Systemy SIEM w organizacjach

Systemy klasy SIEM $(Security Information and Event Management)$ na dobre zadomowiły się w większości dużych organizacji w Polsce. Mniejsze przedsiębiorstwa również coraz częściej zaczynają patrzeć na systemy tego typu jako na niezbędne narzędzie pracy własnych działów bezpieczeństwa. Nie jest to bowiem technologiczna fanaberia, ale realna potrzeba wynikająca z konieczności poradzenia sobie z ogromem napływających zewsząd informacji.

Pomimo pewnej dojrzałości naszego rynku, w dalszym ciągu zdarzają się duże firmy, które dopiero stają w obliczu dokonania wyboru rozwiązania tej klasy. To z jednej strony dobrze, bo narzędzie tego typu jest potrzebne, ale z drugiej niepokojące. Rodzi się bowiem pytanie, w jaki sposób realizowany był proces korelacji informacji pochodzących z wielu źródeł?

Czym jest obecnie SIEM?

Historycznie patrząc na rozwiązania SIEM można powiedzieć, że wyrosły one z połączenia dwóch typów systemów - SEM (Security Event Management) oraz SIM (Security Information Management).

Systemy SIEM w organizacjach

Przykład hipotetycznego scenariusza korelacyjnego

Generalizując można powiedzieć, że systemy SIEM pozwalają na gromadzenie, filtrowanie, normalizowanie, agregację i korelację zdarzeń pochodzących z szerokiego spektrum źródeł, zamieniając je na wartościowe z punktu widzenia bezpieczeństwa repozytorium danych. Informacje te następnie mogą zostać dodatkowo podstawą do wygenerowania incydentu (po wypełnieniu scenariuszy korelacyjnych) oraz zaprezentowane pod wybranym przez operatora kątem. To wszystko powinno odbywać się w czasie zbliżonym do rzeczywistego (near real-time). Z czasem SIEM-y zmężniały i obecnie uważane są za dojrzałą technologię, którą producenci często wzbogacają o różnego rodzaju dodatki. Rozwiązania do zarządzania informacją bezpieczeństwa zaczęły być również dostrzegane jako narzędzie do świadczenia usług w chmurze. Można z powodzeniem wyobrazić sobie sytuację hostingu usługi tego typu dla mniejszych organizacji, które nie mogą sobie na nie pozwolić albo na rzecz tzw. klienta wewnętrznego. Wszystko zależy do podejścia. Potencjał ten został również dostrzeżony przez Cloud Security Alliance. Organizacja ta pod koniec ubiegłego roku udostępniła poradnik, jak zamienić SIEM w ciekawą usługę dostarczaną w modelu SecaaS.

Spójrzmy zatem na to, jak obecnie kształtuje się oferta rynku SIEM oraz w jaki sposób podejść do zagadnienia wykorzystania tych rozwiązań w sposób optymalny.

Na rynku rozwiązań SIEM w ostatnim czasie całkiem sporo się dzieje. Mamy wiele akwizycji - ArcSight to już HP, QRadar (dawniej z Q1 Labs) to teraz IBM, NitroSecurity to McAfee, a NetIQ to Novell. Ostało się też paru "starych" wyjadaczy tego segmentu, jak np. Symantec (Security Information Manager) czy Splunk. Trochę zamieszania było wokół innego znanego gracza - RSA, oferującego EnVision i spekulacji na temat wycofania tego narzędzia, a wszystko za sprawą wypuszczenia niedawno następcy EnVision - nowej platformy Security Analytics.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200