Η ολιστική ορατότητα της ασφάλειας σε ένα οργανισμό
Η αγορά των λύσεων Security Information and Event Management (SIEM) αναμένεται να αναπτυχθεί κατά 5,93 δισ. δολάρια μέχρι το 2021, σύμφωνα με μία νέα έρευνα αγοράς από την Technavio. Η μελέτη «Global Security Information and Event Management Market 2017-2021» εκτιμά ότι η αγορά του SIEM θα αναπτυχθεί με σύνθετο ετήσιο ποσοστό αύξησης (CAGR) άνω του 12% στα επόμενα 4 χρόνια.
Του Δημήτρη Θωμαδάκη
Είναι γεγονός, ότι η τεχνολογία SIEM που αναπτύχθηκε προκειμένου να προσφέρει μια ολιστική εικόνα και διαχείριση για το IT Security των οργανισμών και των επιχειρήσεων, παρουσιάζει μια σημαντική δυναμική ενώ η αποδοχή και η υιοθέτηση της από τις επιχειρήσεις θα αυξάνεται συνεχώς.
Προκειμένου να προσφέρουν μια πλήρη εικόνα και ανάλυση σε πραγματικό χρόνο των ειδοποιήσεων και θεμάτων ασφάλειας σε μία δικτυακή υποδομή πληροφοριακών συστημάτων, τα συστήματα SIEM συνδυάζουν πολλαπλές λειτουργίες. Η βασική τους λειτουργία, είναι να συλλέγουν data logs ασφαλείας από ένα μεγάλο εύρος πηγών εντός του οργανισμού, όπως συστήματα ελέγχου ασφαλείας, λειτουργικά συστήματα και εφαρμογές. Όταν το SIEM αποκτήσει τα log δεδομένα, τα επεξεργάζεται για να τα προσαρμόσει σε συγκεκριμένη μορφή, κάνει ανάλυση των μορφοποιημένων δεδομένων, εκδίδει ειδοποιήσεις όταν ανιχνεύσει ύποπτες δραστηριότητες και παράγει αναφορές όταν ζητηθούν από τους διαχειριστές του SIEM. Κάποια προϊόντα SIEM μπορούν επίσης να μπλοκάρουν κακόβουλες ενέργειες, όπως την εκτέλεση scripts που αλλάζουν ρυθμίσεις στα firewalls και σε άλλα συστήματα ελέγχου ασφαλείας.
Τα συστήματα SIEM είναι διαθέσιμα σε διάφορες μορφές, όπως cloud-based, συσκευές hardware, virtual συσκευές, αλλά και ως τυπικό λογισμικό για servers. Κάθε τύπος SIEM έχει σχεδόν παρόμοιες δυνατότητες, έτσι οι διαφορές τους έγκεινται κυρίως στο κόστος και στις επιδόσεις. Το SIEM προσφέρει μία συνολική, ενοποιημένη ματιά όχι μόνο στην υποδομή, αλλά επίσης και στη ροή εργασίας, στη δυνατότητα κανονιστικής συμμόρφωσης και στη διαχείριση των logs. Το SIEM μπορεί να παρέχει αποτελεσματικά ένα πλήθος δυνατοτήτων και υπηρεσιών, όπως:
- Συλλογή events και logs: Μπορεί να έχει διάφορες μορφές, ειδικά στις εσωτερικές εφαρμογές.
- Ορατότητες πολλαπλών επιπέδων ή ετερογενείς: Έχει συνήθως τη μορφή «dashboard» ή «views».
- Κανονικοποιήση: Μία λειτουργία δύο επιπέδων. Αυτό περιλαμβάνει τη μετάφραση υπολογιστικής ορολογίας σε εύκολα αναγνώσιμα δεδομένα, που μπορούν να προβληθούν αλλά και τη χαρτογράφηση δεδομένων σε κατηγορίες και χαρακτηριστικά που έχουν οριστεί από τον πάροχο. Αυτό συνήθως λέγεται «field mapping».
- Συσχέτιση: Ουσιαστικά βάζει τα δεδομένα σε πλαίσιο και σχηματίζει σχέσεις βασισμένες σε κανόνες, αρχιτεκτονική και ειδοποιήσεις. Μπορεί να γίνεται βάσει ιστορικού ή σε πραγματικό χρόνο.
