Усиление ядра (часть 1) — информация о безопасности и управление событиями

Опубликовано: 7 Апреля, 2023
Усиление ядра (часть 1) — информация о безопасности и управление событиями

SIEM помогает специалистам по безопасности сопоставлять и анализировать в реальном времени предупреждения системы безопасности, генерируемые сетевыми устройствами, аппаратным и программным обеспечением. Обычно этот элемент игнорируют менее зрелые ИТ-отделы, но он является частью модели зрелости, которую приняли или внедряют большинство зрелых организаций, и ее можно найти в оптимизированных хорошо управляемых ИТ-операциях. В этой статье основное внимание будет уделено важности SIEM и тому, почему он необходим для достижения более высокого уровня безопасности при усилении защиты ядра.

Как вы можете управлять тем, за чем не следите?

Введение

Управление информацией о безопасности и событиями (SIEM) объединяет функции управления информацией о безопасности (SIM) и событиями безопасности (SEM) в одной системе управления. Основной движущей силой внедрения SIEM для большинства организаций является обнаружение угроз и реагирование на них в режиме реального времени; однако это только одна маленькая часть головоломки SIEM. SIEM гораздо более выгоден, и его следует рассматривать как важную часть пути организации к безопасной работе ИТ, борясь с проблемами, связанными с потенциальными угрозами безопасности, проблемами соответствия и управления рисками, особенно в сегодняшней более крупной и постоянно растущей организации, которая является более рассредоточенной, многогранной и требовательный к управлению.

SIEM, SIM и SEM

Классификация SIM, SEM и SIEM время от времени трансформируется, когда дело доходит до их окончательных характеристик, нет единой точки зрения. При этом организации часто сталкиваются с проблемой четкого определения своих уникальных требований, прежде чем определять и внедрять эти системы. Настоящая проблема заключается в том, что нужно просмотреть так много данных, что простая задача становится непосильной даже для хорошо обеспеченного ИТ-отдела или отдела внутренней безопасности.

Каковы различия между решениями?

Общие функции SIM-карты:

  • управление журналами и отчеты о событиях безопасности путем сбора и анализа данных
  • Бухучет, ведение учета, делопроизводство
  • отчетность о соответствии для поддержания преимуществ соблюдения нормативных требований
  • управление соответствием с помощью политик
  • анализ угроз безопасности и управление угрозами
  • судебная экспертиза

Общие функции СЭМ:

  • мониторинг событий безопасности в режиме реального времени
  • мониторинг и идентификация угроз
  • поддерживать организацию или ИТ-представителя в выявлении и реагировании на угрозы безопасности с немедленной корреляцией событий (охватывающей несколько устройств и местоположений) и реагированием на инциденты

SIEM:

Более многогранная пользовательская среда ориентируется на решение SIEM, решение, которое сочетает в себе функции как SIM, так и SEM для удовлетворения неточных требований организаций. Решение SIEM избавляет организацию от необходимости уточнять конкретные требования, поскольку они объединены в единое решение.

Важность SIEM

  • Согласие

Необходимость соответствия имеет фундаментальное значение в промышленности. Все организации должны убедиться, что они соблюдают одно или несколько правил. Проблемы достижения, а затем поддержания соответствия являются огромными для большинства. С помощью SIEM можно удовлетворить требования соответствия. Применяя SIEM, можно собирать большие объемы данных о событиях и использовать широкий спектр аналитических отчетов.

  • Операционная поддержка

Операции часто фрагментированы между различными группами и группами поддержки. Когда возникают проблемы, это затрудняет обмен и сбор данных и совместную работу. SIEM имеет возможность собирать информацию из несвязанных систем; объединяет его для удобного просмотра и совместной работы.

  • Обнаружение угроз

Траектории атак постоянно меняются, и организации остаются уязвимыми для многих форм атак. Другие часто используемые сдерживающие факторы/решения, т.е. брандмауэры и антивирусы, работают для обнаружения вредоносной активности в различных точках ИТ-инфраструктуры. SIEM способен обнаруживать угрозы нулевого дня, в отличие от других решений, обнаруживая атаки с использованием неизвестных уязвимостей. В сочетании с широко используемыми решениями SIEM повышает безопасность за счет обнаружения угроз, которые могут обойти традиционные средства защиты.

  • Судебно-медицинское расследование

С ростом количества устройств и приложений, сложной средой и обилием данных из нескольких источников без работающего решения SIEM этот процесс становится пугающим. SIEM позволяет проводить оперативные комплексные судебные расследования, которые допустимы в суде. SIEM позволяет хранить и защищать журналы, а также предоставляет инструменты для эффективного просмотра и сопоставления данных в ИТ-инфраструктуре для выявления проблем безопасности, эксплуатации и соответствия требованиям.

  • Ведение журналов и отчетность

SIEM обеспечивает экономичный мгновенный доступ к текущим данным журнала, а также извлечение старых или архивных данных, индексирование данных, хранение и создание отчетов. Можно управлять большими объемами данных. Система также имеет возможности оповещения и корреляции, а также поддержку аудита для отчетов о соответствии (включая отчеты о доступе пользователей и ресурсов).

Обеспечение оптимальной работы вашей SIEM-системы

Решения SIEM — это сложные продукты, и в большинстве случаев требуются определенные усилия для обеспечения оптимальной производительности. По своей конструкции они могут собирать журналы и данные о событиях с нескольких устройств, применять процедуры корреляции в реальном времени и прямые оповещения об обнаруженных событиях, и все это одновременно — многое происходит.

SIEM не без проблем. Организации часто недовольны эффективностью систем SIEM в своих конфигурациях по умолчанию, но никогда не тратят время, необходимое для получения преимуществ, которые может предоставить SIEM. Первоначальное развертывание — это простая часть, однако достижение точки, в которой SIEM сможет давать четкие и существенные результаты, требует вашего времени и тяжелой работы. Организации потребуется потратить время на сопоставление взаимосвязей между событиями и рисками и создание необходимых журналов, правил и взаимосвязей.

Области, которые могут повлиять на производительность SIEM:

  • Сбор данных, важно найти баланс между сбором, хранением и анализом данных.
  • Объемы данных в некоторых организациях чрезвычайно велики, и при ограниченных ресурсах управление данными становится непосильным.
  • Постоянное изменение поведения пользователей, т. е. социальные сети, мобильные устройства и мобильные компьютеры.
  • Увеличение количества устройств и приложений на рабочем месте
  • Управление системой мониторинга
  • Повышенная сложность угроз безопасности
  • Неспособность интерпретировать данные

Шаги к повышению производительности

  1. Защитите команду SIEM
    Ваш мониторинг сравним с качеством команды, назначенной организацией для системы SIEM. Важно, чтобы команда, отвечающая за управление, мониторинг, настройку и извлечение необходимой информации из журналов, была хорошо осведомлена.
  2. Разработайте эффективную программу мониторинга
  • Выявляйте риски и хорошо разбирайтесь в своих уязвимостях и слабых местах в системе безопасности.
  • Это помогает сосредоточиться на результатах или информации, которую вы пытаетесь получить.
  • Определите, какие системы или компоненты следует отслеживать в порядке приоритета. Составив список, активы можно контролировать в соответствии с областями высокого риска, имеющими приоритет.
  • Рассмотрите возможность интеграции SIEM в приложения
  • Имейте в виду, что некоторые приложения не генерируют данные журнала, которые могут быть включены в SIEM, это избавит вас от многих хлопот в дальнейшем.
  • Определите, о каких событиях организация должна быть предупреждена и какая информация должна быть известна в отношении активов.
  • Если вы не можете найти всю необходимую информацию, важно внести изменения в систему, изменив уровни ведения журнала или установив дополнительные системы для предоставления необходимой информации.
  • Убедитесь, что вы собираете данные из ряда групп, которым могут быть полезны собранные данные журнала.
  1. Настройка вашей SIEM
  • Выберите первый актив в списке для использования в качестве компонента начальной настройки; первоначальная настройка будет самой громоздкой. Для правильной настройки актива/группы вам потребуется хорошее понимание требований, компонентов и событий этой конкретной группы.
  • Разработка политик/правил
  • Будьте готовы к ложным срабатываниям
  • Используя группу с четкими требованиями соответствия для начальной настройки, процесс будет намного проще.
  • Определите события, которые будут указывать на несоблюдение и нарушение политики
  • Будьте достаточно непредубежденными, чтобы построить маршрут, по которому новые возможности SIEM могут быть добавлены, если это необходимо, на более позднем этапе.
  1. Анализ
  • Проанализируйте системы, связанные с активом
  • Систематически извлекать информацию из журналов, потоков событий и систем для обнаружения любых угроз безопасности в соответствии с событиями, ранее определенными как несоответствующие или нарушение безопасности.
  • Справочные данные так же важны, как и данные в реальном времени. Такие данные, как списки активов, результаты сканирования уязвимостей и данные анализа угроз. Эти данные важны, когда речь идет о приоритизации событий, и могут сэкономить время при расследовании.
  • Делайте акцент на возможностях корреляции, так как это может помочь связать события, которые обычно не воспринимаются людьми.
  • После внедрения SIEM собираемые данные следует периодически оценивать.

Один из вопросов, который часто задают моей службе безопасности, заключается в том, должны ли мы делать это сами и нужно ли это нам? Если вы прочитали вышеизложенное, я думаю, вы согласитесь, что если вы не осуществляете мониторинг, вы не управляете, и что в SIEM есть гораздо больше, чем кажется на первый взгляд. Если вы не готовы взять на себя эту ответственность, но по-прежнему считаете, что вам следует инвестировать в SIEM, возможно, вам стоит поработать с экспертами, которые помогут внедрить или запустить решение от вашего имени. Начать — это самая сложная часть, мой совет: чем раньше вы начнете мониторинг, тем быстрее вы получите представление о том, чего вы не знали, о том, что происходит в ваших системах и сети.

Вывод

Решение о развертывании SIEM зависит от ряда факторов, включая бизнес-требования, доступный персонал службы поддержки, сетевую архитектуру, окно обслуживания и пропускную способность. Чтобы получить максимальную отдачу от технологии SIEM, потребуются значительные первоначальные усилия. Система SIEM так же ценна, как и усилия, затраченные на понимание и использование системы, и без усилий по настройке это просто менеджер журналов. Технология SIEM с ее способностью автоматизировать мониторинг журналов, распознавание образов, оповещение, криминалистику и корреляцию — это путь к хорошо организованной и зрелой ИТ-операции.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023