admin

Giải pháp SIEM là gì?

Giải pháp Quản lý sự kiện và thông tin bảo mật (SIEM) hỗ trợ phát hiện mối đe dọa, tuân thủ và quản lý sự cố bảo mật thông qua việc thu thập và phân tích (cả gần thời gian thực và lịch sử) các sự kiện bảo mật, cũng như nhiều nguồn dữ liệu theo ngữ cảnh và sự kiện khác .

Các khả năng cốt lõi là phạm vi rộng của việc thu thập và quản lý sự kiện nhật ký, khả năng phân tích các sự kiện nhật ký và dữ liệu khác trên các nguồn khác nhau và khả năng hoạt động (chẳng hạn như quản lý sự cố, bảng điều khiển và báo cáo). ”

Dựa trên định nghĩa, SIEM cho phép nhân viên CNTT xác định các cuộc tấn công trước hoặc khi chúng xảy ra, dẫn đến thời gian phản hồi nhanh hơn cho phản ứng sự cố. Công nghệ SIEM là nền tảng của chiến lược bảo mật của tổ chức, chiến lược này rất quan trọng đối với sự thành công và giám sát liên tục của chương trình an toàn thông tin.

Giải pháp SIEM hoạt động như thế nào?

Giải pháp SIEM hoạt động bằng cách thu thập dữ liệu từ nhiều nguồn khác nhau như máy tính, thiết bị mạng, máy chủ, v.v. Dữ liệu sau đó được chuẩn hóa và tổng hợp. Tiếp theo, các chuyên gia bảo mật phân tích dữ liệu để khám phá và phát hiện các mối đe dọa. Do đó, các doanh nghiệp có thể xác định các vi phạm bảo mật và cho phép các tổ chức điều tra các cảnh báo.

Để hiểu rõ nhất về cách hoạt động của SIEM, trước tiên chúng ta hãy xem xét kỹ hơn hai khái niệm bảo mật chính: sự cố và sự kiện .

Sự cố an ninh

Sự cố bảo mật là sự cố xảy ra thực sự hoặc có khả năng gây nguy hiểm cho tính bảo mật, tính toàn vẹn hoặc tính khả dụng (CIA) của hệ thống thông tin hoặc thông tin mà hệ thống xử lý, lưu trữ, truyền hoặc tạo thành vi phạm hoặc nguy cơ vi phạm chính sách bảo mật sắp xảy ra, các thủ tục bảo mật, hoặc các chính sách sử dụng được chấp nhận.

Ví dụ về một sự cố bao gồm nhưng không giới hạn ở:

  • Nỗ lực (không thành công hoặc thành công) để có được quyền truy cập trái phép vào hệ thống hoặc dữ liệu của hệ thống.
  • Sự gián đoạn hoặc từ chối dịch vụ không mong muốn.
  • Việc sử dụng trái phép hệ thống để xử lý hoặc lưu trữ dữ liệu.
  • Các thay đổi đối với đặc điểm phần cứng, chương trình cơ sở hoặc phần mềm của hệ thống mà không có sự hiểu biết, hướng dẫn hoặc đồng ý của chủ sở hữu.

Sự kiện bảo mật

Sự kiện bảo mật là bất kỳ sự kiện nào có thể quan sát được trong hệ thống thông tin bao gồm:

  • Các hệ điều hành
  • Các ứng dụng
  • Thiết bị
  • Cơ sở dữ liệu

Làm thế nào để nhân viên CNTT được thông báo hoặc nhận biết rằng họ cần phải điều tra một sự kiện hoặc sự cố bảo mật? Điều này thường được thông báo qua một cảnh báo.

Cảnh báo là một thông báo rằng một cuộc tấn công cụ thể đã được nhắm vào hệ thống thông tin của một tổ chức. Các cảnh báo có nội dung ngắn gọn và thường được gửi đến một cá nhân hoặc nhóm phản hồi cụ thể. Thông báo thường được gửi qua email, tin nhắn bật lên trên bảng điều khiển hoặc bằng văn bản hoặc cuộc gọi điện thoại tới điện thoại thông minh.

Tùy thuộc vào số lượng sự kiện được tạo ra cho mỗi nền tảng được theo dõi, bạn có thể tưởng tượng số lượng sự kiện được ghi lại có thể đạt hàng trăm đến hàng nghìn mỗi giờ khá nhanh. Cần phải điều chỉnh cẩn thận và chính xác SIEM để phát hiện và cảnh báo về các sự kiện gây rủi ro lớn nhất.

Chính khả năng này giúp SIEM khác biệt với các công cụ giám sát và phát hiện khác trên mạng, chẳng hạn như IPS hoặc IDS. SIEM không thực sự thay thế chức năng ghi nhật ký của các thiết bị này. Nó chỉ hoạt động cùng với các công cụ này bằng cách nhập và tổng hợp dữ liệu nhật ký của chúng để xác định các sự kiện có thể dẫn đến việc khai thác tiềm năng của một hệ thống.

Hiểu Quy trình SIEM

Quá trình SIEM thu thập và cảnh báo về các sự kiện được phát hiện bao gồm:

  1. Thu thập dữ liệu từ nhiều nguồn khác nhau
  2. Chuẩn hóa và tổng hợp dữ liệu đã thu thập
  3. Phân tích dữ liệu để khám phá và phát hiện các mối đe dọa
  4. Xác định các vi phạm bảo mật và cho phép các tổ chức điều tra các cảnh báo

Lợi ích của Bảo mật SIEM là gì?

Lợi ích của một tổ chức sở hữu SIEM lớn hơn nhiều so với hậu quả của việc không có SIEM. Điều đó miễn là việc thực hiện kiểm soát an ninh đang bảo vệ thứ gì đó có giá trị lớn hơn.

Nếu không có SIEM, nhân viên CNTT sẽ thiếu chế độ xem tập trung về tất cả các nhật ký và sự kiện. Với khả năng hiển thị hạn chế, nhân viên CNTT có nhiều khả năng sẽ bỏ lỡ các sự kiện quan trọng từ hệ thống của họ, dẫn đến một số lượng lớn các sự kiện tồn đọng có thể chứa các sự cố cần điều tra ngay lập tức.

Mặt khác, có SIEM làm tăng hiệu quả và nâng cao chương trình ứng phó sự cố.

Ngoài bảng điều khiển tập trung phổ biến cho hầu hết các sản phẩm SIEM ngày nay, một SIEM được điều chỉnh tốt có thể thông báo về một số danh mục và ngưỡng sự kiện được xác định trước, như được lưu ý trong các trường hợp sau:

  • Tường lửa đã ghi năm lần đăng nhập không chính xác liên tiếp và đã khóa tài khoản quản trị viên.
  • Một phần mềm lọc web đã ghi lại rằng một máy tính đang kết nối với một trang web độc hại 100 lần trong vòng một giờ.

Như đã đề cập, hầu hết các SIEM hiện đại ngày nay đều được tích hợp trí thông minh có thể phát hiện các sự kiện và giới hạn ngưỡng có thể định cấu hình trong một khoảng thời gian nhất định, cùng với các bản tóm tắt và báo cáo có thể tùy chỉnh. Các SIEM tiên tiến hơn hiện đang kết hợp AI (Trí tuệ nhân tạo) để cảnh báo về phân tích hành vi và mẫu.

Các tính năng báo cáo và thông báo cho phép nhân viên CNTT phản ứng và ứng phó nhanh chóng với các sự cố tiềm ẩn. Thông tin tình báo này củng cố khả năng của SIEM trong việc phát hiện các cuộc tấn công độc hại trước khi chúng xảy ra, chẳng hạn như phát hiện các mẫu sự kiện giống như các giai đoạn đầu của một cuộc tấn công bằng ransomware.

Sự hiện diện của SIEM trên mạng có thể giảm chi phí của một vụ vi phạm bảo mật toàn diện, tiết kiệm cho tổ chức một lượng doanh thu không kể xiết và mất danh tiếng.

Ngày nay, nhiều tổ chức được quản lý, chẳng hạn như các tổ chức trong thị trường Ngân hàng, Tài chính, Bảo hiểm và Chăm sóc sức khỏe được yêu cầu chứng thực rằng họ có SIEM được quản lý tại chỗ hoặc trên đám mây. SIEM cung cấp câu trả lời cho các câu hỏi kiểm soát đánh giá an ninh . Chúng cung cấp bằng chứng cho thấy các hệ thống được giám sát và ghi nhật ký, xem xét và có các chính sách lưu giữ nhật ký để đáp ứng các tiêu chuẩn tuân thủ bao gồm ISO và HIPAA.

Công cụ SIEM tốt nhất là gì?