- Προσαρμοστικότητα: Βασικά είναι η δυνατότητα κατανόησης της εκάστοτε γλώσσας, ανεξάρτητα από τον πάροχο, τη μορφή, τον τύπο, τις αλλαγές ή τις απαιτήσεις συμμόρφωσης.
- Αναφορές και ειδοποιήσεις: Μπορεί να χρησιμοποιηθεί όχι μόνο για να δείχνει ποια δεδομένα έχουν αξία για τους διαχειριστές, αλλά επίσης για να παρέχει αυτοματοποιημένη επαλήθευση μέσω συνεχούς παρακολούθησης, τάσεων και ελέγχων. Μπορεί κάποιος να πει ότι ο έλεγχος είναι έτσι κι αλλιώς στοιχειώδης λειτουργία, αλλά το SIEM από μόνο του δεν μπορεί να κάνει κάτι. Είναι σαν απόστρατος στρατηγός χωρίς στράτευμα, ή σαν SQL χωρίς πίνακες και δεδομένα.
- Διαχείριση logs: Η δυνατότητα αποθήκευσης events και logs σε μία κεντρική τοποθεσία, επιτρέποντας παράλληλα την εφαρμογή αποθήκευσης των κανονιστικών συμμορφώσεων ή των απαιτήσεων διατήρησης. Και πάλι κάποιος μπορεί να αμφισβητήσει ότι αυτό πρέπει να αποτελεί ξεχωριστή λειτουργία, αλλά δεν είναι έτσι.
Τα βασικά οφέλη των SIEM
Τα οφέλη των προϊόντων SIEM επιτρέπουν σε έναν οργανισμό να αποκτά μία πολύ καλύτερη εικόνα των events ασφαλείας. Συγκεντρώνοντας δεδομένα των logs ασφαλείας από τα συστήματα ελέγχου ασφαλείας της επιχείρησης, λειτουργικά συστήματα, εφαρμογές και άλλα προγράμματα, το SIEM μπορεί να αναλύει μεγάλο όγκο δεδομένων ασφαλείας ώστε να αναγνωρίζει τις επιθέσεις και τις ευπάθειες που αυτές κρύβουν. Το SIEM συχνά μπορεί να αναγνωρίζει κακόβουλη δραστηριότητα που καμία μεμονωμένη πηγή δεν θα μπορούσε. Αυτό γίνεται γιατί το SIEM είναι το μοναδικό σύστημα ελέγχου ασφαλείας με πεδίο ορατότητας πραγματικά σε όλη την επιχείρηση.
Το SIEM, χρησιμοποιείται για διάφορους σκοπούς. Ένας από τους πιο συνήθεις είναι ο εξορθολογισμός των αναφορών για πρωτοβουλίες συμμόρφωσης ασφαλείας, όπως τα HIPAA, PCI DSS και SOX, τοποθετώντας σε κεντρικό σημείο τα δεδομένα των logs και παρέχοντας ενσωματωμένη υποστήριξη για να ικανοποιεί τις απαιτήσεις αναφοράς κάθε πρωτοβουλίας. Άλλος ένας συνήθης σκοπός είναι η ανίχνευση συμβάντων, που σε διαφορετική περίπτωση θα ξέφευγαν από τον έλεγχο, και η δυνατότητα να σταματούν τις επιθέσεις σε εξέλιξη, ώστε να περιορίζουν τη ζημιά τους, όταν είναι δυνατό. Το SIEM μπορεί να αποδειχτεί πολύτιμο στη βελτίωση ενεργειών διαχείρισης, τόσο μειώνοντας τη χρήση πόρων, όσο και επιτρέποντας τις γρηγορότερες αποκρίσεις στα συμβάντα, κάτι που βοηθάει επίσης στον περιορισμό της ζημιάς.
