stary blog 960x730
Bezpieczeństwo IT - metody ochrony,Główna,Nowe technologie,SIEM,strona,Uncategorized

Czy MDR może zastąpić SIEM?

Opublikowano
Czas czytania: 4 min

 

 

Przyjrzyjmy się różnicy pomiędzy SIEM-em a MDR-em, czyli Security Information and Event Management (SIEM) oraz Managed Detection and Response (MDR). Czy jedno może zastąpić drugie?

Czym różni się SIEM od MDR i jakie są jego główne funkcje?

SIEM to technologia łącząca zarządzanie informacjami o bezpieczeństwie (SIM) i zarządzanie zdarzeniami bezpieczeństwa (SEM). Co to znaczy w skrócie? System przechowuje logi (dane zdarzeń ) z różnych źródeł organizacji i pozwala na ich obserwowanie i analizę.

SIEM szczególnie dobrze wykrywa anomalie, jednak na atakach, które wywołują anomalię, skupimy się w przyszłości. Aktualne „trendy hakerów” bazują na atakach, które nie będą wykazywały anomalii, a będą symulować normalne wzorce zachowań. Ale dobijmy wspólnie do brzegu SIEM-a 🙂

 (SIEM) jest potężnym narzędziem do monitorowania i analizy zdarzeń bezpieczeństwa w czasie rzeczywistym.

Główne funkcje SIEM:

  1. Zbieranie danych: SIEM zbiera dane logów z różnych źródeł w organizacji.
  2. Normalizacja i agregacja: Dane są konwertowane do jednolitego formatu i konsolidowane, co ułatwia ich analizę.
  3. Analiza: SIEM wykorzystuje reguły, silniki korelacji i algorytmy uczenia maszynowego do analizy danych. Przeszukuje wzorce i anomalie, które mogą wskazywać na zagrożenia.
  4. Generowanie alertów: W przypadku wykrycia potencjalnego zagrożenia, SIEM generuje alerty, które są priorytetyzowane na podstawie ich powagi.

SIEM, a weryfikacja logów, która może okazać się uciążliwa.

Mimo że SIEM ma naprawdę wiele zalet, istnieje kilka wyzwań związanych z jego używaniem, zwłaszcza w kontekście false positives (fałszywych alarmów). Jednym z najważniejszych wyzwań, które posiadają (nie)szczęśliwi*posiadacze SIEM-ów, jest ich weryfikacja.
*Nieszczęsliwi z pewnością należą do grupy osób, które je weryfikują

Zrzut ekranu 2024 08 7 o 13.42.08
Koloryzowane: Jak prawdopodobnie zareaguje dział IT na SIEMa

False positives to alerty wygenerowane przez system SIEM, które wskazują na potencjalne zagrożenie bezpieczeństwa, ale w rzeczywistości nie stanowią żadnego realnego zagrożenia. Są to przypadki, w których normalne, nieszkodliwe działania są błędnie identyfikowane jako potencjalne zagrożenia.

Dlaczego to właśnie weryfikacja jest najistotniejsza?

  1. Logi SIEM wymagają weryfikacji i obserwacji przez specjalistów (a najlepiej przez kilku, zwłaszcza w przypadku złożonej i rozproszonej infrastruktury).
  2. Systemy SIEM wymagają precyzyjnej konfiguracji reguł i filtrów, aby poprawnie identyfikować zagrożenia. Błędy w konfiguracji mogą prowadzić do generowania wielu false positives.
  3. W dynamicznym środowisku IT, gdzie systemy i aplikacje są często aktualizowane, istnieje duże prawdopodobieństwo, że zachowanie każdej nowej aplikacji będzie uznawane przez SIEM za zagrożenie, generując alerty. To jest najczęstsza bolączka użytkowników SIEM.

Czym jest MDR i jakie są jego różnicę względem SIEM?

Pierwszą kluczową różnicą, to fakt, że jest to usługa.

Managed Detection and Response (MDR) to usługa bezpieczeństwa prowadzona przez dostawcę rozwiązania. MDR można swobodnie porównać do usług dostarczanych przez SOC (Security Operation Center).

MDR zapewnienia organizacjom zaawansowane zdolności wykrywania, analizy i reagowania na zagrożenia. W przeciwieństwie do tradycyjnych rozwiązań bezpieczeństwa, które koncentrują się głównie na prewencji, MDR stawia na szybkie wykrywanie i reagowanie na incydenty, co pozwala na ograniczenie potencjalnych szkód i przede wszystkim na odciążęnie działu IT.

Co prawda, MDR głównie koncentruje się na punktach końcowych i bezpośrednich zagrożeniach, które je atakują. Jednak w przypadku dobrze skonfigurowanego ekosystemu, np. z rozwiązaniami WatchGuard, możemy uzyskać naprawdę funkcjonalne rozwiązanie, które zapewni bardzo wysoki poziom obsługi i wykrywania zagrożeń.

Wyróżnikiem pomiędzy MDR a SIEM, jest ekspertyza specjalistów (człowieka, nie AI) . Usługa MDR, łączy technologię z ludzką ekspertyzą, oferując dogłębną analizę i proaktywne działania. Dodatkowo korzystając z MDR możemy spodziewać się rekomendacji producenta o podatnościach i słabych punktach w sieci, co w przypadku SIEM-a bez rekomendacji bezpośrednio od inżyniera , jest niemożliwe (system bez ingerencji czynnika ludzkiego nie analizuje podatności)

Co wybrać SIEM czy MDR?

Wybór między SIEM a MDR zależy od specyficznych potrzeb, zasobów i istniejącej postawy bezpieczeństwa organizacji.

  • SIEM: Będzie dobrym wyborem, jeśli Twoja organizacja ma zdolności do zarządzania i analizy dużych ilości danych wewnętrznie, w tym dedykowany zespół IT do obsługi systemu SIEM.
  • MDR: Świetnie się sprawdzi, jeśli Twoja organizacja nie ma dużego zespołu bezpieczeństwa wewnętrznego. MDR jest korzystny dla firm, które chcą polegać na zewnętrznych ekspertach w celu ciągłego monitorowania, wykrywania i reagowania na zagrożenia.

Koszt:

  • SIEM: Wymaga znacznych inwestycji w technologię i infrastrukturę oraz stałych kosztów operacyjnych związanych z zarządzaniem systemem.
  • MDR: Koszty są związane głównie z operacyjnymi wydatkami , co może być bardziej opłacalne dla organizacji. W przypadku wielu rozwiązań koszty wdrożenia MDR są stosunkowo niewielkie.

Podsumowanie

MDR i SIEM to komplementarne rozwiązania. SIEM to narzędzie do analizy danych, które mogą być wykorzystywane przez systemy MDR do proaktywnego wykrywania i reagowania na zagrożenia. W idealnym scenariuszu organizacje powinny korzystać z obu technologii, aby maksymalnie zwiększyć poziom bezpieczeństwa.

MDR

Poprzedni artykuł
Następny artykuł

Podobne posty

Dodaj komentarz