A tipikus szervezetben található hatalmas információmennyiség eszközöket igényel az információk hatékony és eredményes összegyűjtéséhez, feldolgozásához és tárolásához. Minden nagyszabású biztonsági művelethez biztonsági műveleti központra (SOC) van szükség a döntések meghozatalához, és biztonsági információ- és eseménykezelőre (SIEM) az információk tárolására. Míg a SOC és a SIEM különálló megoldásként állnak rendelkezésre, erősségeik kombinálása még jobb eredményeket eredményez.
Mi az a Security Operations Center (SOC)?
A Security Operations Center (SOC) központosítja az IT-biztonsági események elemzését, és meghatározza a megfelelő választ. Nagyon kis szervezetekben ez a funkció az IT-személyzeten belüli szakember részmunkaidős feladata lehet, de nagyobb szervezeteknél az események nagy száma megköveteli a SOC elfogadását a hatékony biztonság érdekében.
Az SOC-k a szervezet különböző részeiről érkező riasztásokat tartalmazzák:
- végpontok
- hálózati berendezések
- tűzfalak
- szerverek (belső vagy webes)
- felhő erőforrások
- virtuális eszközök
- mobil eszközök
- alkalmazások.
Gyakorlati értelemben sok SOC csak a lehetséges rendszerek egy részét figyeli. Az SOC-k sok hasonlóságot mutatnak a hálózati műveleti központokkal (NOC), és egyes szervezetek megpróbálják ezeket a szerepköröket egyetlen megoldásban egyesíteni, de általában ezeket a szerepköröket a jövőben szét kell választani.
Ahogy egy szervezet bővül, és egyre több csatlakoztatott eszközt foglal magába, mint például a dolgok internete (IoT) vagy az operatív technológia (OT), előfordulhat, hogy ezeket az eszközöket is be kell vonni, ami tovább növeli a figyelt eszközök számát, a generált riasztások számát és a eszközökre van szükség a riasztási folyamat kezeléséhez.
Csak a legnagyobb szervezet engedheti meg magának, hogy ezeket az eszközöket közvetlenül felügyelje, és sok ilyen hatalmas szervezet is menedzselt SOC-hoz fordul , hogy működési és költségelőnyöket érjen el.
Ha egy szervezetnek szelektívnek kell lennie, a felügyelt eszközöknek tükrözniük kell a szervezet kockázati prioritásait. Például egy kávézólánc előnyben részesíti a pénztárgépeket, szervereket és számítógépeket, de figyelmen kívül hagyja a nyomtatókat, fénymásolókat és mobileszközöket. Egy másoló/nyomtató üzletlánc azonban előnyben részesítené a nyomtatókat, mivel az üzleti tevékenységük alapvető funkcióját jelenti.
A prioritásoktól függetlenül a naplófájlok és egyéb információk özönét gyorsan be kell sorolni a határozott fenyegetések, a határozott nem fenyegetések, valamint az SOC eszközei vagy szakértői által értékelendő tételek közé.
Mi az a Biztonsági Információ- és Eseménykezelő (SIEM)?
- összesíti a különböző rendszerekről származó naplóadatokat
- szervezett módon tárolja az információkat
- kapcsolt eseményeket korrelál
- adatelemzést és gépi tanulást alkalmaz a trendek észlelésére
- eszközöket és szoftvereket észlel
- központosítja a konfigurációs és biztonsági felügyeletet
- osztályozza a fenyegetéseket a hatékony osztályozás érdekében
A SIEM-adatbázisok az események időbeli mélyreható vizsgálatához szükséges adatokat is biztosítják. A SIEM-ek általában kulcsfontosságú eszközt jelentenek sok SOC-elemző számára a támadók viselkedésének nyomon követésében. A SIEM-ek azonban értékesnek bizonyulnak a bennfentes fenyegetettség észlelésében, az alkalmazottak rossz viselkedésének dokumentálásában, vagy jelentéstételben a szabályozó hatóságoknak, a bűnüldöző szerveknek, a biztosítótársaságoknak és más érdekelt feleknek.
Egyes szervezetek az SOC-tól függetlenül használhatnak SIEM-et, és riasztásokat küldhetnek a belső vagy külső biztonsági csoportoknak vagy a felügyelt észlelési és válaszadási (MDR) csoportoknak értékelésre. A SIEM-ek felügyelete is kiszervezhető , ami egyenértékű a SIEM-nek a felügyelt IT-biztonsági szolgáltatóktól (MSSP-k) történő szolgáltatásként történő megszerzésével .