Τα συστήματα SIEM είναι σχεδιασμένα για να συλλέγουν events από logs ασφαλείας, από διάφορες πηγές σε μία επιχείρηση και να αποθηκεύουν τα σχετικά δεδομένα σε κεντρικό σημείο. Συγκεντρώνοντας όλα τα δεδομένα των logs, τα προϊόντα SIEM επιτρέπουν την κεντρική ανάλυση και τις αναφορές των events ασφαλείας σε μία εταιρεία. Η ανάλυση μπορεί να έχει ως αποτέλεσμα την ανίχνευση επιθέσεων που δεν βρέθηκαν μέσω άλλων μεθόδων, ενώ κάποια προϊόντα SIEM έχουν δυνατότητα να σταματήσουν τις επιθέσεις που ανιχνεύουν, με την προϋπόθεση αυτές να εκτελούνται την ώρα της ανίχνευσης.
Τα προϊόντα SIEM είναι διαθέσιμα εδώ και πολλά χρόνια, όμως στην αρχική μορφή τους απευθύνονταν σε μεγάλους οργανισμούς με εξεζητημένες δυνατότητες ασφαλείας και μεγάλη στελέχωση αναλυτών ασφαλείας. Σχετικά πρόσφατα, εμφανίστηκαν συστήματα SIEM κατάλληλα για τις ανάγκες μικρών και μεσαίων επιχειρήσεων. Οι αρχιτεκτονικές SIEM που διατίθενται σήμερα περιλαμβάνουν λογισμικό SIEM, εγκατεστημένο σε τοπικό server, τοπικό hardware ή virtual λύση αφιερωμένη στο SIEM και μία δημόσια cloud υπηρεσία SIEM.
Διάφορες εταιρείες χρησιμοποιούν συστήματα SIEM για διαφορετικούς σκοπούς και έτσι τα οφέλη τους διαφέρουν από εταιρεία σε εταιρεία. Σε αυτό το άρθρο εξετάζουμε μεταξύ άλλων τα τρία κυριότερα οφέλη του SIEM για τις επιχειρήσεις που είναι τα εξής:
- Απλοποιημένες αναφορές κανονιστικής συμμόρφωσης
- Ανίχνευση συμβάντων που είναι δύσκολο να εντοπιστούν
- Βελτιωμένη αποτελεσματικότητα διαχείρισης συμβάντων
Απλοποιημένες αναφορές κανονιστικής συμμόρφωσης
Πολλές εταιρείες χρησιμοποιούν SIEM αποκλειστικά γι’ αυτό το όφελος. Για τον εξορθολογισμό και την απλοποίηση των αναφορών κανονιστικής συμμόρφωσης μέσω μίας κεντρικής λύσης καταγραφής των logs. Κάθε πηγή, της οποίας τα καταγεγραμμένα events ασφαλείας πρέπει να περιλαμβάνονται στις αναφορές, μεταφέρει τακτικά τα δεδομένα των logs στον SIEM server. Ένας μόνο SIEM server λαμβάνει δεδομένα των logs από πολλαπλές πηγές και μπορεί να εκδώσει μία αναφορά η οποία περιλαμβάνει όλα τα σχετικά καταγεγραμμένα events ασφαλείας μεταξύ αυτών των πηγών.
Μία εταιρεία χωρίς SIEM είναι απίθανο να έχει ικανότητα ισχυρής κεντρικής καταγραφής logs, ώστε να δημιουργεί πλούσιες παραμετροποιήσιμες αναφορές, όπως αυτές που χρειάζονται για τις περισσότερες περιπτώσεις αναφοράς συμμόρφωσης. Σε ένα τέτοιο περιβάλλον, ίσως είναι απαραίτητη η έκδοση μεμονωμένων αναφορών για κάθε πηγή, ή και η χειροκίνητη άντληση δεδομένων σταδιακά από κάθε πηγή, ώστε να ανασυνταχτούν σε ένα κεντρικό σημείο και να εκδοθεί μία μόνο αναφορά. Το τελευταίο μπορεί να είναι απίστευτα δύσκολο, κυρίως λόγω διαφορετικών λειτουργικών συστημάτων, εφαρμογών και άλλων προγραμμάτων που μπορεί να καταγράφουν events ασφαλείας με διάφορους τρόπους το καθένα. Η μετατροπή όλων αυτών των πληροφοριών σε μία ενιαία μορφή μπορεί να απαιτήσει εκτεταμένη ανάπτυξη ή και προσαρμογή κώδικα.
