Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

SOC vs. SIEM vagy SOC + SIEM?

MEGOSZTÁS

A kiberbiztonsági ökoszisztéma működéséhez információkra van szükség. A biztonsági csapatoknak különféle forrásokból kell összegyűjteniük az információkat, elemezniük kell ezeket a rosszindulatú tevékenységeket és meg kell határozniuk a megfelelő válaszokat.

A tipikus szervezetben található hatalmas információmennyiség eszközöket igényel az információk hatékony és eredményes összegyűjtéséhez, feldolgozásához és tárolásához. Minden nagyszabású biztonsági művelethez biztonsági műveleti központra (SOC) van szükség a döntések meghozatalához, és biztonsági információ- és eseménykezelőre (SIEM) az információk tárolására. Míg a SOC és a SIEM különálló megoldásként állnak rendelkezésre, erősségeik kombinálása még jobb eredményeket eredményez.

Mi az a Security Operations Center (SOC)?

A Security Operations Center (SOC) központosítja az IT-biztonsági események elemzését, és meghatározza a megfelelő választ. Nagyon kis szervezetekben ez a funkció az IT-személyzeten belüli szakember részmunkaidős feladata lehet, de nagyobb szervezeteknél az események nagy száma megköveteli a SOC elfogadását a hatékony biztonság érdekében.

Az SOC-k a szervezet különböző részeiről érkező riasztásokat tartalmazzák:

  • végpontok
  • hálózati berendezések
  • tűzfalak
  • szerverek (belső vagy webes)
  • felhő erőforrások
  • virtuális eszközök
  • mobil eszközök
  • alkalmazások.

Gyakorlati értelemben sok SOC csak a lehetséges rendszerek egy részét figyeli. Az SOC-k sok hasonlóságot mutatnak a hálózati műveleti központokkal (NOC), és egyes szervezetek megpróbálják ezeket a szerepköröket egyetlen megoldásban egyesíteni, de általában ezeket a szerepköröket a jövőben szét kell választani.

Ahogy egy szervezet bővül, és egyre több csatlakoztatott eszközt foglal magába, mint például a dolgok internete (IoT) vagy az operatív technológia (OT), előfordulhat, hogy ezeket az eszközöket is be kell vonni, ami tovább növeli a figyelt eszközök számát, a generált riasztások számát és a eszközökre van szükség a riasztási folyamat kezeléséhez.

Csak a legnagyobb szervezet engedheti meg magának, hogy ezeket az eszközöket közvetlenül felügyelje, és sok ilyen hatalmas szervezet is menedzselt SOC-hoz fordul , hogy működési és költségelőnyöket érjen el.

Ha egy szervezetnek szelektívnek kell lennie, a felügyelt eszközöknek tükrözniük kell a szervezet kockázati prioritásait. Például egy kávézólánc előnyben részesíti a pénztárgépeket, szervereket és számítógépeket, de figyelmen kívül hagyja a nyomtatókat, fénymásolókat és mobileszközöket. Egy másoló/nyomtató üzletlánc azonban előnyben részesítené a nyomtatókat, mivel az üzleti tevékenységük alapvető funkcióját jelenti.

A prioritásoktól függetlenül a naplófájlok és egyéb információk özönét gyorsan be kell sorolni a határozott fenyegetések, a határozott nem fenyegetések, valamint az SOC eszközei vagy szakértői által értékelendő tételek közé.

A SIEM-ek általában kulcsfontosságú eszközt jelentenek sok SOC-elemző számára a támadók viselkedésének nyomon követésében.

Mi az a Biztonsági Információ- és Eseménykezelő (SIEM)?

  • összesíti a különböző rendszerekről származó naplóadatokat
  • szervezett módon tárolja az információkat
  • kapcsolt eseményeket korrelál
  • adatelemzést és gépi tanulást alkalmaz a trendek észlelésére
  • eszközöket és szoftvereket észlel
  • központosítja a konfigurációs és biztonsági felügyeletet
  • osztályozza a fenyegetéseket a hatékony osztályozás érdekében

A SIEM-adatbázisok az események időbeli mélyreható vizsgálatához szükséges adatokat is biztosítják. A SIEM-ek általában kulcsfontosságú eszközt jelentenek sok SOC-elemző számára a támadók viselkedésének nyomon követésében. A SIEM-ek azonban értékesnek bizonyulnak a bennfentes fenyegetettség észlelésében, az alkalmazottak rossz viselkedésének dokumentálásában, vagy jelentéstételben a szabályozó hatóságoknak, a bűnüldöző szerveknek, a biztosítótársaságoknak és más érdekelt feleknek.