Ahol A SOC És A SIEM találkozik
A kiváló megoldás általában a SIEM-eszközök és az SOC-szakértők kombinálása. A SIEM-eszközök általában riasztásokat állítanak elő, és tárolják a riasztásokat generáló naplókat a teljes elemzés érdekében. Magukat a riasztásokat embereknek kell felülvizsgálniuk, akik megerősítik, hogy a riasztás értelmes vagy hamis pozitív.
Az SOC-ban dolgozó humán szakértők működhetnek SIEM nélkül is, de akkor más módot kell találniuk a naplóadatok rendszerezésére vagy a kulcsfontosságú biztonsági események megjelölésére az adatok tengerében. Nagyobb szervezetek számára ez a házi készítésű biztonsági megközelítés ügyetlen lehet, és megnehezítheti a megfelelőségi jelentési és egyéb követelmények teljesítését.
A SIEM-szoftver megnövelt funkcionalitása felhasználható a biztonsági szakemberek támogatására azáltal, hogy prioritást ad a riasztásoknak, és kiemeli az egyes eszközöket vagy tevékenységeket. A mesterséges intelligencia emellett lehetőséget kínál a teljesen automatizált biztonságra a jövőben, amikor a mesterséges intelligencia felismeri a fenyegetéseket, és automatikusan felszámolja őket.
A SIEM-ek azonban jelenleg nem tudnak hatékonyan biztonságot nyújtani SOC-k nélkül. Előfordulhat például, hogy a SIEM-ek nem töltenek be adatokat minden eszközről, és a szakértőknek vagy a feldolgozást lehetővé tevő konfigurációkon kell dolgozniuk, vagy külön folyamatokat kell végrehajtaniuk a nem kompatibilis eszközökhöz. Ezenkívül sok SIEM riasztást ad ki, de nem tudnak cselekedni, vagy akár megfelelő intézkedéseket javasolni sem, így a humánbiztonsági szakembereknek továbbra is tapasztalataikat kell felhasználniuk a válasz meghatározásához.
Hasonlóképpen, az olyan megoldások , mint a kiterjesztett észlelési és válaszadási (XDR) eszközök, sőt a végpont-észlelési és válaszadási (EDR) eszközök is elkezdték beépíteni a SIEM-szerű eszközöket a biztonsági csapatok riasztásainak generálására. Az, hogy ezeknek az eszközöknek a képességei megfelelnek-e a szervezet igényeinek, vagy kedvezően viszonyulnak-e egy SIEM-eszköz képességeihez, a szervezettől és biztonsági igényeitől függ.
Felügyelt SOC És SIEM opciók
Az SOC-k és a SIEM-ek jobban működnek együtt, de csak a legnagyobb szervezetek engedhetik meg maguknak, hogy teljes személyzettel rendelkező SOC-t és robusztus SIEM-et telepítsenek. Sok vállalat, non-profit szervezet és kormányzati szervezet kihasználja a kiszervezést, hogy erősebb biztonsági profilt szerezzen, mint amit belsőleg megengedhet magának. Kiszervezéskor a szervezetek fontolóra vehetik az SOC-funkciók, a SIEM-kezelés vagy mindkettő kiszervezését.
Kiszervezett SOC
Az SOC-funkciók kiszervezésekor a vállalat lehetővé teszi egy harmadik fél számára, hogy megtekintse és reagáljon a vállalat rendszerei által generált naplófájlokra és riasztásokra. Egy vállalat kezelheti saját SIEM-jét, és továbbíthatja a riasztásokat a SOC-nak, vagy dönthet úgy, hogy a naplófájlokat más módon kezeli és tárolja párhuzamosan, vagy miután az SOC-csapat megtekinti azokat.
A kiszervezett SOC 12 előnye:
- Jobb minőség: Az outsourcing javítja az általános minőséget
- Jobb biztonsági személyzet: kerülje el a kiberbiztonsági készséghiányt és annak megőrzésének problémáját, kiszervezett szakértelem használatával.
- Biztonsági fókusz 24/7/365 – nincs IT-művelet és a help desk zavaró tényezője.
- Biztonsági érettség – a szélesebb felhasználói bázis kezelése azt jelenti, hogy egy ügyfél problémája azt jelenti, hogy mindenki számára kihasználható a tapasztalat. Az állandó biztonsági munka sokkal gyorsabban építi a tapasztalatokat, mint a belső csapatoknál.