Άλλος ένας λόγος που τα SIEM είναι τόσο χρήσιμα στον εξορθολογισμό των αναφορών συμμόρφωσης, είναι ότι συχνά έχουν ενσωματωμένη υποστήριξη για τις πιο κοινές περιπτώσεις συμμόρφωσης. Οι δυνατότητες αναφοράς που έχουν είναι συμβατές με τις απαιτήσεις αναφοράς που επιβάλλουν οι πρωτοβουλίες συμμόρφωσης όπως οι Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) και Sarbanes-Oxley Act (SOX). Εκμεταλλευόμενη το SIEM, μία εταιρεία μπορεί να εξοικονομήσει πολύτιμο χρόνο και πόρους, προσπαθώντας να ικανοποιήσει τις απαιτήσεις αναφορών συμμόρφωσης, ειδικά αν υπόκεινται σε πάνω από μία πρωτοβουλίες συμμόρφωσης.
Ανίχνευση συμβάντων που είναι δύσκολο να εντοπιστούν
Υπάρχουν δύο κύριοι λόγοι που το SIEM μπορεί να ανιχνεύει συμβάντα τα οποία σε διαφορετική περίπτωση θα ξέφευγαν από τον έλεγχο. Ο πρώτος και πιο απλός, είναι ότι πολλές πηγές που καταγράφουν events ασφαλείας δεν έχουν ενσωματωμένες δυνατότητες ανίχνευσης συμβάντων. Παρ’ όλο που αυτές οι πηγές μπορούν να παρακολουθούν events και να εκδίδουν σχετικές εγγραφές ελέγχου στα logs, δεν έχουν την ικανότητα να αναλύουν αυτές τις εγγραφές ώστε να αναγνωρίζουν σημεία κακόβουλης δραστηριότητας. Στην καλύτερη περίπτωση, αυτές οι πηγές, όπως τα laptops και οι desktop υπολογιστές των χρηστών, ίσως καταφέρουν να ειδοποιήσουν κάποιον υπεύθυνο, όταν πραγματοποιηθεί ένας συγκεκριμένος τύπος event.
Ο δεύτερος λόγος για τις εξελιγμένες δυνατότητες ανίχνευσης των SIEM, είναι ότι μπορούν να συσχετίζουν events μεταξύ πολλαπλών πηγών. Συγκεντρώνοντας events από διαφορετικές πηγές ενός οργανισμού, το SIEM μπορεί να δει επιθέσεις που αποτελούνται από διάφορα τμήματα, το καθένα από τα οποία είναι ορατό σε διαφορετικές πηγές και κατόπιν να αναδομεί τη σειρά των events ώστε να διαπιστώνει τη φύση της επίθεσης και αν ήταν επιτυχής ή όχι. Με άλλα λόγια, ενώ ένα σύστημα πρόληψης δικτυακών εισβολών ίσως δει κάποιο τμήμα της επίθεσης, το SIEM μπορεί να εξετάσει τα δεδομένα του log για όλα τα events και να διαπιστώσει αν ένα laptop ήταν μολυσμένο με malware, το οποίο με τη σειρά του συνδέθηκε σε κάποιο botnet και ξεκίνησε επιθέσεις κατά άλλων πηγών.
Είναι σημαντικό να αντιληφθούμε γιατί το SIEM δεν αντικαθιστά τα συστήματα ελέγχου ασφάλειας της επιχείρησης για ανίχνευση επιθέσεων, όπως συστήματα πρόληψης εισβολών, firewalls και antivirus. Το SIEM από μόνο του δεν μπορεί να είναι χρήσιμο, επειδή δεν έχει καμία δυνατότητα απ’ευθείας παρακολούθησης των events ασφαλείας την ώρα που πραγματοποιούνται σε όλη την επιχείρηση. Το SIEM έχει σχεδιαστεί για να χρησιμοποιεί τα δεδομένα των logs καθώς καταγράφονται από άλλα προγράμματα.
Πολλά προϊόντα SIEM έχουν επίσης τη δυνατότητα αποτροπής των επιθέσεων που ανιχνεύουν, όσο αυτές οι επιθέσεις εκτελούνται. Το ίδιο το SIEM δεν σταματάει απ’ ευθείας μία επίθεση, αλλά επικοινωνεί με άλλα συστήματα ελέγχου ασφαλείας της επιχείρησης, όπως firewalls και τα κατευθύνει για να αλλάζουν τις ρυθμίσεις τους, ώστε να μπλοκάρουν την κακόβουλη δραστηριότητα. Αυτό επιτρέπει στο SIEM να προλαμβάνει επιθέσεις πριν ολοκληρωθούν, οι οποίες μπορεί να μην ανιχνεύονταν από άλλα συστήματα της επιχείρησης.
Βελτιωμένη αποτελεσματικότητα διαχείρισης συμβάντων
Άλλο ένα από τα οφέλη των λύσεων SIEM είναι ότι αυξάνουν σημαντικά την αποτελεσματικότητα της διαχείρισης συμβάντων, εξοικονομώντας χρόνο και πόρους για τους διαχειριστές. Η πιο αποτελεσματική διαχείριση συμβάντων εν τέλει, επιταχύνει τον περιορισμό τους και κατά συνέπεια μειώνει τη ζημιά που μπορούν να προκαλέσουν. Το SIEM βελτιώνει την αποτελεσματικότητα διαχείρισης συμβάντων, κυρίως παρέχοντας ένα μόνο interface για την προβολή όλων των δεδομένων από τα logs ασφαλείας, από πολλαπλές πηγές.
Παραδείγματα επίσπευσης της διαχείρισης συμβάντων:
- Επιτρέπει σε ένα διαχειριστή συμβάντων να αναγνωρίζει γρήγορα την πορεία μίας επίθεσης σε όλους τους πόρους του οργανισμου.
- Επιτρέπει τη γρήγορη αναγνώριση όλων των πηγών που επηρεάστηκαν από μία συγκεκριμένη επίθεση.
- Παρέχει αυτοματοποιημένους μηχανισμούς που προσπαθούν να σταματούν επιθέσεις σε εξέλιξη και να περιορίζουν μολυσμένες πηγές.
7 ερωτήματα πριν επιλέξετε SIEM
Σήμερα στην αγορά υπάρχουν πολλά διαθέσιμα συστήματα SIEM, μεταξύ των οποίων και πιο “light” επιλογές, σχεδιασμένες για εταιρείες που δεν έχουν τον απαιτούμενο προϋπολογισμό ή απλά δεν χρειάζονται ένα SIEM πλήρων χαρακτηριστικών. Η απόφαση για την επιλογή της λύσης SIEM, αποτελεί σίγουρα μια πρόκληση. Μέρος της διαδικασίας αξιολόγησης ενός SIEM προϊόντος, θα πρέπει να περιλαμβάνει τη δημιουργία λίστας κριτηρίων τα οποία τονίζουν τις δυνατότητες του που είναι ιδιαίτερα σημαντικές για την τελική απόφαση. Από αυτά τα κριτήρια μπορούμε να επιλέξουμε τα παρακάτω 7, με την μορφή των αντίστοιχων ερωτήσεων.
- Πόση εγγενή υποστήριξη παρέχει το SIEM για σχετικές πηγές των logs;
Το SIEM έχει μικρή αξία αν δεν μπορεί να λάβει και να κατανοήσει δεδομένα των logs από όλες τις σημαντικές πηγές που τα παράγουν. Οι πιο προφανείς είναι τα συστήματα ελέγχου ασφαλείας της εταιρείας, όπως firewalls, VPN, συστήματα πρόληψης εισβολών, gateways ασφαλείας για web και email, όπως και προϊόντα antimalware. Είναι λογικό να περιμένετε από το SIEM να κατανοεί εγγενώς τα αρχεία logs που δημιουργούνται από κάθε σημαντικό προϊόν ή υπηρεσία cloud, από αυτές τις κατηγορίες.
