplaatsen die eenvoudig kunnen worden geïntegreerd in SIEM-oplossingen. Dit maakt SIEM-software een essentieel onderdeel van de cyberveiligheid van uw bedrijf, aangezien het IoT-bedreigingen zoals DoS-aanvallen kan verminderen en risicovolle of gecompromitteerde apparaten kan markeren als onderdeel van uw omgeving.

Preventie van bedreigingen van binnenuit

Externe bedreigingen zijn niet de enige dingen die organisaties kwetsbaar maken, maar bedreigingen van binnenuit vormen een aanzienlijk risico, vooral gezien de gemakkelijke toegang. SIEM-software stelt organisaties in staat om continu de acties van werknemers te volgen en waarschuwingen te maken voor onregelmatige gebeurtenissen op basis van ‘normale’ activiteit. Bedrijven kunnen SIEM ook gebruiken om gedetailleerde bewaking van geprivilegieerde accounts uit te voeren en waarschuwingen te maken met betrekking tot acties die een bepaalde gebruiker niet mag uitvoeren, zoals het installeren van software of beveiligingssoftware uitschakelen.

Volgende generatie versus legacy SIEM

SIEM bestaat al sinds 2005, maar is aanzienlijk geëvolueerd sinds het ontstaan ervan. SIEM van de volgende generatie heeft veel upgrades, verbeteringen en nieuwe mogelijkheden die zijn voorganger niet kon opscheppen. De beperkingen van oude SIEM zijn onder meer:

  • SIEM kon niet alle relevante gegevens verwerken, dus de weergave ervan was beperkt
  • SIEM kostte veel tijd om te onderhouden, aangezien de software complex en moeilijk was Om te werken
  • SIEM zorgde voor tijdverspilling voor beveiligingsteams, aangezien de software veel valse positieven produceerde.

Naarmate de technologie vorderde, evolueerden de aanvallen en SIEM moest daarmee evolueren. Software van de volgende generatie, zoals FireEye, biedt de volgende mogelijkheden en voordelen:

  • Open, ‘big data-architectuur’ maakt snellere integratie mogelijk met bedrijfsinfrastructuur, waaronder cloud, on-site en BYOD, die ook schaalbaar is
  • SIEM kan ook informatie over bedreigingen uit aangepaste, open-source en commerciële bronnen integreren.
  • Realtime visualisatietools begrijpen de belangrijkste, risicovolle activiteiten om prioriteit te geven aan waarschuwingen. Dit omvat de mogelijkheid om de status te meten aan de hand van regelgevingskaders zoals PCI DSS) voor risicoprioritering en -beheer
  • Gedragsanalyses kunnen de context van gebeurtenissen begrijpen en de intentie binnen specifieke scenario’s herkennen. Door deze UserEntity Behavior Analytics (UEBA) te gebruiken, kan de software significante gedragsveranderingen onder de aandacht brengen.
  • SIEM van de volgende generatie is ook aanpasbaar zodat beveiligingsteams op maat gemaakte workflows kunnen bouwen op basis van hun unieke situaties.

Hoe u het meeste uit SIEM-beveiligingsoplossingen kunt halen

In een traditioneel beveiligingscentrum zijn incidentresponsprocessen gevolgd door cyberbeveiligingsteams over de hele wereld vaak standaard en kunnen uren duren. SOAR automatiseert workflows en versnelt de kwalificatie, het onderzoek en de respons van bedreigingen, waardoor de reactietijd wordt verkort door grote delen van het proces te automatiseren, waardoor beveiligingsteams prioriteit kunnen geven aan echte bedreigingen. Het doet dit door interactie met andere beveiligingstechnologieën om automatisch de eerste stappen van incidentrespons uit te voeren.

UEBA speelt ook een belangrijke rol in de capaciteiten van SIEM, aangezien het mogelijk is om het gedrag van zowel mensen als machines te modelleren met een netwerk. , en biedt geavanceerde detectie van bedreigingen.

Helix Security Platform

FireEye’s cloud-gehoste beveiligingsplatform, het HelixSecurity Platform, brengt SOAR, UEBA en andere functies samen en voegt deze toe aan de volgende generatie SIEM om een efficiënte en eenvoudig te implementeren beveiligingsoplossing te bieden.

Lees meer over Helix en zijn mogelijkheden.

Write a Comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *