Anonim

De talrige sikkerhedsinformation og begivenhedsstyring (SIEM) løsninger på markedet gør det vanskeligt at tydeligt identificere, hvad det generiske udtryk virkelig betyder. Loghåndtering og analyse af logfiler diskuteres ofte, men gode SIEM-løsninger kan gøre endnu mere:

  • Saml, korreler og analyser begivenheder og logfiler

  • Analyser sikkerhedshændelser i realtid

  • Opret rapporter automatisk

  • Behandl mere end 10.000 begivenheder pr. Sekund

  • Giv logfiler en unik tidsstempel

  • Evaluer logfiler med data om temperatur og ydeevne

  • Opfyld vigtige retningslinjer for overholdelse såsom ISO 2700x, PCI DSS, HIPAA, SOX, NERC og GLBA

  • Integrer hurtigt og nemt i eksisterende it-systemer

Især for virksomheder med store mængder data er der store muligheder. Du kan foretage daglige forudsigelser om din datatrafik, sikkerhedshændelser og forestående flaskehalse. Den ideelle situation ville se sådan ud: Alle medarbejdere kan regelmæssigt få adgang til de ønskede data og problemfrit låse alle processer sammen. Alle sikkerhedshændelser kan analyseres og ryddes fuldstændigt.

Ein gutes SIEM-System sieht alles.
Et godt SIEM-system ser alt.
Foto: fotolia.com/Kobes

Virkeligheden ser imidlertid anderledes ud - uautoriseret adgang til data og systemer er normalt alt for sent eller ikke bemærket. De, der bruger SIEM-løsninger korrekt kasserer denne bekymring - virksomheder kan også tænke på disse værktøjer som et moderne lukket kredsløb-tv (CCTV) -system til it. Et SIEM fungerer som et overvågningskamera for hele it-infrastrukturen. Et sådant system kan opdage indbrud - i dette tilfælde datatyveri - få indsigt i alle aktuelle it-operationer og hurtigt se, om alt fungerer som tilsigtet. Fra denne idé kan der for eksempel laves vejrprognoser, trafikforureningskontrol reguleres og ulykker forhindres, rettidig levering af godset kontrolleret eller diger beskyttet mod oversvømmelse. Så snart IT-understøttede systemer er involveret, har en SIEM også en direkte indflydelse på dem.

Sikkerhed som hovedargument

For at vende tilbage til "kerneopgaver" i et SIEM-system: Siden ændringen af ​​Federal Data Protection Act (BDSG) fra 2009 skal virksomheder informere ofrene i tilfælde af tab af personoplysninger. Men de kan kun gøre det, hvis de ved nøjagtigt, hvem der er berørt. En nøjagtig evaluering af en sikkerhedshændelse er derfor alt og alt sammen. Et SIEM-system kan ikke kun gøre det, men kan også hjælpe med at forhindre et tab af data i første omgang. Ved hurtigt at spore sikkerhedsbegivenheder kan en SIEM-løsning registrere, lokalisere og automatisk rapportere hackerangreb i realtid med DLP (Data Loss Prevention).

  1. De 8 værste hackerangreb
    Sikkerhedsekspert Faronics forklarer de største hacker-skandaler i det sidste årti. De umiddelbare skader var i millioner.
  2. 134 millioner kundedata …
    … cyberkriminelle stjal i 2009 ved hjælp af spyware. De læser kreditkortoplysningerne for 134 millioner kunder hos det amerikanske firma Heartland Payment Systems.
  3. 860.000 brugernavne og e-mail-adresser …
    … hackere stjal et angreb på Stratfor's amerikanske sikkerhedsrådgivere og offentliggjorde derefter deres kundeoplysninger på nettet. Et link indeholdt 75.000 navne, e-mail-adresser, kreditkortnumre og adgangskoder fra Stratfor-kunder. Yderligere 860.000 datoer var brugernavne og e-mail-adresser for registrerede brugere på Stratfor-webstedet.

Kravene til SIEM-systemer er komplekse

For en sikker samvittighed skal SIEM-løsninger overholde overholdelsesbestemmelserne som ISO 2700x, PCI DSS, HIPAA, SOX, NERC og GLBA. Dette inkluderer blandt andet, at al netværksgenereret begivenhedsinformation skal indsamles automatisk. Generelt skal rapporter vise, hvor mange begivenheder, der automatisk blev afsløret, og hvor mange af disse begivenheder, der resulterede i falske positiver. For sikkerhedsrevisioner er disse rapporter meget værdifulde. Et andet vigtigt aspekt vedrører tidsrummet til at afhjælpe de problemer, der er opstået. Naturligvis skal alt gå så hurtigt som muligt, og behandlingen skal lykkes uden nogen komplikationer. Oversigten over disse alarmer lykkes, når begivenheder kan defineres i overensstemmelse med retningslinjerne for overholdelse.

  1. IP-filter
    SIEM-løsningen viser blandt andet fra hvilken IP-adresse visse data (i dette tilfælde fra en IRC-forbindelse) kan fås adgang til på bestemte tidspunkter.
  2. farer
    Data indsamles om igangværende programmer og webservices.
  3. Type trafik
    Hvilke protokoller og webtjenester, som trafikken flyder, kan også forstås.

Disse krav tilføjes yderligere, som også er vigtige for systemerne. Dette betyder, at gode SIEM-systemer kan behandle mere end 10.000 begivenheder i sekundet, fordi dette er presserende nødvendigt på grund af den store datamængde. For at forhindre, at indtrængende stjæler eller kopierer logfiler for at skjule datatyveri og sløre deres spor, skal de beskyttes mod manipulation og transmitteret krypteret. Af overholdelsesårsager er de komprimerede data ikke kun sikre at gemme, men også forsynet med en unik tidsstempel. Først derefter sikres det, at dataene kan hentes senere efter arkivering og evaluering (revisionssikkerhed).

Hvad SIEM ikke kan gøre endnu

Der er en række ønskelige funktioner, som SIEM-løsninger endnu ikke tilbyder:

  • Forebyggelse af indtrængen og beskyttelse mod indtrængen (udviklingsmetoder findes allerede)

  • Prognoseanalyser, der gør det muligt at drage konklusioner fra trends i alle it-systemer (også her er der første tilgange)

  • Maskintolkning af rapporteringen; Dette er altid efter IT-specialistens skøn

  • Fleksibilitet i implementering i eksisterende og fremtidige IT-systemer

Konklusion

Ud over de sikkerhedsrelevante krav i et SIEM-system skal naturligvis andre, lige så vigtige, logdata kunne evalueres. Disse inkluderer ydeevne såvel som temperaturdata, der kommer fra operativsystemniveauet, men også fra individuelle enheder og applikationer. Oplysninger fra disse områder gør det muligt at drage konklusioner om forskellige scenarier, der påvirker alle IT-afhængige systemer. Det er disse muligheder, der giver SIEM så meget magt og kan være til stor hjælp for både IT-afdelingen og CIO selv. (Sh)