Egyes szervezetek az SOC-tól függetlenül használhatnak SIEM-et, és riasztásokat küldhetnek a belső vagy külső biztonsági csoportoknak vagy a felügyelt észlelési és válaszadási (MDR) csoportoknak értékelésre. A SIEM-ek felügyelete is kiszervezhető , ami egyenértékű a SIEM-nek a felügyelt IT-biztonsági szolgáltatóktól (MSSP-k) történő szolgáltatásként történő megszerzésével .

Ahol A SOC És A SIEM találkozik

A kiváló megoldás általában a SIEM-eszközök és az SOC-szakértők kombinálása. A SIEM-eszközök általában riasztásokat állítanak elő, és tárolják a riasztásokat generáló naplókat a teljes elemzés érdekében. Magukat a riasztásokat embereknek kell felülvizsgálniuk, akik megerősítik, hogy a riasztás értelmes vagy hamis pozitív.

Az SOC-ban dolgozó humán szakértők működhetnek SIEM nélkül is, de akkor más módot kell találniuk a naplóadatok rendszerezésére vagy a kulcsfontosságú biztonsági események megjelölésére az adatok tengerében. Nagyobb szervezetek számára ez a házi készítésű biztonsági megközelítés ügyetlen lehet, és megnehezítheti a megfelelőségi jelentési és egyéb követelmények teljesítését.

A SIEM-szoftver megnövelt funkcionalitása felhasználható a biztonsági szakemberek támogatására azáltal, hogy prioritást ad a riasztásoknak, és kiemeli az egyes eszközöket vagy tevékenységeket. A mesterséges intelligencia emellett lehetőséget kínál a teljesen automatizált biztonságra a jövőben, amikor a mesterséges intelligencia felismeri a fenyegetéseket, és automatikusan felszámolja őket.

A SIEM-ek azonban jelenleg nem tudnak hatékonyan biztonságot nyújtani SOC-k nélkül. Előfordulhat például, hogy a SIEM-ek nem töltenek be adatokat minden eszközről, és a szakértőknek vagy a feldolgozást lehetővé tevő konfigurációkon kell dolgozniuk, vagy külön folyamatokat kell végrehajtaniuk a nem kompatibilis eszközökhöz. Ezenkívül sok SIEM riasztást ad ki, de nem tudnak cselekedni, vagy akár megfelelő intézkedéseket javasolni sem, így a humánbiztonsági szakembereknek továbbra is tapasztalataikat kell felhasználniuk a válasz meghatározásához.

Hasonlóképpen, az olyan megoldások , mint a kiterjesztett észlelési és válaszadási (XDR) eszközök, sőt a végpont-észlelési és válaszadási (EDR) eszközök is elkezdték beépíteni a SIEM-szerű eszközöket a biztonsági csapatok riasztásainak generálására. Az, hogy ezeknek az eszközöknek a képességei megfelelnek-e a szervezet igényeinek, vagy kedvezően viszonyulnak-e egy SIEM-eszköz képességeihez, a szervezettől és biztonsági igényeitől függ.

Felügyelt SOC És SIEM opciók

Az SOC-k és a SIEM-ek jobban működnek együtt, de csak a legnagyobb szervezetek engedhetik meg maguknak, hogy teljes személyzettel rendelkező SOC-t és robusztus SIEM-et telepítsenek. Sok vállalat, non-profit szervezet és kormányzati szervezet kihasználja a kiszervezést, hogy erősebb biztonsági profilt szerezzen, mint amit belsőleg megengedhet magának. Kiszervezéskor a szervezetek fontolóra vehetik az SOC-funkciók, a SIEM-kezelés vagy mindkettő kiszervezését.

Kiszervezett SOC

Az SOC-funkciók kiszervezésekor a vállalat lehetővé teszi egy harmadik fél számára, hogy megtekintse és reagáljon a vállalat rendszerei által generált naplófájlokra és riasztásokra. Egy vállalat kezelheti saját SIEM-jét, és továbbíthatja a riasztásokat a SOC-nak, vagy dönthet úgy, hogy a naplófájlokat más módon kezeli és tárolja párhuzamosan, vagy miután az SOC-csapat megtekinti azokat.

Az szolgáltatónak képesnek kell lennie arra, hogy világos jelentéseket készítsen, egyszerű angol nyelven válaszoljon a kérdésekre, és segítsen a vezetőknek megérteni a teljes képet anélkül, hogy rövidítésekbe vagy szakkifejezésekbe fulladna.

