SIEM расшифровывается как "Управление безопасностью информации и событий". Эта система становится стандартом для систем, где необходима корреляция информации из нескольких источников. С течением времени количество такой информации растет, переполняя даже небольшие компании, которые не были заинтересованы в эффективном управлении данными.
Что же такое SIEM?
Система эффективно решает описанную выше проблему, обеспечивая безопасность всей организации. Предприятия тратят более ста миллиардов долларов в год на системы безопасности. Более двух с половиной из них потрачены на SIEM. Если для корпораций эти траты являются финансово доступным решением, то для небольших компаний затраты зачастую становятся чрезмерным бременем для бюджетов.
Однако важно отметить, что обнаружение угроз с помощью этой системы значительно дешевле, чем с помощью других методов. Это происходит, в частности, потому, что его сложность и оперативность облегчают работу аналитиков. Более того, менее продвинутые решения просто не могут увидеть как можно больше угроз, чем SIEM, поэтому вложенные ресурсы могут быть несоразмерно малы по сравнению с потерями, вызванными потенциальной атакой. Внедрение SIEM как части политики безопасности компании значительно снижает угрозы для сети организации.
История разработки SIEM.
История SIEM уходит корнями в системы
- SEM (Security Event Management) - управление безопасностью событий;
- SIM (Security Information Management) - управление безопасностью информацией.
Они использовались для сбора, мониторинга и анализа данных, связанных с безопасностью. Система также основана на решениях, которые собирают и хранят журналы событий.
Работа стандарта SIEM.
Работа системы заключается в централизованном управлении журналами, поступающими с многих устройств, и их архивировании. Результатом этих действий, заключающихся в сборе, фильтрации, нормализации и сопоставлении данных из различных источников, является предоставление группе аналитиков доступа к важным событиям, отделенным от информационных шумов. Проще говоря, система предоставляет отчеты и выдает предупреждения о подозрительном трафике в компьютерной сети.
Для чего компаниям нужен SIEM?
Благодаря SIEM отслеживаются события в компьютерной сети организации, чтобы защитить ее от внешних атак. Следует помнить, что даже малые и средние компании имеют десятки гигабайт данных, проходящих через сеть каждый день.
Согласно опросам, 90% аналитиков, наблюдающих за безопасностью сети, чувствуют себя перегруженными информацией, требующей анализа. Это неудивительно. Одна организация может становиться мишенью до 15 тысяч атак вредоносного ПО в месяц, из которых только 20% заслуживают внимания. Имея такой объем данных, аналитики могут реагировать только на 4% значительных угроз.
Таким образом, без всестороннего мониторинга каждого сетевого устройства в сочетании с интеллектуальной системой отчетности многие атаки не попадают в поле зрения систем безопасности и аналитиков. Важно, однако, не только количество атак, но и то, что они становятся все более изощренными.
Согласно отчету компании Symantec об угрозах безопасности в Интернете за 2018 год, злоумышленники все еще разрабатывают свои методы и эффективно скрывают следы. Поэтому мы можем опасаться все большего количества атак из неожиданных источников и с использованием ранее неизвестных решений.
Для того чтобы защитить сеть организации, необходимо использовать самые передовые решения и специализированных аналитиков. Это не всегда требует трудоустройства и обучения новых сотрудников. Управляемые услуги также могут быть решением проблемы.
Как выглядит работа стандарта изнутри?
Работа систем SIEM основана, среди прочего, на анализе действий пользователей, проверке корректности и своевременности работы операционных систем, приложений, сред или баз данных. Все это используется для обнаружения необычных событий, например, вызванных вредоносным ПО, с целью отражения возможных атак.
Благодаря SIEM вся необходимая информация собирается в одном месте, что позволяет контролировать всю сеть организации.
Кроме того, система хранит данные в течение длительного времени, чтобы их можно было использовать, например, в судебных делах. Она также упрощает криминалистическую экспертизу, позволяя находить журналы, используя точные критерии поиска. В противном случае такие обыски могут занять месяцы.
В настоящее время провайдеры SIEM конкурируют в создании быстродействующей системы обнаружения угроз. Цель состоит в том, чтобы иметь возможность реагировать на атаки в режиме реального времени. Также разрабатываются механизмы искусственного интеллекта, позволяющие повысить свою эффективность в процессе обучения.
Приобретения SIEM-решения недостаточно. Система не будет полезной без команды аналитиков. Они используют корреляцию данных для дальнейшего анализа. Аналитики внедряют процедуры, выявляют проблемы и предлагают решения. Все это способствует повышению безопасности внутренней сети.
Что такое корреляция данных?
Корреляция — это взаимосвязь между событиями, происходящими в сети. Например, определенное количество последовательных действий с одного IP-адреса в течение определенного периода времени.
Поиск корреляции является одной из основных задач SIEM. Это возможно благодаря использованию особых сценариев, позволяющих генерировать инциденты или оповещения. Они являются частью инструмента, но со стороны системных администраторов необходимо отрегулировать сценарии так, чтобы они не попадали под действие ложных срабатываний. Только система, сконфигурированная таким образом, может обеспечить полную безопасность в сети для любой организации.
Спасибо, что дочитали.
Если вам понравилась статья, поставьте "нравится". Не забудьте подписаться на канал, чтобы быть в курсе обновлений.