Vì Gartner chịu trách nhiệm về từ viết tắt SIEM, tôi muốn nói rằng chúng sẽ là một nguồn tốt để xác định SIEM tốt nhất và hàng đầu. Các nhà cung cấp hàng đầu trên thị trường theo nghiên cứu của Gartner được liệt kê trong ngăn LÃNH ĐẠO bên dưới:

Chi phí cho một công cụ SIEM là bao nhiêu?

Chi phí của một SIEM khác nhau giữa các nhà cung cấp. Mỗi nhà cung cấp sử dụng các yếu tố khác nhau để đạt được mức giá họ tính cho dịch vụ của họ. Tùy thuộc vào những yếu tố này, bạn có thể phải trả từ 1.800 đô la đến 40.000 đô la mỗi năm cho một giải pháp SIEM . Tuy nhiên, điều này không bao gồm chi phí cho một chuyên gia bảo mật để phân tích và diễn giải các bản ghi. Các vị trí này có mức lương dao động từ $ 60.000 đến $ 100.000 mỗi năm.

Người bánGiải pháp định giáBắt đầu chi phí hàng năm
Splunk Enterprise$ 150 cho mỗi Gigabyte dung lượng lưu trữ$ 1,800
IBM QradarOn Premise – dựa trên sự kiện mỗi giây$ 10,400
McAfee ESMMáy ảo dựa trên đám mây$ 40,794
AlienVault USMDựa trên người dùng – $ 650 lên đến 4TB dữ liệu$ 5,595
SolarWindsDựa trên các nút bắt đầu từ 30 nút$ 4,585

Bảng trên cung cấp ước tính chi phí dự kiến ​​dựa trên các biến như bộ nhớ được sử dụng, sự kiện mỗi giây, số lượng người dùng và số lượng thiết bị hoặc nút.

Dựa trên mẫu ở trên, Splunk Enterprise Free, SolarWinds hoặc AlienVault là những lựa chọn khả thi cho các doanh nghiệp nhỏ hơn nếu họ có yêu cầu lưu trữ thấp hơn và / hoặc số lượng thiết bị hạn chế để quản lý.

Ngày nay, việc các nhà cung cấp hợp tác với các đại lý bên thứ 3 để bán sản phẩm của họ cũng rất phổ biến. Để nhận được giá tốt nhất, hãy liên hệ trực tiếp với nhà cung cấp và họ sẽ chỉ cho bạn danh sách các đại lý ưu tiên của họ để biết giá và chi phí bảo trì hàng năm.

Nhược điểm của SIEM là gì?

Việc đầu tư vào một giải pháp SIEM hoàn chỉnh có thể tốn kém. Nó không phải là một loại công cụ ‘đặt nó vào hệ thống và quên nó đi’. Đó là một công nghệ phức tạp đòi hỏi các kỹ sư và nhà phân tích CNTT có tay nghề cao để quản lý và hỗ trợ. Nhân viên CNTT hỗ trợ SIEM phải có khả năng điều chỉnh hệ thống cho các sự kiện liên quan, giải thích các dạng tấn công độc hại và đã chứng minh kiến ​​thức về quy trình ứng phó sự cố.

Nếu SIEM không được nhân viên thích hợp giám sát 24x7x365 suốt ngày đêm, nó sẽ thêm ít hoặc không có giá trị kinh doanh cho chương trình bả犀利士5mg o mật và có thể khiến tổ chức dễ bị tấn công.

Nhà cung cấp dịch vụ giải pháp được quản lý (MSSP) cũng là một lựa chọn nếu chuyên môn kỹ thuật để quản lý SIEM không có trong tổ chức. Nếu các dịch vụ được quản lý được coi là một lựa chọn khả thi, hãy chuẩn bị cho một khoản phí bảo hiểm hàng tháng cho mức độ chuyên môn và hỗ trợ này.

Như đã lưu ý trong bảng chi phí, SIEM có thể là một khoản đầu tư khá lớn nếu tổ chức có nhiều nguồn dữ liệu tạo ra một số lượng lớn các sự kiện được ghi lại. Nhiều nhà cung cấp SIEM tính phí dựa trên số lượng cảnh báo được kích hoạt và dung lượng lưu trữ cần thiết để giữ lại các sự kiện. Cần có nghiên cứu cẩn thận để ước tính tổng chi phí sở hữu SIEM.

Tại sao các dự án SIEM không thành công?