A kiszervezett SOC 12 előnye:

  1. Jobb minőség: Az outsourcing javítja az általános minőséget
  2. Jobb biztonsági személyzet: kerülje el a kiberbiztonsági készséghiányt és annak megőrzésének problémáját, kiszervezett szakértelem használatával.
  3. Biztonsági fókusz 24/7/365 – nincs IT-művelet és a help desk zavaró tényezője.
  4. Biztonsági érettség – a szélesebb felhasználói bázis kezelése azt jelenti, hogy egy ügyfél problémája azt jelenti, hogy mindenki számára kihasználható a tapasztalat. Az állandó biztonsági munka sokkal gyorsabban építi a tapasztalatokat, mint a belső csapatoknál.
  5. Azonnali hozzáférés szakértőkhöz – rosszindulatú programok elemzői, incidensre válaszolók és kriminalisztikai mérnökök szükség szerint a teljes munkaidős megőrzési költségek nélkül
  6. Meghatározott teljesítmény a szolgáltatási szint megállapodásokon (SLA) keresztül
  7. A legkorszerűbb technológiát kínálja – a nagyobb ügyfélkörrel a kiszervezett SOC megengedheti magának a legfejlettebb eszközöket, felszereléseket és tehetségeket.
  8. A kiszervezett SOC-k figyelik a fenyegetésintelligencia-hírcsatornákat a legújabb fenyegetésekért
    Továbbfejlesztett támogatás a különböző megfelelőségi és jelentési követelményekhez
  9. Csökkentett teljes tulajdonlási költség: Ahelyett, hogy teljes csapatot bérelne fel, drága szoftvert vásárolna, és a belső SOC-hoz szükséges hardverbe fektetne be, a kiszervezett SOC ezeket a költségeket szétosztja számos ügyfél között, és áthárítja a megtakarításokat.
  10. Gyors üzembe helyezés: Az eszközök üzembe helyezése és konfigurálása időt és szakértelmet igényel. A kiszervezett SOC drámaian lecsökkent tanulási görbét élvez, mint egy házon belüli csapat.
  11. Skálázhatóság és rugalmasság: A házon belüli csapatok választanak megoldásokat, és az aktuális igények alapján építenek csapatokat. A növekvő igények túlterheltséget okoznak, a csökkenő igények pedig veszélyeztetik a jövedelmezőséget és a jövőbeli költségvetéseket.
  12. A kiszervezett SOC-k gyorsan méretezhetők a szervezet jelenlegi és jövőbeli igényeihez, és gyakran jobban integrálhatók más biztonsági lehetőségekkel, mint például a felügyelt észlelés és válasz (MDR), e-mail-biztonság stb.

Kiszervezett SIEM

A szervezet dönthet úgy, hogy működteti belső SOC-ját, de úgy dönt, hogy a SIEM-funkciókat és irányítást kiszervezi. A kiszervezett SIEM a házon belüli erőforrásokat táplálja, de a partner kezeli, karbantartja és felügyeli.

A kiszervezett SIEM 8 előnye:

  1. Szakértői konfiguráció – A SIEM-szoftver nagyon összetett lehet, és tapasztalatot igényel a SIEM megfelelő konfigurálásához, a rendszerekkel való kapcsolatok biztosításához, a naplóadatok megfelelő biztonságos tárolásához és a megfelelő riasztások eljuttatásához az SOC-hoz.
  2. Továbbfejlesztett eseményfelismerés – Az eseménykorreláció, az adatelemzés és a gépi tanulás egy kihelyezett SIEM-szállítótól kihasználják más ügyfelek tapasztalatait a szoftver gyorsabb betanítása és a fenyegetések gyorsabb felismerése érdekében. Hasonlóképpen előfordulhat, hogy a téves pozitív üzenetek következetesebben jelölhetők meg, és a téves riasztások gyorsabban elnémulnak.
  3. Továbbfejlesztett erőforrások – A biztonsági céghez történő kiszervezés lehetővé teszi a szervezet számára, hogy:
  4. nagyobb biztonsági csapatokhoz férhetnek hozzá, mint amennyit megengedhetnek maguknak a házon belüli fenntartást
  5. olyan szakembereket kell igénybe venni, akiket nem lehetett házon belül megtartani
    24/7/365 felügyeletet kaphat alacsonyabb költségek mellett
  6. fejlettebb SIEM-eszközök előnyeit, mint amennyit a házon belüli használat indokolt volna
    alacsonyabb a teljes birtoklási költség a házon belüli megvalósításhoz képest (hardver, szoftver, munkaerő, energia stb.)
  7. Gyors rugalmasság: A felügyelt SIEM megkerüli a berendezések vásárlásához, az alkalmazottak bérbeadásához vagy a szoftver telepítéséhez és konfigurálásához szükséges költségeket és időt. A felügyelt SIEM-ek gyorsan bővíthetők vagy gyorsan csökkenthetők, hogy megfeleljenek a szervezet igényeinek.
  8. Megakadályozza a manipulációt: A bennfentesek és a támadók nem módosíthatják a kihelyezett SIEM-hez küldött naplófájlokat.