- Azonnali hozzáférés szakértőkhöz – rosszindulatú programok elemzői, incidensre válaszolók és kriminalisztikai mérnökök szükség szerint a teljes munkaidős megőrzési költségek nélkül
- Meghatározott teljesítmény a szolgáltatási szint megállapodásokon (SLA) keresztül
- A legkorszerűbb technológiát kínálja – a nagyobb ügyfélkörrel a kiszervezett SOC megengedheti magának a legfejlettebb eszközöket, felszereléseket és tehetségeket.
- A kiszervezett SOC-k figyelik a fenyegetésintelligencia-hírcsatornákat a legújabb fenyegetésekért
Továbbfejlesztett támogatás a különböző megfelelőségi és jelentési követelményekhez - Csökkentett teljes tulajdonlási költség: Ahelyett, hogy teljes csapatot bérelne fel, drága szoftvert vásárolna, és a belső SOC-hoz szükséges hardverbe fektetne be, a kiszervezett SOC ezeket a költségeket szétosztja számos ügyfél között, és áthárítja a megtakarításokat.
- Gyors üzembe helyezés: Az eszközök üzembe helyezése és konfigurálása időt és szakértelmet igényel. A kiszervezett SOC drámaian lecsökkent tanulási görbét élvez, mint egy házon belüli csapat.
- Skálázhatóság és rugalmasság: A házon belüli csapatok választanak megoldásokat, és az aktuális igények alapján építenek csapatokat. A növekvő igények túlterheltséget okoznak, a csökkenő igények pedig veszélyeztetik a jövedelmezőséget és a jövőbeli költségvetéseket.
- A kiszervezett SOC-k gyorsan méretezhetők a szervezet jelenlegi és jövőbeli igényeihez, és gyakran jobban integrálhatók más biztonsági lehetőségekkel, mint például a felügyelt észlelés és válasz (MDR), e-mail-biztonság stb.
Kiszervezett SIEM
A szervezet dönthet úgy, hogy működteti belső SOC-ját, de úgy dönt, hogy a SIEM-funkciókat és irányítást kiszervezi. A kiszervezett SIEM a házon belüli erőforrásokat táplálja, de a partner kezeli, karbantartja és felügyeli.
A kiszervezett SIEM 8 előnye:
- Szakértői konfiguráció – A SIEM-szoftver nagyon összetett lehet, és tapasztalatot igényel a SIEM megfelelő konfigurálásához, a rendszerekkel való kapcsolatok biztosításához, a naplóadatok megfelelő biztonságos tárolásához és a megfelelő riasztások eljuttatásához az SOC-hoz.
- Továbbfejlesztett eseményfelismerés – Az eseménykorreláció, az adatelemzés és a gépi tanulás egy kihelyezett SIEM-szállítótól kihasználják más ügyfelek tapasztalatait a szoftver gyorsabb betanítása és a fenyegetések gyorsabb felismerése érdekében. Hasonlóképpen előfordulhat, hogy a téves pozitív üzenetek következetesebben jelölhetők meg, és a téves riasztások gyorsabban elnémulnak.
- Továbbfejlesztett erőforrások – A biztonsági céghez történő kiszervezés lehetővé teszi a szervezet számára, hogy:
- nagyobb biztonsági csapatokhoz férhetnek hozzá, mint amennyit megengedhetnek maguknak a házon belüli fenntartást
- olyan szakembereket kell igénybe venni, akiket nem lehetett házon belül megtartani
24/7/365 felügyeletet kaphat alacsonyabb költségek mellett - fejlettebb SIEM-eszközök előnyeit, mint amennyit a házon belüli használat indokolt volna
alacsonyabb a teljes birtoklási költség a házon belüli megvalósításhoz képest (hardver, szoftver, munkaerő, energia stb.) - Gyors rugalmasság: A felügyelt SIEM megkerüli a berendezések vásárlásához, az alkalmazottak bérbeadásához vagy a szoftver telepítéséhez és konfigurálásához szükséges költségeket és időt. A felügyelt SIEM-ek gyorsan bővíthetők vagy gyorsan csökkenthetők, hogy megfeleljenek a szervezet igényeinek.
- Megakadályozza a manipulációt: A bennfentesek és a támadók nem módosíthatják a kihelyezett SIEM-hez küldött naplófájlokat.
