Viktigheten av sikkerhet i dataalderen
I vår tidsalder, der data er en integrert del av nesten alle virksomheter, er datasikkerhet av største betydning for enhver organisasjon som samler inn og lagrer informasjon. Det er en nøkkelfaktor som kan definere en bedrifts suksess eller fiasko på lang sikt. SIEM-systemer (Security Information and Event Management) er viktige verktøy som gir et sikkerhetslag som overvåker, oppdager og muliggjør rask respons på sikkerhetstrusler.
Hva er SIEM?
SIEM, uttalt «sim», er et akronym for sikkerhetsinformasjon og hendelseshåndtering. Sikkerhetsinformasjonsadministrasjon innebærer innsamling, overvåking og logging av data for å identifisere og rapportere mistenkelig aktivitet i et system. SIM-programvare automatiserer disse prosessene for å muliggjøre tidlig oppdagelse og sikkerhetsovervåking. Hendelseshåndtering fokuserer på å identifisere og overvåke sikkerhetshendelser i sanntid for å analysere trusler og reagere raskt. Selv om SIM og SEM (Security Event Management) har lignende mål, involverer SIM hovedsakelig historisk logganalyse og rapportering, mens SEM fokuserer på sanntids innsamling og analyse.
SIEM er en sikkerhetsløsning som hjelper virksomheter med å overvåke og identifisere sikkerhetsproblemer før de kan forårsake skade. SIEM-verktøy automatiserer sentrale prosesser, som logginnsamling, normalisering av logger, varsling, alarmer og oppdagelse av hendelser og trusler i et system.
Hvorfor er SIEM viktig?
Cyberangrep har økt dramatisk, spesielt ettersom flere virksomheter flytter til skybaserte løsninger. Sikkerhet er like viktig for både små og store organisasjoner. Å sikre at systemene dine er beskyttet og forberedt på mulige sikkerhetsbrudd er avgjørende for langvarig suksess. Et vellykket databrudd kan kompromittere brukernes personvern og eksponere dem for angrep.
Et robust system for sikkerhetsinformasjon og hendelseshåndtering kan beskytte data og systemer ved å logge hendelser, analysere logger for uregelmessigheter og sikre at trusler håndteres raskt. SIEM bidrar også til å opprettholde overholdelse av regelverk, og sikrer at systemene dine alltid er i samsvar med gjeldende standarder.
Kjennetegn ved et SIEM-system
Når du skal velge et SIEM-verktøy for din organisasjon, er det viktig å vurdere visse funksjoner som sikrer grundig overvåking og deteksjon. Her er noen nøkkelfunksjoner du bør se etter:
1. Sanntids datainnsamling og loggadministrasjon
Logger er hjørnesteinen i et sikkert system. SIEM-verktøy er avhengig av disse loggene for å oppdage og overvåke. Det er derfor viktig at SIEM-verktøyet kan samle relevante data fra både interne og eksterne kilder. Hendelseslogger samles inn fra forskjellige deler av systemet, og verktøyet må kunne håndtere og analysere disse effektivt.
2. Bruker- og enhetsatferdsanalyse (UEBA)
Analyse av brukeratferd er en effektiv måte å identifisere sikkerhetstrusler. Ved å bruke SIEM-systemet kombinert med maskinlæring kan en risikoscore tildeles brukere basert på mistenkelig aktivitet. UEBA kan oppdage trusler som innsideangrep, kompromitterte kontoer og policybrudd.
3. Hendelseshåndtering og trusselintelligens
Enhver hendelse utenfor den normale aktiviteten kan potensielt være en trussel mot systemets sikkerhet. SIEM-verktøy må kunne identifisere slike hendelser og iverksette tiltak for å forhindre sikkerhetsbrudd. Trusselintelligens bruker kunstig intelligens og maskinlæring for å oppdage uregelmessigheter og vurdere risikoen.
4. Sanntidsvarsling og alarmering
Raske varsler om angrep eller trusler er avgjørende for sikkerhetsanalytikere, slik at de kan reagere umiddelbart. Dette reduserer tiden det tar å oppdage og svare på trusler, og minimerer dermed skadeomfanget.
5. Overholdelsesadministrasjon og rapportering
Organisasjoner som er underlagt strenge forskrifter, bør bruke SIEM-verktøy for å sikre samsvar. SIEM-systemer kan samle og analysere data for å sikre at virksomheten opererer i henhold til gjeldende regelverk. Noen løsninger gir også sanntids rapporter for samsvar med PCI-DSS, GPDR, FISMA, ISO og andre standarder.
La oss se på noen av de mest fremtredende open source SIEM-systemene:
AlienVault OSSIM
AlienVault OSSIM er et etablert SIEM-system administrert av AT&T, kjent for sin evne til å samle, normalisere og korrelere data. Funksjoner inkluderer:
- Oppdagelse av aktiva
- Sårbarhetsvurdering
- Intrusjonsdeteksjon
- Atferdsanalyse
- SIEM-hendelseskorrelasjon
AlienVault OSSIM gir sanntidsinformasjon om mistenkelig aktivitet. Det er en åpen kildekode-løsning som er gratis å bruke. En betalt versjon, USM, tilbyr flere funksjoner:
- Avansert trusseldeteksjon
- Loggbehandling
- Sentralisert trusseldeteksjon for sky- og lokal infrastruktur
- Samsvarsrapporter for PCI DSS, HIPAA, NIST CSF, med flere
- Fleksibel utplassering i fysiske og virtuelle miljøer
USM har tre prisplaner: Essential (starter på $1075 per måned), Standard ($1695 per måned) og Premium ($2595 per måned). Se AT&T sin prisside for detaljer.
Wazuh
Wazuh brukes til å samle, aggregere, indeksere og analysere sikkerhetsdata, og hjelper organisasjoner med å oppdage uregelmessigheter og overholdelsesproblemer. Wazuh SIEM-funksjoner inkluderer:
- Sikkerhetslogganalyse
- Sårbarhetsdeteksjon
- Vurdering av sikkerhetskonfigurasjon
- Overholdelse av forskrifter
- Varsler og varsling
- Rapporteringsinnsikt
Wazuh er basert på OSSEC (open source intrusion detection system) og ELK-stack (Elasticsearch, Logstash og Kibana). Det er en lettversjon av OSSEC og er effektivt i å oppdage kompromisser i et system. Wazuh brukes til sikkerhetsanalyse, inntrengningsdeteksjon, logganalyse, filintegritetsovervåking, sårbarhetsdeteksjon, hendelsesrespons, og sikkerhet i skyen. Det er en åpen kildekode og gratis å bruke.
Sagan
Sagan er en sanntids logganalyse- og korrelasjonsmotor, utviklet av Quadrant Information Security. Det bruker AI og ML for å beskytte et miljø med døgnkontinuerlig overvåking og er kompatibel med Snort eller Suricata. Funksjoner inkluderer:
- Pakkeanalyse
- Egenutviklet trusselintelligens
- Malware-destinasjon og filutvinning
- Domenesporing
- Fingeravtrykk
- Egendefinerte regler og rapportering
- Bruddforebygging
- Skysikkerhet
- Overholdelse av regelverk
Sagan er åpen kildekode og gratis å bruke.
Prelude OSS
Prelude OSS er en åpen kildekodeversjon av Prelude SIEM, som brukes til å samle, normalisere, sortere, aggregere, korrelere og rapportere sikkerhetshendelser. Prelude gir konstant overvåking, effektiv analyse av varsler, og identifisering av subtile trusler. Prelude SIEM bruker ulike stadier og nyeste analyse- og maskinlæringsteknikker:
- Sentralisering
- Deteksjon
- Normalisering
- Korrelasjon
- Aggregering
- Varsling
Prelude OSS er gratis for testformål. Den betalte versjonen, Prelude SIEM, har en variabel pris basert på datavolum, ikke en fast pris. For et tilbud, kontakt Prelude SIEM smart security.
OSSEC
OSSEC er kjent som et åpen kildekode-system for HIDS (Host-based Intrusion Detection System), kompatibel med mange operativsystemer. Det har en analyse- og korrelasjonsmotor, sanntidsvarsling og aktiv respons. OSSEC består av en «manager» (for logginnsamling) og en «agent» (for loggbehandling). Funksjoner inkluderer:
- Loggbasert inntrengningsdeteksjon
- Oppdagelse av skadelig programvare
- Samsvarsrevisjon
- Systeminventar
- Aktiv respons
OSSEC og OSSEC+ er gratis med begrensede funksjoner. Atomic OSSEC er premiumversjonen med full funksjonalitet. Prissetting er basert på SaaS-tilbud.
Snort
Snort er et åpen kildekode-system for forebygging av inntrengning. Det bruker en rekke regler for å identifisere og varsle om ondsinnede aktiviteter, og kan installeres på både Windows og Linux. Snort overvåker nettverkstrafikk og inspiserer pakker for uregelmessigheter. Funksjoner inkluderer:
- Sanntidstrafikkovervåking
- Pakkelogging
- OS-fingeravtrykk
- Innholdsmatching
Snort tilbyr flere prisalternativer: personlig ($29,99 per år), bedrift ($399 per år), og integratør (for kommersiell bruk). Mer informasjon finnes på Snorts produktside.
Elastic Stack
Elastic (ELK) Stack er et populært open source SIEM-verktøy. Det består av Elasticsearch, Logstash og Kibana, som samlet danner en logganalyse- og administrasjonsplattform. Elasticsearch er en distribuert søke- og analysemotor for raske søk og analyser. Den kan brukes til loggovervåking, infrastrukturovervåking, applikasjonsytelse, SIEM og endepunktsikkerhet. Funksjoner inkluderer:
- Sikkerhet
- Overvåkning
- Varsler
- Elasticsearch SQL
- Anomalideteksjon med ML
Elasticsearch tilbyr flere prismodeller:
- Standard ($95 per måned)
- Gull ($109 per måned)
- Platina ($125 per måned)
- Enterprise ($175 per måned)
Du kan finne mer informasjon om priser og funksjoner på Elastic sin prisside.
Avsluttende ord
Det finnes ikke en universell løsning for sikkerhet, og SIEM-systemer består vanligvis av en kombinasjon av verktøy som dekker forskjellige områder og funksjoner. Det er derfor viktig for organisasjoner å forstå sine egne systemer for å velge riktig kombinasjon av verktøy for å sette opp SIEM-systemene sine. De fleste av verktøyene som er nevnt her, er åpen kildekode, noe som gjør dem fleksible og konfigurerbare.
Undersøk gjerne de beste SIEM-verktøyene for å beskytte organisasjonen din mot cyberangrep.