A SIEM technológia rögös útja

A kiberbűnözők folyamatosan szélesedő repertoárjával az informatikai rendszerek védelméről gondoskodó eszközöknek is lépést kellett tartaniuk.
 

A biztonsági információ- és eseménykezelő (Security Information and Event Management - SIEM) rendszerek régóta velünk vannak, és gondoskodnak a vállalati adatok és erőforrások védelméről. A SIEM kifejezést először 2005-ben használta a Gartner. Előtte, a kétezres évek elején külön működtek a biztonsági információkezelő (Security Information Management) és a biztonsági eseménykezelő (Security Event Management) rendszerek. Az előbbiek a naplómenedzsment szoftverek képességeire építve nem csupán gyűjtötték és tárolták az egyes eszközök logjait, hanem hosszú távú adatmegőrzésre is alkalmasak voltak. Emellett elemezni tudták az adatokat, és jelentéseket készítettek. A SEM megoldások pedig valós időben monitorozták az eseményeket, szükség esetén riasztásokat küldtek, és rávilágítottak bizonyos összefüggésekre az egyes incidensek között.
 
Amikor ezt a két megoldást elkezdték integrálni a szoftvergyártók, azzal nagyobb kontrollt adtak az IT-biztonsági szakemberek kezébe, illetve jobb rálátást biztosítottak a különféle eseményekre.
 
Túl sok adat
 
A 2010-es évek elejére megnőtt a SIEM rendszerek kapacitása, és akár több tízezer eseményt is képesek voltak elemezni másodpercenként. Egy idő után pont ez lett a hátulütőjük. A rendszerek nagy teljesítménye arra ösztönözte a szakembereket, hogy minden információt bemigráljanak az összes rendelkezésre álló adatforrásból. Így viszont a túl sok adat elemzése után a végeredmény is túl sok információból állt.
 
A következő lépcső: viselkedéselemzés
 
Az elmúlt néhány évben az előzetesen konfigurált értesítések helyett egyre nagyobb szükség lett a kockázatalapú megközelítésre. Erre ad lehetőséget a viselkedéselemzés (User and Entity Behavior Analytics - UEBA), amellyel előre meghatározható, hogy milyen viselkedés számít általánosnak és természetesnek a cégek infrastruktúráján belül tevékenykedő felhasználók és eszközök esetében. A rendszer pedig csak arról küld riasztást, ami ettől eltér.
 
Akadtak olyanok, akik azt gondolták, hogy ezek a megoldások teljes egészében le fogják váltani a biztonsági információ- és eseménykezelő rendszereket. Azonban számos olyan eset adódott, amelyek a hagyományos SIEM-megoldással jobban kezelhetők voltak. Az ideális tehát az lett, amikor a két technológia elkezdte kiegészíteni egymást.
 
Akcióban az okos SIEM
 
A Micro Focus szakértői szerint is egyesíteni kell a SIEM és az UEBA előnyeit. Ezért vásárolta fel egy éve a Micro Focus az Interset vállalatot, amely gépi tanulást is alkalmazó UEBA-megoldást fejlesztett ki. Ez az eszköz képes felügyelet nélküli gépi tanulás alkalmazásával elemezni az eseményeket, és megállapítani, hogy milyen aktivitások számítanak megszokottnak a felhasználóknál, és melyek adnak okot aggodalomra. Ilyen lehet például, ha egy munkatárs olyan érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szüksége a mindennapi munkájához. De az is gyanúra adhat okot, ha egy munkavállaló nagymennyiségű céges anyagot küld át a privát e-mail címére.