Kiszervezett SOC + SIEM
Ha csak az egyik összetevőt adjuk ki, egyes szervezetek félreértést kockáztatnak a szervezetek között, és olyan belső erőforrásokra támaszkodnak, amelyek kapacitása korlátozott.
Például előfordulhat, hogy egy ügyvédi iroda elfelejti tájékoztatni a kiszervezett SOC-t az új ügyvédi irodáról, amelyet éppen beolvadt a partnerségbe. Előfordulhat, hogy a SIEM felveszi az új eszközöket, de előfordulhat, hogy az SOC nem kapja meg a riasztásokat, és nem tudja, mit kell tennie, ha ismeretlen eszközökre vonatkozó riasztások hirtelen megjelennek.
Egy másik példa: előfordulhat, hogy egy önkormányzati segédprogram lemarad a kiszervezett SIEM-riasztásokról, amelyek egy olyan új WiFi-útválasztóval kapcsolatosak, amelyet még nem rendeltek hozzá az IT-részlegen. A kiszervezett partner nem fogja tudni megállapítani, hogy a riasztásokat figyelmen kívül hagyták, és az informatikai részleg veszélybe sodorhatja a szervezetet, amíg a vezető észre nem veszi a felügyeletet.
Ezek a hibák bárkivel előfordulhatnak, de egy teljesen kiszervezett megoldás csökkenti az ilyen típusú félreértéseket, mivel az SOC és a SIEM információk egyetlen forráson keresztül áramlanak, erős biztonsági gyakorlattal és belső jelentésekkel.
A SOC és a SIEM kiszervezésével egy szervezet nemcsak a kiszervezett SOC- és SIEM-megoldások összes előnyét élvezheti, hanem további fejlesztéseket is láthat, például:
- Megnövelt előnyök – A SOC és a SIEM funkciók kiszervezésével az egyéni előnyök, például az alacsonyabb teljes birtoklási költség, a gyors üzembe helyezés és a szakértőkhöz való hozzáférés növekedni fog.
- Nincs bennfentes konfliktus: Az SOC és a SIEM kiszervezésével a biztonsági szállító észlelheti az árnyékinformációkat, és nem kényszerítik rá politikailag, hogy figyelmen kívül hagyja.
- A rosszindulatú bennfentesek nem tudják megvédeni magukat mások nyomására vagy az IT-naplók észrevétlen manipulálásával.
A megfelelő biztonsági szolgáltató kiválasztása
Természetesen nem minden szállító tudja teljesíteni a kiszervezett SOC és SIEM erőforrások ígért előnyeit. A szervezeteknek gondosan fel kell mérniük potenciális outsourcing partnereiket, és több kulcstényezőt is meg kell vizsgálniuk:
Biztonsági fókusz – Válasszon ki egy, a biztonságra összpontosító szállítót. Kerülje el a felügyelt IT-szolgáltatót (MSP), amely inkább egy help desk, amely biztonsági szolgáltatások hozzáadásával próbálja felépíteni üzletét. Válasszon olyan szállítót, aki kizárólag a lehető legjobb biztonságot nyújtja a nap minden pillanatában.
Tapasztalat – Keressen olyan szállítókat, akik évek óta tapasztalattal rendelkeznek az ügyfelek biztonságának biztosításában, és belső szakértelemmel rendelkeznek. Egyes szállítók egyszerűen közvetítőként működnek az ügyfelek és a szerszámszállítók között anélkül, hogy hozzáadott értéket adnának.
Naprakész – Bár a tapasztalat kulcsfontosságú lehet, a biztonsági cégeknek is naprakésznek kell lenniük a legújabb fenyegetésekkel, a legújabb trendekkel, a legújabb eszközökkel és módszerekkel. Bár egyes trendek divatok lehetnek, a tapasztalat és a jelenlegi tudás megfelelő egyensúlyával rendelkező eladónak képesnek kell lennie arra, hogy megmagyarázza, miért fontos egy trend, vagy miért kell figyelmen kívül hagyni.
Jó kommunikáció – Bármely fejlett téma fekete doboz lehet a kevesebb tudással rendelkezők számára, de a szervezeteknek meg kell érteniük kockázatokat, és meg kell érteni, hogy mit kell megtenni a védelmük érdekében. Az szolgáltatónak képesnek kell lennie arra, hogy világos jelentéseket készítsen, egyszerű angol nyelven válaszoljon a kérdésekre, és segítsen a vezetőknek megérteni a teljes képet anélkül, hogy rövidítésekbe vagy szakkifejezésekbe fulladna.