Vad är SIEM och hur fungerar det?


SIEM-användningsfall

SIEM har många användningsfall i det moderna hotlandskapet inklusive upptäckt och förebyggande för interna och externa hot, som samt överensstämmelse med olika juridiska standarder.

SIEM-användning i överensstämmelse

Strängare regler för efterlevnad pressar företag att investera tyngre i IT-säkerhet och SIEMplays ett viktigt roll som hjälper organisationer att följa PCI DSS-, GDPR-, HIPAA- och SOX-standarder. Sådana efterlevnadsmandat blir allt vanligare och lägger ökat tryck på att upptäcka och rapportera brott. Medan SIEM ursprungligen användes huvudsakligen av stora företag, på grund av den ökande betoningen på efterlevnad och att hålla affärssäker, kan det krävas för små och medelstora företag eftersom regler som GDPR är tillämpliga på organisationer oavsett storlek.

IoT-säkerhet

Internet of Things (IoT) -marknaden växer. Gartner förutspådde att det kommer att finnas 26 miljarder anslutna enheter fram till 2020. Men med framsteg kommer risken eftersom fler anslutna enheter erbjuder fler ingångspunkter för att rikta in sig på företag eftersom så snart en hacker är på en del av ditt nätverk via en ansluten enhet kan de komma åt resten av det mycket lätt. De flesta IoTsolution-leverantörer tillhandahåller API och externa datalagrar som enkelt kan integreras i SIEM-lösningar. Detta gör SIEM-programvara och väsentlig del av ditt företags cybersäkerhet eftersom det kan mildra IoT-hot som DoS-attacker och flagga risk- eller kompromissanordningar som en del av din miljö.

Förebyggande av insiderhot

Externa hot är inte det enda som gör organisationer sårbara, insiderhot utgör en övervägande risk, särskilt med tanke på enkel åtkomst. SIEMsoftware tillåter organisationer att kontinuerligt övervaka anställdas handlingar och skapa varningar för oregelbundna händelser baserat på ”normal” aktivitet. Företag kan också använda SIEM för att genomföra detaljerad övervakning av privilegierade konton och skapa varningar relaterade till åtgärder som en viss användare inte får utföra, till exempel installation av programvara eller disablingsecurity-programvara.

Nästa generation gentemot äldre SIEM

SIEM har funnits sedan 2005 men har utvecklats betydligt sedan dess. Nästa generations SIEM har många uppgraderingar, förbättringar och nya möjligheter som dess föregångare inte kunde skryta med. SIEM: s begränsningar inkluderar:

  • SIEM kunde inte bearbeta all relevant information så dess syn var begränsad
  • SIEM var tidskrävande att underhålla eftersom programvaran var komplex och svår att driva
  • SIEM skapade tidsödande arbete för säkerhetsgrupper eftersom programvaran producerade många falska positiva effekter

I takt med att tekniken avancerade utvecklades attacker och SIEM måste utvecklas med det. Nästa generations programvara som FireEye inkluderar följande kapaciteter och fördelar:

  • Öppen, ”big data architecture” möjliggör snabbare integration med företagsinfrastruktur inklusive moln, på plats och BYOD som också är skalbar
  • SIEM kan också integrera hotinformation från anpassade källor och öppen källkod och kommersiella källor. Detta inkluderar möjligheten att mäta status mot reglerande ramar som PCI DSS) för riskprioritering och hantering
  • Beteendeanalys kan förstå händelsekontext och känna igen avsikt inom specifika scenarier. Genom att använda denna UserEntity Behavior Analytics (UEBA) kan programvaran framhäva betydande förändringar i beteende
  • Nästa generations SIEM är också anpassningsbar för att låta säkerhetsteam bygga skräddarsydda arbetsflöden baserat på deras unika situationer

Hur man får ut det mesta av SIEM-säkerhetslösningar

I ett traditionellt säkerhetsoperationscenter är incidentresponsprocesser följt av cybersäkerhetsteam runt om i världen ofta vanliga och kan ta timmar. SOAR automatiserar arbetsflöden och accelererar hotkvalificering, utredning och svar vilket minskar svarstiderna genom att automatisera stora delar av processen som hjälper säkerhetsgrupper att prioritera verkliga hot. Det gör detta genom att interagera med andra säkerhetsteknologier för att automatiskt utföra de första stegen för incidentrespons.

UEBA spelar också en viktig roll i SIEMs förmåga, eftersom det är möjligt att modellera beteendet hos både människor och även maskinerna med nätverk , som erbjuder avancerad hotdetektering.

Helix Security Platform

FireEyes molnhostade säkerhetsoperationsplattform, HelixSecurity Platform, samlar SOAR, UEBA och andra funktioner, och underhåller dem med nästa generations SIEM för att tillhandahålla en effektiv och enkel att implementera säkerhetslösning.

Läs mer om Helix och dess funktioner.

Write a Comment

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *