October 6, 2022

UPTIMETRACKING

Η καινοτομία διακρίνει μεταξύ ενός ηγέτη και ενός οπαδού


Warning: sprintf(): Too few arguments in /www/wwwroot/uptimetracking.com/wp-content/themes/newsphere/lib/breadcrumb-trail/inc/breadcrumbs.php on line 254

Πότε είναι η SIEM η σωστή επιλογή έναντι του SOAR;

1 min read

Ο Gartner ορίζει πληροφορίες ασφαλείας και διαχείριση συμβάντων (SIEM) προϊόντα όπως τεχνολογία που συγκεντρώνει δεδομένα γεγονότων που παράγονται από συσκευές ασφαλείας, υποδομή δικτύου, συστήματα και εφαρμογέςΤο Σύμφωνα με την εταιρεία αναλυτών, η κύρια πηγή δεδομένων είναι τα δεδομένα καταγραφής, αλλά η τεχνολογία SIEM μπορεί επίσης να επεξεργαστεί άλλες μορφές δεδομένων, όπως δεδομένα τηλεμετρίας δικτύου.

Στο Αναφορά Gartner Magic Quadrant για πληροφορίες ασφαλείας και διαχείριση εκδηλώσεων, οι αναλυτές σημειώνουν ότι τα δεδομένα συμβάντων μπορούν να συνδυαστούν με πληροφορίες σχετικά με τα συμφραζόμενα σχετικά με τους χρήστες, τα περιουσιακά στοιχεία, τις απειλές και τα τρωτά σημεία για σκοπούς βαθμολόγησης, ιεράρχησης και επιτάχυνσης των ερευνών. Αυτό καθιστά το SIEM πυλώνα επιχειρησιακής ασφάλειας πληροφορικής.

Rasika Somasiri, ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο στο PA Consulting, λέει ότι τα εργαλεία SIEM είναι ένας από τους ακρογωνιαίους λίθους μιας αποτελεσματικής ικανότητας παρακολούθησης σε επιχειρήσεις ασφαλείας. Λέει ότι οι ειδοποιήσεις παρέχονται από τον α Εργαλείο SIEM μπορεί να υποδείξει μια παραβίαση που συμβαίνει ή να βοηθήσει στην πρόβλεψη μιας.

«Εάν είστε υπεύθυνοι για την ασφάλεια σε έναν μεσαίο ή μεγάλο οργανισμό και πιστεύετε ότι χρειάζεστε ένα SIEM, πιθανότατα το κάνετε – στην πραγματικότητα, πιθανότατα έχετε ήδη ένα. Παράλληλα με το SIEM, έχετε πιθανώς μια σειρά πρόσθετων εργαλείων που παρέχουν ειδοποιήσεις ασφαλείας », λέει ο Somasiri.

Αλλά το πρόβλημα με τις ειδοποιήσεις είναι ότι οι επαγγελματίες ασφάλειας πληροφορικής πρέπει να ενεργήσουν σύμφωνα με αυτές. «Πρέπει να επιβεβαιώσετε ότι αποτελούν πραγματικό περιστατικό», προσθέτει.

Αυτός είναι ο λόγος ενορχήστρωση ασφαλείας, αυτοματοποίηση και απόκριση (SOAR) αρχίζει να κερδίζει ενδιαφέρον. Η Gartner ορίζει το SOAR ως μια κατηγορία προϊόντων που συνδυάζουν την απόκριση συμβάντων, την ενορχήστρωση και την αυτοματοποίηση και τις δυνατότητες διαχείρισης της απειλής (TI) σε μια ενιαία πλατφόρμα.

Για Εθελοντής BCS και εμπειρογνώμονας ασφάλειας Πέτρα Γουένχαμ, το ερώτημα αν SIEM ή SOAR είναι το καλύτερο σύνολο εργαλείων ασφαλείας για έναν οργανισμό είναι ένα αμφιλεγόμενο σημείο. «Υπάρχει επικάλυψη μεταξύ των εργαλείων και, σύμφωνα με τα εργαλεία που κοιτάζετε, η επικάλυψη μπορεί να είναι πολύ μικρή, ιδιαίτερα όταν το προϊόν SIEM έχει υιοθετήσει τεχνητή νοημοσύνη στο σχεδιασμό», λέει.

Ο Wenham πιστεύει ότι η επιλογή του προϊόντος δεν καθορίζεται μόνο από το μέγεθος ενός οργανισμού, αλλά από το μέγεθος και την πολυπλοκότητα της υποδομής πληροφορικής ενός οργανισμού και την αξία των δεδομένων που κατέχει και επεξεργάζεται η υποδομή.