Để triển khai SIEM thành công, điều bắt buộc là phải hiểu những điểm khó khăn và thất bại từ các triển khai khác.

Có một số lý do khiến việc triển khai SIEM không thành công, bao gồm:

  • Thiếu kế hoạch – Điểm thất bại: Thiếu chiến lược cho SIEM – lập kế hoạch năng lực, hạn chế bằng chứng về các bài tập khái niệm với nhiều nhà cung cấp, hiểu khả năng mở rộng và có nhân viên nội bộ phù hợp đặt câu hỏi phù hợp cho nhà cung cấp.
  • Thiếu Mục tiêu & Mục tiêu cho Giải pháp SIEM – Điểm thất bại: Lãnh đạo Cấp cao không tham gia và đồng hành với việc triển khai và kết quả SIEM
  • Thiếu Đào tạo – Điểm không đạt: Cần có kiến ​​thức phù hợp để điều chỉnh và cấu hình SIEM. Có thể yêu cầu một số kiến ​​thức về kịch bản đối với các sản phẩm SIEM nâng cao
  • Thiếu Tài nguyên Bảo mật để Quản lý Công cụ SIEM – Điểm không thành công: Công cụ sẽ vô dụng nếu không có đủ nguồn lực được đào tạo để hỗ trợ SIEM
  • Độ phức tạp của SIEM – Điểm lỗi: SIEM có thể tạo ra hàng nghìn sự kiện mỗi giờ. Nhân viên hỗ trợ sẽ cần biết cách loại bỏ ‘tiếng ồn cảnh báo’ và tương quan với các sự kiện thực tế để tối đa hóa giá trị của SIEM.
  • Sử dụng SIEM Chỉ để Tuân thủ – Điểm không đạt: Không nhận ra đầy đủ tiềm năng của giá trị SIEM, chẳng hạn như phát hiện phần mềm độc hại , xử lý tấn công vũ phu và giám sát hành vi của người dùng.
  • Không Tăng tốc Giá trị với SIEM – Điểm không đạt: Không kết hợp nguồn cấp dữ liệu thông minh về mối đe dọa với SIEM để giúp cải thiện khả năng phát hiện và ứng phó với mối đe dọa.

Cách Tránh Cạm bẫy Triển khai SIEM

Khi đánh giá một giải pháp SIEM mới cho một tổ chức hoặc xem xét cải tiến giải pháp hiện có, hãy lưu ý rằng SIEM không phải là viên đạn bạc để loại bỏ tất cả các cuộc tấn công và sự cố bảo mật.

Mặc dù nó là một thành phần cần thiết trong chương trình bảo mật tổng thể của tổ chức, giá trị thực sự của SIEM đạt được khi nó được kết hợp với các công cụ ứng phó mối đe dọa khác, chẳng hạn như SOAR – Điều phối bảo mật, Tự động hóa và Ứng phó .

Kết luận

Một trong những bước quan trọng nhất cần có để triển khai SIEM thành công là sự hỗ trợ từ lãnh đạo cấp cao, cùng với việc lập kế hoạch phù hợp. Điều quan trọng là phải thực hiện kiểm tra và đánh giá môi trường nội bộ của bạn trước khi mua SIEM. Bước này sẽ giúp xác định các yêu cầu lưu trữ dựa trên khối lượng dữ liệu và nhật ký được chuyển tiếp đến SIEM từ các hệ thống khác nhau.

Một yếu tố khác để thành công liên quan đến việc nghiên cứu nhiều nhà cung cấp SIEM. Nên thực hiện nhiều bài tập chứng minh khái niệm khi cần thiết để quan sát các tính năng khác nhau và các tùy chọn khả năng mở rộng do nhà cung cấp cung cấp. Điều này sẽ giúp xác định giải pháp tốt nhất phù hợp với các mục tiêu an ninh của công ty.

SIEM, như chúng ta đã tìm hiểu, là một công cụ cần thiết được thiết kế để bảo vệ tổ chức khỏi các cuộc tấn công có thể gây hại cho doanh nghiệp. Bằng cách tránh những cạm bẫy phổ biến liên quan đến việc triển khai SIEM và tận dụng các tính năng của nó cùng với các giải pháp bảo mật khác, SIEM sẽ là một giá trị bổ sung cần thiết cho chiến lược bảo mật CNTT toàn diện.

Nguồn: PurpleSec