Opieka i karmienie SIEM. Nie dla osób o słabym sercu?

SIEM ma swoich przeciwników i zwolenników

SIEM to technologia, którą działy IT uwielbiają… nienawidzić. Z jednej strony muru - postrzega się SIEM jako panaceum, które lokalizuje wszystkie odmienne logi i normalizuje je do analizy bezpieczeństwa sieci. Z drugiej strony, może to być oprogramowanie typu shelfware, którego ciężko się nauczyć, jest trudne w zarządzaniu, drogie w obsłudze i zbyt ważne, aby wśród swoich narzędzi nie zawierało rozwiązania do zabezpieczania danych. Strona muru na którą spadniesz, może się zmienić w dowolnym momencie, być może nawet wiele razy w ciągu tego samego dnia. Podczas, gdy wielu użytkowników uważa SIEM za narzędzie niezbędne dla większych przedsiębiorstw, umożliwiając im daleko idącą kontrolę nad monitorowaniem danych sieciowych dla celów zgodności i bezpieczeństwa, inni uważają, że jest to odpowiednie narzędzie dla małych i średnich firm, rozmiarowo odpowiadające temu środowisku. To, czy SIEM jest odpowiedni dla Twojej organizacji, faktycznie zależy od wielkości sieci i możliwości inwestowania w utrzymanie tego rozwiązania, ponieważ care and feeding (opieka i karmienie) to termin najczęściej kojarzony z SIEM.

Czy w takim razie SIEM jest jeszcze potrzebny?

Systemy SIEM ewoluowały technologicznie, to jest pewne. Jednak podstawowe powody, dla których rynek SIEM istnieje i ma perspektywy, są dokładnie takie same jak kilka lat wstecz. Jest to niezbędny element dobrze zorganizowanego programu bezpieczeństwa informacji. Kilka lat temu SIEM był narzędziem do zarządzania logami, zdolnym do sortowania, korelowania i budowania reguł opartych na dziennikach. Był również w stanie pobierać z niego informacje, przekształcając je w raporty dotyczące zgodności. Miało to być narzędzie reaktywne, służące do raportowania - co na tamten czas wystarczało - jednak dzięki własnej ewolucji stał się również narzędziem badawczym.

Wszystko pod kontrolą - czyli dla kogo sprawdzi się SIEM

Dzisiejsze systemy SIEM - analityka i inteligencja doceniona przez Gartnera

Jednym z głównych czynników decydujących o korzystaniu z oprogramowania SIEM do operacji związanych z bezpieczeństwem są nowsze funkcje zawarte w wielu produktach na rynku. Obecnie wiele technologii SIEM oprócz danych z tradycyjnych dzienników informacji o zagrożeniach wprowadza również zaawansowane funkcje analityki, zgłębiające zachowania sieciowe oraz użytkowników, dostarczając więcej informacji na temat tego, czy dane działanie jest złośliwe. Firma Gartner, która zajmuje się badaniami technologii, w swoim raporcie z maja 2017 r. wymienia inteligencję występującą w narzędziach SIEM, mówiąc o innowacjach poruszających się w ekscytującym tempie, tworzących jeszcze lepsze narzędzia do wykrywania zagrożeń. Raport wskazuje również, że dostawcy wprowadzają do swoich rozwiązań maszynowe uczenie się, zaawansowaną analizę statystyczną i inne metody analityczne do swoich produktów, podczas gdy niektórzy eksperymentują również z sztuczną inteligencją i możliwościami głębokiego uczenia się. Rob Stroud, główny analityk z Forrester Research i były prezes zarządu ISACA mówi, że widzi obietnicę w takich technologiach. „Dzięki sztucznej inteligencji i uczeniu maszynowemu możemy wykonywać monitorowanie oparte na wzorach oraz ostrzeganie, ale prawdziwą szansą jest przywracanie predykcyjne. SIEM przekształca się z narzędzia monitorującego do rozwiązania, sugerującego miejsca wymagające naprawy” - mówi Strud, dodając, że spodziewa się iż oprogramowanie SIEM będzie w stanie zautomatyzować remediację w przyszłości. Najnowszy raport Gartnera - Gartner Magic Quadrant dla SIEM możesz pobrać na naszej stronie - KLIK