Για παράδειγμα, όσο μεγαλύτερη και πιο περίπλοκη είναι η υποδομή πληροφορικής και όσο μεγαλύτερη είναι η αξία των δεδομένων που τηρούνται και υποβάλλονται σε επεξεργασία, τόσο μεγαλύτερη είναι η ανάγκη να χρησιμοποιηθεί αυτοματισμός για να πραγματοποιηθεί συσχέτιση συμβάντων μαζί με τη βραχυπρόθεσμη και μακροπρόθεσμη ανάλυση των ειδοποιήσεων (ασφάλεια και άλλα) που δημιουργούνται εντός της υποδομής.

«Όπου είναι δυνατόν», λέει ο Wenham, «ο αυτοματισμός πρέπει να χρησιμοποιείται για την έναρξη διορθωτικών ενεργειών εντός της υποδομής, καθώς αυτός ο αυτοματισμός θα επέτρεπε στην απελευθέρωση πολύτιμου προσωπικού πληροφορικής και ασφάλειας να επικεντρωθεί στα δύσκολα επιλύσιμα προβλήματα και στη διατήρηση της υποδομής και συναφή εργαλεία διαχείρισης και παρακολούθησης ».

Επιλογές για μικρές και μεγάλες λειτουργίες

Για οργανισμούς με μικρότερη και λιγότερο περίπλοκη υποδομή πληροφορικής, όπως αυτές που δεν διαθέτουν ηλεκτρονικό εμπόριο ή πύλες πελατών, η Wenham λέει ότι μια ανάπτυξη SIEM-πιθανώς με κάποιες δυνατότητες τεχνητής νοημοσύνης (AI)-θα ήταν μια λογική αντιστοιχία.

Ωστόσο, προειδοποιεί ότι για να είναι δυνατή η ταχεία αναγνώριση και διερεύνηση γεγονότων προτεραιότητας, είναι σημαντικό το προσωπικό πληροφορικής ή ασφάλειας να είναι σε θέση να διαχειρίζεται και να χρησιμοποιεί εργαλεία SIEM έτσι ώστε η έξοδος να μην κατακλύζεται από λανθασμένα δεδομένα.

Ο Wenham λέει ότι αυτή η προσέγγιση θα πρέπει γενικά να συμπληρωθεί με τη χρήση εξωτερικών εργολάβων ασφαλείας για την παροχή υποστήριξης τρίτης γραμμής και την τακτική αναθεώρηση της διαμόρφωσης του SIEM και, εάν είναι απαραίτητο, επανασύνδεση και προσαρμογή του SIEM για καλύτερη διάκριση μεταξύ ανώμαλης και κανονικής δραστηριότητας.

Προτείνει ότι ένα μικρό σύστημα SOAR μπορεί επίσης να είναι μια επιλογή όπου η ικανότητα παρακολούθησης του SOAR είναι αρκετά ολοκληρωμένη για να αντιμετωπίσει όλες τις συσκευές που βρίσκονται στην υποδομή ενός οργανισμού.

Καθώς η πολυπλοκότητα της υποδομής αυξάνεται, μαζί με την αξία που διακυβεύεται, ένα SIEM με τεχνητή νοημοσύνη για λειτουργίες πληροφορικής (AIOps) θα μπορούσε επίσης να εξεταστεί. Ο Wenham λέει ότι ένα τέτοιο σύστημα που λειτουργεί με AI θα είναι σε θέση να παρακολουθεί γεγονότα που κινούνται αργά με την πάροδο του χρόνου και να ξεκινά αυτόματα κάποιες διορθωτικές ενέργειες στην υποδομή.

Εάν το τμήμα πληροφορικής του οργανισμού δεν διαθέτει τις απαιτούμενες δεξιότητες και/ή δεν διαθέτει επαρκείς πόρους, θα πρέπει να προσληφθούν εξωτερικοί εργολάβοι ασφάλειας για να παράσχουν βοήθεια όταν απαιτείται και να βοηθήσουν στην τακτική επανασύνδεση του SIEM.

Για έναν οργανισμό με μεγάλη και περίπλοκη υποδομή πληροφορικής, ο όγκος των δεδομένων συμβάντων που θα δημιουργηθούν θα είναι τεράστιος. Η Wenham λέει ότι ένα SIEM υψηλού επιπέδου σε συνδυασμό με ένα προϊόν SOAR θα ήταν το προτιμώμενο σύνολο εργαλείων-με το SIEM να είναι το καλύτερο προϊόν για τη συλλογή και συσχέτιση ενός ευρέος φάσματος δεδομένων γεγονότων και το SOAR να είναι το καλύτερο προϊόν για μια λεπτομερή ανάλυση του SIEM- δημιουργεί δεδομένα και ξεκινά αυτόματα μια σειρά διορθωτικών ενεργειών.

Το SOAR θα είναι επίσης σε θέση να αναλύσει δεδομένα συμβάντων που δημιουργούνται από SIEM συγκεντρωμένα για μεγάλο χρονικό διάστημα, τα οποία θα αποκάλυπταν απόπειρα κρυφών συμβάντων ασφαλείας.

“Ακόμη και σε μεγάλους οργανισμούς με εγκατάσταση SIEM και SOAR, πιθανότατα θα υπήρχε ένας ρόλος για εξωτερική συμβουλευτική βοήθεια, ειδικά όταν υπήρχαν περιορισμοί πόρων στα τμήματα πληροφορικής ή/και ασφάλειας”, λέει.

Αυτοματοποίηση απόκρισης ασφαλείας

Σύμφωνα με τον Jason Yakencheck, συνεργάτης στην πρακτική της IBM για την ασφάλεια στον κυβερνοχώρο και τη βιομετρία και πρώην πρόεδρος της ISACA, η εφαρμογή ενός εργαλείου SOAR είναι μια κρίσιμη ικανότητα για τις ομάδες επιχειρήσεων ασφαλείας να εκτελούν αποτελεσματικά την απόκριση συμβάντων.

“Ο όγκος των συμβάντων ασφαλείας συνεχίζει να αυξάνεται εκθετικά και τα σωστά τεχνολογικά στοιχεία πρέπει να υπάρχουν για να δημιουργηθεί ένας οργανισμός για την επιτυχία”, λέει.

Όπως και η Wenham, ο Yakencheck πιστεύει ότι το SIEM είναι ένα κεντρικό δομικό στοιχείο που απαιτείται για να αξιοποιήσει στο έπακρο ένα εργαλείο SOAR.

«Η τεχνολογία SIEM είναι απαραίτητη για ένα πρόγραμμα ασφάλειας. Είναι το θεμελιώδες δομικό στοιχείο που άλλα εργαλεία μπορούν να ενσωματώσουν και να ανεβάσουν πραγματικά τις δυνατότητες απόκρισης σε συμβάντα στο επόμενο επίπεδο ».

Jason Yakencheck, IBM

Αυτά τα δύο εργαλεία ασφαλείας προσφέρουν συμπληρωματικές δυνατότητες που είναι απαραίτητες για να συμβαδίσουν με τις συνεχώς αυξανόμενες και πιο εξελιγμένες απειλές. Αλλά λέει ότι είναι σημαντικό για τους οργανισμούς που μπορεί να αποφασίζουν πότε ή πώς να εφαρμόσουν κάποιο από αυτά τα εργαλεία για να κατανοήσουν τις διαφορές και τα οφέλη του καθενός πριν από τη λήψη στρατηγικών αποφάσεων.

«Ένα εργαλείο SIEM χρησιμοποιείται κυρίως για να συγκεντρώσει και να συσχετίσει δεδομένα συμβάντων οργάνωσης σε μια κεντρική τοποθεσία. Επιτρέπει στους μηχανικούς ασφαλείας να διαμορφώσουν σύνολα κανόνων και κατώτατα όρια με τα οποία να δημιουργούν ειδοποιήσεις μόνο για τα πιο ουσιαστικά και υψηλού κινδύνου γεγονότα, με βάση το μοναδικό προφίλ κινδύνου κάθε οργανισμού. Τα εργαλεία SIEM αναλύουν αμέτρητους όγκους δεδομένων για να μειώσουν τον θόρυβο και να φιλτράρουν σε ένα υποσύνολο που απαιτεί περαιτέρω έρευνα και δράση », λέει.

«Η τεχνολογία SIEM είναι απολύτως απαραίτητη για ένα πρόγραμμα ασφαλείας. Είναι αυτό το θεμελιώδες δομικό στοιχείο που άλλα εργαλεία μπορούν να ενσωματώσουν και να ανεβάσουν πραγματικά τις δυνατότητες απόκρισης σε συμβάντα στο επόμενο επίπεδο ».

Για το Yakencheck, οι δυνατότητες SOAR επιτρέπουν στις ομάδες ασφαλείας με σταθερούς πόρους να κλιμακώνονται για να ικανοποιήσουν τις απαιτήσεις μεγαλύτερου όγκου συμβάντων μέσω αυξημένων δυνατοτήτων αυτοματισμού. Λέει ότι με το SOAR, οι παραδοσιακές χειροκίνητες διαδικασίες, όπως ενημερώσεις διαμόρφωσης, αλλαγές κανόνων ή άλλα βήματα μπορούν να εκτελεστούν με μερικώς αυτοματοποιημένο ή πλήρως αυτοματοποιημένο τρόπο, σε απάντηση συγκεκριμένων τύπων συμβάντων.

Για να αποκομίσει ο οργανισμός τα μεγαλύτερα οφέλη από μια εφαρμογή SOAR, ο Yakencheck συνιστά να γίνει μετά από ένα καλά ρυθμισμένο εργαλείο SIEM. Λέει ότι αυτό παρέχει τα μέσα με τα οποία η υπάρχουσα συγκέντρωση και συσχέτιση συμβάντων από το εργαλείο SIEM μπορεί να χρησιμοποιηθεί για την παροχή ενός μηχανισμού για το συστατικό SOAR για τη διευκόλυνση ενεργειών με μεγαλύτερη αυτοματοποίηση με βάση το πλήρες εύρος των συμβάντων ασφαλείας από τον οργανισμό.

“Όταν οι λειτουργίες SOAR εφαρμόζονται χωρίς SIEM, μπορεί να πραγματοποιηθεί κάποια αυτοματοποίηση με συνδυασμό εργαλείων, αλλά το πρόσθετο πλαίσιο συμβάντων που παράγεται από ένα SIEM θα λείπει”, προειδοποιεί. “Χωρίς τη λειτουργικότητα του SIEM, τα πλήρη οφέλη από την εφαρμογή ενός εργαλείου SOAR δεν θα πραγματοποιηθούν.”

Μεγέθυνση ασφάλειας

Η ενδελεχής παρακολούθηση εφαρμογών και υποδομών πληροφορικής είναι το κλειδί για τη διατήρηση ισχυρής ασφάλειας πληροφορικής, αλλά τα δεδομένα που παρέχονται από την παρακολούθηση χρειάζονται ενδελεχή ανάλυση για τον προσδιορισμό ύποπτων δραστηριοτήτων. Η ικανότητα SOAR μπορεί να ανεβάσει τα προγράμματα ασφαλείας στο επόμενο επίπεδο λειτουργικής απόδοσης όταν βασίζεται στην τεχνολογία SIEM.

Ωστόσο, ο Yakencheck της IBM λέει ότι η τεχνολογία από μόνη της δεν μπορεί να μεταμορφώσει έναν οργανισμό. “Θα χρησιμεύσει μόνο ως αγωγός για μεγαλύτερη αποτελεσματικότητα και θα επιτρέψει στις ομάδες να κάνουν περισσότερα με λιγότερα”, προσθέτει.

Σύμφωνα με την Gartner, μέχρι το τέλος του 2022, το 30% των οργανισμών με ομάδα ασφαλείας άνω των πέντε ατόμων θα χρησιμοποιούν εργαλεία SOAR στις λειτουργίες ασφαλείας τους, σε σύγκριση με λιγότερο από 5% το 2019. Αυτό δείχνει ότι υπάρχει απίστευτη ανάπτυξη στον τομέα Ε Ωστόσο, οι μικρότερες ομάδες πληροφορικής μπορεί να μην είναι σε θέση να δικαιολογήσουν την επένδυση που απαιτείται για την εφαρμογή και την ανάπτυξη του SOAR.

Ενώ τα εργαλεία ασφαλείας μπορούν να παρέχουν τεράστια οφέλη, χωρίς τον κατάλληλο σχεδιασμό και λειτουργική δομή μέσα σε έναν οργανισμό, τα πλήρη οφέλη ενδέχεται να μην πραγματοποιηθούν. Η προοπτική μεγαλύτερης πληροφόρησης για την ασφάλεια, μαζί με την ενορχήστρωση και την αυτοματοποίηση για να συμβαδίσει με τις εξελισσόμενες απειλές και να προστατεύσει τα ευαίσθητα δεδομένα, μπορεί να είναι η κατεύθυνση της ταξιδιωτικής ασφάλειας IT.

Leave a Reply

Your email address will not be published.