- Μπορεί το SIEM να συμπληρώσει τις υπάρχουσες δυνατότητες καταγραφής logs;
Συγκεκριμένες εφαρμογές και άλλα προγράμματα που χρησιμοποιεί ένας οργανισμός, μπορεί να στερούνται ισχυρών δυνατοτήτων καταγραφής logs. Κάποια προϊόντα και υπηρεσίες SIEM μπορούν να λειτουργήσουν συμπληρωματικά, εκτελώντας τις δικές τους διαδικασίες παρακολούθησης, εκ μέρους άλλων προγραμμάτων. Ουσιαστικά, έτσι επεκτείνεται το SIEM από μία λύση αυστηρά κεντρικής συλλογής logs, ανάλυσης και αναφοράς, σε μια λύση παραγωγής επίσης εκδίδοντας επίσης καθαρά δεδομένα των logs εκ μέρους άλλων πηγών.
- Πόσο αποτελεσματικά μπορεί το SIEM να χρησιμοποιήσει Threat Intelligence;
Οι περισσότερες λύσεις SIEM έχουν τη δυνατότητα να χρησιμοποιήσουν threat intelligence feeds, που είτε παρέχονται από τον κατασκευαστή της λύσης είτε αποκτήθηκα απευθείας από τον πελάτη μέσω τρίτου. Τα threat intelligence feeds περιλαμβάνουν κρίσιμες πληροφορίες για τα χαρακτηριστικά των πρόσφατων απειλών ανά τον κόσμο, ώστε να καθιστούν εφικτό τον εντοπισμό κακόβουλης δραστηριότητας ταχύτερα και πιο αξιόπιστα.
- Τι δυνατότητες forensic μπορεί να προσφέρουν τα προϊόντα SIEM;
Παραδοσιακά, τα SIEM προϊόντα απλά συνέλεγαν δεδομένα από άλλες πηγές καταγραφής logs. Πρόσφατα όμως, κάποια προϊόντα SIEM έχουν προσθέσει διάφορες δυνατότητες forensic έτσι ώστε να μπορούν συλλέγουν και δικά τους δεδομένα σχετικά με ύποπτες δραστηριότητες. Ένα σύνηθες παράδειγμα είναι η δυνατότητα συλλογής full-packet δεδομένων μίας δικτυακής σύνδεσης με ιστορικό κακόβουλης δραστηριότητας. Υποθέτοντας ότι αυτά τα δεδομένα είναι κρυπτογραφημένα, κάποιος αναλυτής SIEM μπορεί να εξετάσει τα περιεχόμενα πιο προσεκτικά ώστε να κατανοήσει καλύτερα τη φύση της δραστηριότητας που περιέχουν. Άλλη μία πτυχή είναι η καταγραφή logs της δραστηριότητας μίας πηγής. Αυτού του είδους η καταγραφή μπορεί να πραγματοποιείται διαρκώς, ή μπορεί να ενεργοποιείται μόνο όταν ανιχνεύει ύποπτη δραστηριότητα, που περιλαμβάνει μία συγκεκριμένη πηγή στην εταιρεία.
- Ποια χαρακτηριστικά προσφέρουν τα προϊόντα SIEM ώστε να βοηθούν στην ανάλυση δεδομένων;
Τα προϊόντα SIEM που χρησιμοποιούνται για ανίχνευση ή και διαχείριση συμβάντων, πρέπει να παρέχουν χαρακτηριστικά ώστε να βοηθούν το προσωπικό στην εξέταση και ανάλυση των δεδομένων από τα logs, αλλά και των ειδοποιήσεων και ευρημάτων από το ίδιο το SIEM. Ένας λόγος είναι ότι ακόμα και ένα εξαιρετικά ακριβές SIEM, ενίοτε παρερμηνεύει κάποια συμβάντα και έτσι χρειάζεται κάποιον ειδικό να βρει έναν τρόπο επαλήθευσης των αποτελεσμάτων. Άλλος ένας λόγος είναι πως οι ερευνητές συμβάντων χρειάζονται εξυπηρετικά interfaces που να διευκολύνουν τις έρευνες τους. Παραδείγματα τέτοιων interfaces, περιλαμβάνουν εξελιγμένες δυνατότητες αναζήτησης και προβολής δεδομένων.
- Πόσο έγκαιρες, ασφαλείς και αποτελεσματικές είναι οι δυνατότητες αυτοματοποιημένης απόκρισης του SIEM;
Η αξιολόγηση των δυνατοτήτων αυτοματοποιημένης απόκρισης των προϊόντων SIEM, είναι μία διαδικασία απαραίτητα σχετική με την εκάστοτε εταιρεία, καθώς εξαρτάται σε μεγάλο βαθμό από την αρχιτεκτονική δικτύου, τα συστήματα ελέγχου ασφαλείας του δικτύου και άλλες πτυχές της ασφάλειας. Για παράδειγμα, ένα συγκεκριμένο προϊόν SIEM ίσως δεν έχει τη δυνατότητα να κατευθύνει το firewall, ή άλλα δικτυακά συστήματα ελέγχου ασφαλείας μίας εταιρείας, ώστε να τερματίσουν μία σύνδεση η οποία μεταφέρει κακόβουλη δραστηριότητα.
- Ποιες πρωτοβουλίες συμμόρφωσης ασφαλείας υποστηρίζει το SIEM με εγγενή εργαλεία αναφορών;
Τα περισσότερα SIEM προσφέρουν δυνατότητες αναφορών με μεγάλο βαθμό παραμετροποίησης. Πολλά από αυτά τα προϊόντα προσφέρουν επίσης ενσωματωμένη υποστήριξη για την έκδοση αναφορών σύμφωνα με τις απαιτήσεις διαφόρων πρωτοβουλιών συμμόρφωσης ασφαλείας. Κάθε εταιρεία πρέπει να αναγνωρίζει ποιες πρωτοβουλίες μπορούν να εφαρμοστούν σε αυτή και κατόπιν να σιγουρευτούν ότι το προϊόν SIEM υποστηρίζει όσες περισσότερες από αυτές τις πρωτοβουλίες γίνεται. Για όσες πρωτοβουλίες δεν υποστηρίζει το SIEM, φροντίστε να επιβεβαιώσετε ότι τα εργαλεία αναφορών του μπορούν εύκολα να προσαρμοστούν ώστε να πληρούν τις απαιτήσεις αναφορών, αυτών των πρωτοβουλιών.
Συμπερασματικά
Τα SIEM υποστηρίζουν περίπλοκες τεχνολογίες που απαιτούν εκτεταμένη ενσωμάτωση στα συστήματα ελέγχου ασφαλείας και σε διάφορες πηγές, σε μία εταιρεία. Για να αξιολογήσετε ποιο SIEM ταιριάζει καλύτερα στη δική σας εταιρεία, βοηθάει να προσδιορίσετε κάποια βασικά κριτήρια. Δεν υπάρχει μόνο ένα προϊόν SIEM που αποτελεί την καλύτερη λύση για όλες τις εταιρείες. Κάθε περιβάλλον έχει το δικό του συνδυασμό χαρακτηριστικών πληροφορικής και αναγκών ασφαλείας, που πρέπει να ληφθούν υπ’όψη. Ακόμα και ο κύριος σκοπός απόκτησης SIEM, όπως η ικανοποίηση απαιτήσεων των αναφορών συμμόρφωσης, ή η βοήθεια στην ανίχνευση και διαχείριση συμβάντων, μπορούν να διαφέρουν σε μεγάλο βαθμό από εταιρεία σε εταιρεία.
Ως εκ τούτου, κάθε εταιρεία πρέπει να κάνει τη δική της αξιολόγηση πριν αποκτήσει κάποιο προϊόν ή υπηρεσία SIEM. Σε αυτό το άρθρο παρουσιάσαμε διάφορα κριτήρια που πρέπει να λάβετε υπ’όψη σας ως τμήμα της αξιολόγησης, χωρίς να σημαίνει ότι άλλα κριτήρια δεν είναι απαραίτητα. Σκεφτείτε τα προαναφερθέντα κριτήρια ως ένα σημείο εκκίνησης, που η εταιρεία μπορεί να παραμετροποιήσει και να επεκτείνει, ώστε να αναπτύξει τη δική της λίστα κριτηρίων για το SIEM. Αυτό εγγυάται ότι η εταιρεία θα επιλέξει το καλύτερο δυνατό προϊόν SIEM.