Kiszervezett SOC + SIEM

Ha csak az egyik összetevőt adjuk ki, egyes szervezetek félreértést kockáztatnak a szervezetek között, és olyan belső erőforrásokra támaszkodnak, amelyek kapacitása korlátozott.

Például előfordulhat, hogy egy ügyvédi iroda elfelejti tájékoztatni a kiszervezett SOC-t az új ügyvédi irodáról, amelyet éppen beolvadt a partnerségbe. Előfordulhat, hogy a SIEM felveszi az új eszközöket, de előfordulhat, hogy az SOC nem kapja meg a riasztásokat, és nem tudja, mit kell tennie, ha ismeretlen eszközökre vonatkozó riasztások hirtelen megjelennek.

Egy másik példa: előfordulhat, hogy egy önkormányzati segédprogram lemarad a kiszervezett SIEM-riasztásokról, amelyek egy olyan új WiFi-útválasztóval kapcsolatosak, amelyet még nem rendeltek hozzá az IT-részlegen. A kiszervezett partner nem fogja tudni megállapítani, hogy a riasztásokat figyelmen kívül hagyták, és az informatikai részleg veszélybe sodorhatja a szervezetet, amíg a vezető észre nem veszi a felügyeletet.

Ezek a hibák bárkivel előfordulhatnak, de egy teljesen kiszervezett megoldás csökkenti az ilyen típusú félreértéseket, mivel az SOC és a SIEM információk egyetlen forráson keresztül áramlanak, erős biztonsági gyakorlattal és belső jelentésekkel.

A SOC és a SIEM kiszervezésével egy szervezet nemcsak a kiszervezett SOC- és SIEM-megoldások összes előnyét élvezheti, hanem további fejlesztéseket is láthat, például:

  1. Megnövelt előnyök – A SOC és a SIEM funkciók kiszervezésével az egyéni előnyök, például az alacsonyabb teljes birtoklási költség, a gyors üzembe helyezés és a szakértőkhöz való hozzáférés növekedni fog.
  2. Nincs bennfentes konfliktus: Az SOC és a SIEM kiszervezésével a biztonsági szállító észlelheti az árnyékinformációkat, és nem kényszerítik rá politikailag, hogy figyelmen kívül hagyja.
  3. A rosszindulatú bennfentesek nem tudják megvédeni magukat mások nyomására vagy az IT-naplók észrevétlen manipulálásával.

A megfelelő biztonsági szolgáltató kiválasztása

Természetesen nem minden szállító tudja teljesíteni a kiszervezett SOC és SIEM erőforrások ígért előnyeit. A szervezeteknek gondosan fel kell mérniük potenciális outsourcing partnereiket, és több kulcstényezőt is meg kell vizsgálniuk:

Biztonsági fókusz – Válasszon ki egy, a biztonságra összpontosító szállítót. Kerülje el a felügyelt IT-szolgáltatót (MSP), amely inkább egy help desk, amely biztonsági szolgáltatások hozzáadásával próbálja felépíteni üzletét. Válasszon olyan szállítót, aki kizárólag a lehető legjobb biztonságot nyújtja a nap minden pillanatában.

Tapasztalat – Keressen olyan szállítókat, akik évek óta tapasztalattal rendelkeznek az ügyfelek biztonságának biztosításában, és belső szakértelemmel rendelkeznek. Egyes szállítók egyszerűen közvetítőként működnek az ügyfelek és a szerszámszállítók között anélkül, hogy hozzáadott értéket adnának.

Naprakész – Bár a tapasztalat kulcsfontosságú lehet, a biztonsági cégeknek is naprakésznek kell lenniük a legújabb fenyegetésekkel, a legújabb trendekkel, a legújabb eszközökkel és módszerekkel. Bár egyes trendek divatok lehetnek, a tapasztalat és a jelenlegi tudás megfelelő egyensúlyával rendelkező eladónak képesnek kell lennie arra, hogy megmagyarázza, miért fontos egy trend, vagy miért kell figyelmen kívül hagyni.

Jó kommunikáció – Bármely fejlett téma fekete doboz lehet a kevesebb tudással rendelkezők számára, de a szervezeteknek meg kell érteniük kockázatokat, és meg kell érteni, hogy mit kell megtenni a védelmük érdekében. Az szolgáltatónak képesnek kell lennie arra, hogy világos jelentéseket készítsen, egyszerű angol nyelven válaszoljon a kérdésekre, és segítsen a vezetőknek megérteni a teljes képet anélkül, hogy rövidítésekbe vagy szakkifejezésekbe fulladna.

PODCAST

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek