Πώς να εντοπίσετε έναν σύγχρονο απατεώνα της SIEM

By

Marizas Dimitris

On

Νοέ 21, 2023

Το να παραμένετε μπροστά από την καμπύλη της κυβερνοασφάλειας μπορεί να μοιάζει σαν να τρέχετε έναν μαραθώνιο εντελώς ανηφορικό, αλλά η εύρεση της ιδανικής διαχείρισης πληροφοριών ασφαλείας και συμβάντων (SIEM) μπορεί να βοηθήσει στην άμβλυνση της πίεσης και να ισοπεδώσει δραστικά τους όρους ανταγωνισμού για τους οργανισμούς.

Οι πλατφόρμες SIEM παλαιού τύπου σχεδιάστηκαν για να αναπτύσσονται εντός των εγκαταστάσεων και όχι στο cloud. Αυτή η προσέγγιση της παλιάς σχολής σημαίνει ότι έχουν περιορισμένη επεκτασιμότητα και δεν μπορούν να προσαρμοστούν στο σύγχρονο επιχειρηματικό τοπίο που βασίζεται στο cloud. Αντίθετα, οι πλατφόρμες δεδομένων ασφαλείας που έχουν εμφανιστεί τα τελευταία χρόνια αξιοποιούν την τεχνολογία cloud. Αυτές οι λύσεις προσαρμόζονται για να ανταποκρίνονται στις μεταβαλλόμενες απαιτήσεις των σημερινών λειτουργιών ασφάλειας και προσφέρουν μοντέλα εγγενούς λογισμικού ως υπηρεσίας (SaaS) στο cloud για να παρέχουν μεγαλύτερη ευελιξία.

Δυστυχώς για τους CISO, ωστόσο, σε πολλά παλαιού τύπου SIEM αρέσει να παρουσιάζονται ως σύγχρονες λύσεις στην αγορά. Αυτές οι συμβουλές θα σας βοηθήσουν να προσδιορίσετε ποια SIEM είναι η πραγματική συμφωνία.

Ένα μοντέλο ανάπτυξης SaaS

Τυπικά εγκατεστημένα εντός των εγκαταστάσεων, τα παλαιού τύπου SIEM βρίσκονται πίσω από την καμπύλη όσον αφορά την επεκτασιμότητα. Τα στοιχεία υλικού απαιτούν επίσης σημαντική διοικητική επιβάρυνση. Εν τω μεταξύ, πιο έξυπνες λύσεις ασφάλειας παρέχονται μέσω μοντέλων SaaS, τα οποία εκμεταλλεύονται την ελαστικότητα του cloud για να παρέχουν πόρους υπολογισμού, μνήμης και αποθήκευσης κατ’ απαίτηση.

Η

αρχιτεκτονική

που βασίζεται στο cloud επιτρέπει στους οργανισμούς να συλλέγουν και να διατηρούν περισσότερα δεδομένα, να πραγματοποιούν πιο συχνές αναζητήσεις και να επιτυγχάνουν μεγαλύτερη ορατότητα στην επιφάνεια επίθεσης. Πολλά παλαιού τύπου SIEM κατασκευάστηκαν για να αναπτύσσονται on-prem, αλλά τώρα προσφέρουν λύσεις “cloud”. Προσοχή όμως! Εάν εξακολουθείτε να μπορείτε να αναπτύξετε τη λύση on-prem, πιθανότατα έχετε να κάνετε με μια

πλατφόρμα

παλαιού τύπου που μεταμφιέζεται σε μια πιο σύγχρονη λύση.

Κατασκευασμένο για εξάρτηση από SIEM

Τα παλαιού τύπου SIEM έχουν συχνά μια αρθρωτή αρχιτεκτονική και απαιτούν πρόσθετα στοιχεία για συγκεκριμένες λειτουργίες, με αποτέλεσμα μια ασύνδετη ροή εργασίας για τους αναλυτές. Τα πιο έξυπνα SIEM,

αντίθετα

, έχουν μια πλήρη και ανοιχτή αρχιτεκτονική που ενσωματώνει όλες τις λειτουργίες, όπως μηχανική εκμάθηση, οπτικοποίηση δεδομένων και ανάλυση δεδομένων, σε μια ενιαία δι

επα

φή χρήστη (UI) – αντί της παλιάς προσέγγισης τούβλο προς τούβλο.

