A SIEM technológia rögös útja
A kiberbűnözők folyamatosan szélesedő repertoárjával az informatikai rendszerek védelméről gondoskodó eszközöknek is lépést kellett tartaniuk.A biztonsági információ- és eseménykezelő (Security Information and Event Management - SIEM) rendszerek régóta velünk vannak, és gondoskodnak a vállalati adatok és erőforrások védelméről. A SIEM kifejezést először 2005-ben használta a Gartner. Előtte, a kétezres évek elején külön működtek a biztonsági információkezelő (Security Information Management) és a biztonsági eseménykezelő (Security Event Management) rendszerek. Az előbbiek a naplómenedzsment szoftverek képességeire építve nem csupán gyűjtötték és tárolták az egyes eszközök logjait, hanem hosszú távú adatmegőrzésre is alkalmasak voltak. Emellett elemezni tudták az adatokat, és jelentéseket készítettek. A SEM megoldások pedig valós időben monitorozták az eseményeket, szükség esetén riasztásokat küldtek, és rávilágítottak bizonyos összefüggésekre az egyes incidensek között.
Amikor ezt a két megoldást elkezdték integrálni a szoftvergyártók, azzal nagyobb kontrollt adtak az IT-biztonsági szakemberek kezébe, illetve jobb rálátást biztosítottak a különféle eseményekre.
Túl sok adat
A 2010-es évek elejére megnőtt a SIEM rendszerek kapacitása, és akár több tízezer eseményt is képesek voltak elemezni másodpercenként. Egy idő után pont ez lett a hátulütőjük. A rendszerek nagy teljesítménye arra ösztönözte a szakembereket, hogy minden információt bemigráljanak az összes rendelkezésre álló adatforrásból. Így viszont a túl sok adat elemzése után a végeredmény is túl sok információból állt.
A következő lépcső: viselkedéselemzés
Az elmúlt néhány évben az előzetesen konfigurált értesítések helyett egyre nagyobb szükség lett a kockázatalapú megközelítésre. Erre ad lehetőséget a viselkedéselemzés (User and Entity Behavior Analytics - UEBA), amellyel előre meghatározható, hogy milyen viselkedés számít általánosnak és természetesnek a cégek infrastruktúráján belül tevékenykedő felhasználók és eszközök esetében. A rendszer pedig csak arról küld riasztást, ami ettől eltér.
Akadtak olyanok, akik azt gondolták, hogy ezek a megoldások teljes egészében le fogják váltani a biztonsági információ- és eseménykezelő rendszereket. Azonban számos olyan eset adódott, amelyek a hagyományos SIEM-megoldással jobban kezelhetők voltak. Az ideális tehát az lett, amikor a két technológia elkezdte kiegészíteni egymást.
Akcióban az okos SIEM
A Micro Focus szakértői szerint is egyesíteni kell a SIEM és az UEBA előnyeit. Ezért vásárolta fel egy éve a Micro Focus az Interset vállalatot, amely gépi tanulást is alkalmazó UEBA-megoldást fejlesztett ki. Ez az eszköz képes felügyelet nélküli gépi tanulás alkalmazásával elemezni az eseményeket, és megállapítani, hogy milyen aktivitások számítanak megszokottnak a felhasználóknál, és melyek adnak okot aggodalomra. Ilyen lehet például, ha egy munkatárs olyan érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szüksége a mindennapi munkájához. De az is gyanúra adhat okot, ha egy munkavállaló nagymennyiségű céges anyagot küld át a privát e-mail címére.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.