ניהול אירועי אבטחת מידע באמצעות מערכת SIEM – חשוב לדעת

בתחילת העשור הנוכחי, החלו מוצרי SIEM (ר"ת Security Information Event Management) להתהוות ולהתפתח. המונח SIEM מתאר טכנולוגיה אשר קולטת ומעבדת אירועים ממערכות ארגוניות מגוונות ומאפשרת דרך נורמליזציה, קורלציה ובקרה של תהליכים ואירועים, לזהות ולהגיב לאירועי אבטחת מידע.

מיהם הארגונים הנדרשים ליישם SIEM?
"באופן אופטימלי, כל ארגון שיש לו מידע שהוא מעוניין להגן עליו והוא עושה זאת עם יותר ממוצר אבטחה אחד, ירצה ליישם SIEM במודל כזה או אחר. החל מלקוחות שמעוניינים לעמוד בתקן PCI וכלה בלקוחות המעוניינים לבקר ולנטר פעולות עסקיות במערכות הליבה".

מדוע עלתה רמת ההתעניינות של ארגונים בתחום ה-SIEM?
"ההתעניינות במוצרי SIEM ניזונה ממגמות שונות בעולם האבטחה. ראשית, קיימות דרישות רגולטוריות המחייבות ארגונים לבצע ניטור אירועי אבטחת מידע ומעקב אחר פעולות המשתמשים. שנית, כאשר ארגונים מפעילים מספר מערכות במקביל, אשר כל אחת מהן מייצרת דיווחים והתראות, קיימת הצפה של נתוני אבטחת מידע וקשה לאנשי הארגון לקלוט את כל המידע ולפעול על פיו. במקביל לכך קיימת עליה בעבירות מבוססות מחשב ולכן הארגון חווה יותר אירועים לגביהם נדרש ניתוח וקביעת חומרה. סיבה נוספת לעליה בהתעניינות היא הרצון של ארגונים להתייעל בטיפול בתחום אבטחת המידע. ולבסוף ארגונים רוצים כיום להתייחס לתחום אבטחת המידע כתהליך ולא כמוצר ומערכת SIEM נותנת להם את היכולת הזו להסתכל על השלם, מלמעלה ולא על כל חלק בנפרד".

אילו תחומים מכוסים כיום על ידי פתרון SIEM?
"ארגונים הגיעו לתובנה שניתן וכדאי להשתמש במערכת בתחומים שונים מלבד אבטחת תשתית. התחומים שהיום מכוסים בארגונים על ידי המערכת כוללים גם: אבטחת רשת, זיהוי ומניעת הונאות, בקרה על מרכזי שירות לקוחות, בקרת תשתיות הנדסה, ניהול מרכזי SOC, תגובה וניתוח אירועי אבטחת מידע, בקרה על תהליכים עסקיים, בקרה במערכות SCADA ועוד".

כאשר ארגון מחליט לבחור מערכת ניהול אירועי אבטחת מידע, מה הוא צריך לדרוש ממנה?

"הבחינה שאנו מציעים כיום לארגונים נגזרת מהצורך בארגון: מערכת שמטרתה איסוף, תיעוד, אחסון ודוחות שייכת לעולם Log Management ומשמעותית זולה מפתרון SIEM מלא, במערכת כזו נדרשת יכולת התחברות לכול מוצר, מנגנון דוחות מפותח ויכולת חיפוש מהירה בכמות גדולה של נתונים. השאלה שאנו מציעים לארגונים לשאול במערכת SIEM הינה – האם המערכת מסוגלת לעבד מליון שורות לוג ולספק התראה אחת אמיתית ביום? מאחורי הבדיקה שהצענו חייבת להיות מערכת המסוגלת לקבל דיווחים מכול מוצר ולבצע קורלציה בין אירועים ממערכות שונות בתכלית ואינטגרטור המסוגל לכתוב חוקים שיניבו התראות מעטות ואמיתיות.

מהם האתגרים שיש לארגונים לאחר שהטמיעו מערכת SIEM? אילו פתרונות יש ל-!We ו-ArcSight לדרישות אותם ארגונים?
"התוצר המתקבל מיישום מוצלח של מערכת SIEM הינו זיהוי של אירועי אבטחת מידע אמיתיים ודוחות ברמות שונות אודות אותם אירועים ומצבה הכללי של אבטחת המידע בארגון. האתגר שהארגון עומד בפניו לאחר זיהוי האירוע, הינו, כמובן – כיצד לטפל בו. הטיפול באירוע אבטחת מידע, מבוסס על תרגום טכנולוגי ותהליכי של מדיניות אבטחת המידע בארגון.תרגום זה כולל נהלי טיפול באירוע והכשרה טכנית של הצוות המקצועי. אנו דואגים שהארגון לא יקבל יותר ממספר מצומצם של אירועי אבטחת מידע ביום וזאת בהתאם ליכולת שלו לטפל בהם".