SIEM ma swoich przeciwników i zwolenników
SIEM to technologia, którą działy IT uwielbiają… nienawidzić. Z jednej strony muru – postrzega się SIEM jako panaceum, które lokalizuje wszystkie odmienne logi i normalizuje je do analizy bezpieczeństwa sieci. Z drugiej strony, może to być oprogramowanie typu shelfware, którego ciężko się nauczyć, jest trudne w zarządzaniu, drogie w obsłudze i zbyt ważne, aby wśród swoich narzędzi nie zawierało rozwiązania do zabezpieczania danych.
Strona muru na którą spadniesz, może się zmienić w dowolnym momencie, być może nawet wiele razy w ciągu tego samego dnia.
Podczas, gdy wielu użytkowników uważa SIEM za narzędzie niezbędne dla większych przedsiębiorstw, umożliwiając im daleko idącą kontrolę nad monitorowaniem danych sieciowych dla celów zgodności i bezpieczeństwa, inni uważają, że jest to odpowiednie narzędzie dla małych i średnich firm, rozmiarowo odpowiadające temu środowisku.
To, czy SIEM jest odpowiedni dla Twojej organizacji, faktycznie zależy od wielkości sieci i możliwości inwestowania w utrzymanie tego rozwiązania, ponieważ care and feeding (opieka i karmienie) to termin najczęściej kojarzony z SIEM.
Czy w takim razie SIEM jest jeszcze potrzebny?
Systemy SIEM ewoluowały technologicznie, to jest pewne. Jednak podstawowe powody, dla których rynek SIEM istnieje i ma perspektywy, są dokładnie takie same jak kilka lat wstecz. Jest to niezbędny element dobrze zorganizowanego programu bezpieczeństwa informacji. Kilka lat temu SIEM był narzędziem do zarządzania logami, zdolnym do sortowania, korelowania i budowania reguł opartych na dziennikach. Był również w stanie pobierać z niego informacje, przekształcając je w raporty dotyczące zgodności. Miało to być narzędzie reaktywne, służące do raportowania – co na tamten czas wystarczało – jednak dzięki własnej ewolucji stał się również narzędziem badawczym.
Wszystko pod kontrolą – czyli dla kogo sprawdzi się SIEM
Każda firmowa infrastruktura sieciowa posiada rozwiązania, które powinny ją zabezpieczyć – np. AV, UTM, MDM, szyfrowanie danych i wiele innych. Każde z tych rozwiązań wytwarza logi, które są czymś w rodzaju opisu zdarzeń oraz akcji podjętych przez użytkowników i administratorów. Im więcej takich urządzeń w firmowej infrastrukturze, tym więcej czasu administrator musi poświęcić na obsłużenie każdego z rozwiązań. SIEM jest rozwiązaniem tego problemu, zbierając logi w jedną całość. Dzięki takiemu rozwiązaniu, praca administratora sprowadza się do weryfikacji konsoli w produkcie SIEM, który gromadzi informacje na temat tego, gdzie pojawił się problem lub w którym miejscu sieć podatna jest na zagrożenia. Komu poleciłbym tego typu rozwiązanie? Na pewno informatykom mającym styczność z rozbudowaną siecią IT, którzy chcą usystematyzować pracę, wiedzieć, gdzie pojawiają się podatności na zagrożenia i zaoszczędzić czas na przeszukiwanie logów. – komentuje Kamil Chrapek, specjalista ds. bezpieczeństwa sieci IT w Net Complex.
Dzisiejsze systemy SIEM – analityka i inteligencja doceniona przez Gartnera
Jednym z głównych czynników decydujących o korzystaniu z oprogramowania SIEM do operacji związanych z bezpieczeństwem są nowsze funkcje zawarte w wielu produktach na rynku. Obecnie wiele technologii SIEM oprócz danych z tradycyjnych dzienników informacji o zagrożeniach wprowadza również zaawansowane funkcje analityki, zgłębiające zachowania sieciowe oraz użytkowników, dostarczając więcej informacji na temat tego, czy dane działanie jest złośliwe.
Firma Gartner, która zajmuje się badaniami technologii, w swoim raporcie z maja 2017 r. wymienia inteligencję występującą w narzędziach SIEM, mówiąc o innowacjach poruszających się w ekscytującym tempie, tworzących jeszcze lepsze narzędzia do wykrywania zagrożeń.
Raport wskazuje również, że dostawcy wprowadzają do swoich rozwiązań maszynowe uczenie się, zaawansowaną analizę statystyczną i inne metody analityczne do swoich produktów, podczas gdy niektórzy eksperymentują również z sztuczną inteligencją i możliwościami głębokiego uczenia się.
Rob Stroud, główny analityk z Forrester Research i były prezes zarządu ISACA mówi, że widzi obietnicę w takich technologiach. „Dzięki sztucznej inteligencji i uczeniu maszynowemu możemy wykonywać monitorowanie oparte na wzorach oraz ostrzeganie, ale prawdziwą szansą jest przywracanie predykcyjne. SIEM przekształca się z narzędzia monitorującego do rozwiązania, sugerującego miejsca wymagające naprawy” – mówi Strud, dodając, że spodziewa się iż oprogramowanie SIEM będzie w stanie zautomatyzować remediację w przyszłości.
Najnowszy raport Gartnera – Gartner Magic Quadrant dla SIEM możesz pobrać na naszej stronie – KLIK
Redaktorka Net Complex Blog