Αυτή η βελτιωμένη διεπαφή χρήστη επιτρέπει στους αναλυτές να εργάζονται πιο αποτελεσματικά και αποτελεσματικά, με βελτιωμένη συνεργασία και συσχέτιση δεδομένων. Τα σύγχρονα SIEM δίνουν προτεραιότητα στην ανοιχτή ενοποίηση και παρέχουν ευέλικτα API για απρόσκοπτη ενσωμάτωση με άλλες λύσεις. Από την άλλη πλευρά, τα παλαιού τύπου SIEM περιορίζουν τις ενσωματώσεις με εξωτερικούς προμηθευτές. Οι σημερινές πλατφόρμες αιχμής επιτρέπουν στους οργανισμούς να εισάγουν δεδομένα από πολλές πηγές και να χρησιμοποιούν τις πιο πρόσφατες ροές πληροφοριών απειλών για εμπλουτισμένο περιβάλλον και καλύτερες δυνατότητες ανίχνευσης. Η απειλή του κλειδώματος του προμηθευτή είναι πολύ πραγματική με τα παλιά συστήματα. μην αφήνετε τον προμηθευτή σας να υπαγορεύει ποια εργαλεία μπορείτε να χρησιμοποιήσετε και να προστατέψετε.

(Πίστωση εικόνας:

Getty Images

)

Έξυπνη ανάλυση και αποθήκευση δεδομένων

Τα παλαιού τύπου SIEM πρέπει να αναλύουν και να ευρετηριάζουν τα δεδομένα κατά την απορρόφηση, οδηγώντας σε καθυστέρηση ειδοποίησης και αργές αναζητήσεις κατά τη διάρκεια των αιχμών δεδομένων. Τα σύγχρονα SIEM ακολουθούν μια διαφορετική προσέγγιση, αποθηκεύοντας δεδομένα ακατέργαστα για άμεση δυνατότητα αναζήτησης και προσφέροντας τη δυνατότητα ανάλυσης δεδομένων μετά από ερώτημα για την εξάλειψη των καθυστερήσεων.

Αξιοποιούν επίσης συστήματα μεμονωμένης αποθήκευσης, συμπιέζουν δεδομένα για τη βελτιστοποίηση του χώρου αποθήκευσης και παρέχουν αποτελεσματική απόδοση αναζήτησης για πρόσφατα και ιστορικά δεδομένα. Το μεγαλύτερο δώρο ενός παλαιού τύπου SIEM είναι ότι ευρετηριάζει δεδομένα πριν λάβετε ειδοποιήσεις.

Εμπλουτισμός δεδομένων και ευφυΐα απειλών

Τα SIEM επόμενης γενιάς προσφέρουν ευέλικτες δυνατότητες εμπλουτισμού δεδομένων, επιτρέποντας στους οργανισμούς να προσθέτουν πληροφορίες με βάση τα συμφραζόμενα στα δεδομένα καταγραφής τους. Αυτή η προσπάθεια εμπλουτισμού επιτρέπει στους αναλυτές να λαμβάνουν ταχύτερες και πιο ενημερωμένες αποφάσεις. Παρέχουν επίσης ολοκληρωμένες πλατφόρμες πληροφοριών απειλών, εξαλείφοντας την ανάγκη για ξεχωριστές λύσεις και δίνοντας τη δυνατότητα στις ομάδες του κέντρου επιχειρήσεων ασφαλείας (SOC) να παραμένουν ενημερωμένες με τους πιο πρόσφατους δείκτες απειλών.

Εάν το SIEM σας, αντίθετα, προσφέρει πληροφορίες μόνο για τις απειλές χρησιμοποιώντας τις πηγές δεδομένων του προμηθευτή, θα πρέπει να θεωρείται σοβαρή κόκκινη σημαία. Μπορεί να σας εκθέσει εάν υπάρχει ένας συγκεκριμένος φορέας επίθεσης για τον κλάδο σας που δεν θα έχετε επίβλεψη. Με άλλα λόγια, θα ανέβεις σε έναν κολπίσκο χωρίς κουπί.

Οι σύγχρονες πλατφόρμες δεδομένων ασφαλείας δίνουν προτεραιότητα στη βελτίωση της ροής εργασίας των αναλυτών SOC παρέχοντας μια ενιαία διεπαφή χρήστη που ενοποιεί όλες τις πληροφορίες και τα εργαλεία που απαιτούνται για τη διεξαγωγή ερευνών.

Αυτή η βελτιωμένη προσέγγιση βελτιώνει τη συνεργασία και επιταχύνει την απόκριση σε περιστατικά. Αλλά αν οι αναλυτές σας χρειάζονται πολλά παράθυρα ανοιχτά και κόψιμο και επικόλληση μεταξύ τους, βεβαιωθείτε ότι αναζητάτε ένα παλαιού τύπου SIEM.

Επιλέγοντας τη σωστή λύση ασφάλειας

Η σωστή λύση SIEM είναι ζωτικής σημασίας για μια στρατηγική κυβερνοασφάλειας παγκόσμιας κλάσης. Κατά την αξιολόγηση πιθανών προμηθευτών, πρέπει να δώσετε προτεραιότητα στην επεκτασιμότητα, την ευελιξία και τη φιλικότητα προς τον χρήστη για να μειώσετε τον κίνδυνο και να προστατέψετε τα κρίσιμα περιουσιακά στοιχεία του οργανισμού σας. Είναι σημαντικό να διακρίνουμε τη διαφορά μεταξύ μιας γνήσιας έξυπνης επιλογής SIEM που προέρχεται από το cloud και μιας εναλλακτικής λύσης παλαιού τύπου που έχει ντυθεί ένας προμηθευτής.

Το Devo, για παράδειγμα, είναι ένα πλήρως διαχειριζόμενο σύστημα SaaS, εγγενές στο cloud, το οποίο μπορεί να χειριστεί μνημειώδεις ποσότητες δεδομένων από περιβάλλοντα multicloud και υβριδικού cloud. Το μοντέλο τιμολόγησής του είναι επίσης αναζωογονητικά απλό και περιλαμβάνει όλα τα είδη των χαρακτηριστικών. Είναι επίσης ένα οργανικό σύστημα που ενσωματώνεται απρόσκοπτα με άλλες τεχνολογίες, με το πλήρως επεκτάσιμο API του να λειτουργεί με οποιαδήποτε τεχνολογία ενορχήστρωσης, αυτοματισμού και απόκρισης (SOAR) ασφαλείας επιλέγετε. Επίσης, απορροφά δεδομένα από σχεδόν οποιαδήποτε πηγή σε δομημένες ή μη δομημένες μορφές και τα διατηρεί ακατέργαστα χωρίς να τα αλλάζει. Τώρα, προσθέστε 400 ημέρες καυτών δεδομένων με δυνατότητα αναζήτησης, διευκολύνοντας τους αναλυτές να εντοπίσουν την προέλευση μιας απειλής στο περιβάλλον τους.

Η πλατφόρμα αναλύει επίσης δεδομένα κατά τη στιγμή του ερωτήματος αντί κατά την απορρόφηση, πράγμα που σημαίνει ότι ο οργανισμός σας μπορεί να περιορίσει τυχόν καθυστερήσεις στην επεξεργασία αιτημάτων. Τέλος, είναι ενσωματωμένο στην πλατφόρμα αποθήκευσης πληροφοριών απειλών MISP, που σημαίνει ότι ο οργανισμός σας δεν θα χρειαστεί να ρυθμίσει τίποτα ή να κωδικοποιήσει με μη αυτόματο τρόπο.

Αν ψάχνετε για μια ολοκληρωμένη λύση SIEM που θα σημαδεύει όλα τα κουτάκια, αυτό

Οδηγός αγοραστή

συγκρίνει τους κορυφαίους προμηθευτές και έχει όλες τις πληροφορίες που χρειάζεστε για να εντοπίσετε τους απατεώνες και να πάρετε τη σωστή απόφαση.