Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Atacuri cibernetice avansate? Aflaţi cum pot fi blocate cu o soluţie SIEM Splunk
Atacuri cibernetice avansate? Aflaţi cum pot fi blocate cu o soluţie SIEM Splunk

Complexitatea și eterogenitatea infrastructurilor de securitate împiedică departamentele IT să vadă pădurea din cauza copacilor. Au prea multe date la dispozitie, încât să depisteze și blocheze toate evenimentele relevante. Cu o soluţie SIEM Splunk, echipele de securitate automatizază agregarea și analiza datelor necesare identificării atacurilor și primesc informații acționabile pentru eliminarea acestora. Departamentele IT sunt depășite de volumele de date generate de „uneltele“ digitale pe care trebuie să le utilizeze sau protejeze. Astfel s-a ajuns în situația ca 53% dintre atacurile informatice care penetrează sistemele de securitate să nu poată fi depistate în timp util (conform raportului Mandiant pe 2020). Cauzele acestui fenomen sunt multiple.

Pe de o parte, la componentele standard de infrastructură (reţea, servere, stocare) ce trebuie protejate, se adaugă constant dispozitive mobile, servicii Cloud și soluții IoT. Pe de alta, numărul amenințărilor crește permanent, iar infrastructurile de securitate se extind, devenind tot mai eterogene. Astfel, multe companii care au investit în soluţii de securitate, sunt acum în situația să nu poată agrega și analiza datele generate.

 

 

Sistemele de Security Information & Event Management (SIEM) reprezintă rezolvarea acestei probleme. SIEM-ul integrează aplicațiile de management al informațiilor de securitate – care stochează datele de logare și le analizează  – cu cele de monitorizare a evenimentelor.  O soluţie SIEM ajută companiile să realizeze:

  • Detecția incidentelelor de securitate care trec neobservate. Potrivit Mandiant Security Effectiveness Report 2020,  91% dintre atacuri nu generează nicio alertă directă. Pentru a remedia această problemă, SIEM-ul colectează date din aplicații, componente de infrastructură, echipamente terminale etc., pe care le corelează și analizează utilizând algoritmi statistici.
  • Eficientizarea managementului evenimentelor de securitate. Sistemele SIEM cresc viteza de răspuns a departamentelor IT, identificând automat punctele de acces, rutele de atac și elementele compromise. Utilizând datele corelate, SIEM-ul poate reconstrui cronologia evenimentelor, ajutând companiile să descopere care este natura lor și ce impact au.
  • Respectarea cerințelor de conformitate. O soluţie SIEM generează automat rapoarte cu toate evenimentele de securitate depistate, care altfel ar trebui compilate manual din mai multe surse. În prezent, sistemele SIEM acoperă cerințele HIPAA, SOX, PII, NERC, COBIT 5, FISMA, PCI, GDPR etc

Splunk Enterprise Security, lider de piață de 7 ani consecutiv

La momentul actual, piața globală SIEM este dominată de Splunk (conform estimărilor Datanyze). Pozitia de lider e confirmată și de analizele Forrester Research   și Gartner, Splunk fiind prezent în top de 7 ani consecutiv.  Principalii diferențiatori ai Splunk Enterprise Security (ES) – denumirea sub care este comercializat sistemul SIEM – sunt:

  • numărul mare de surse de date predefinite și posibilitatea de a colecta date fără a fi nevoie de conectori personalizați;
  • colectarea de date direct din infrastructuri on-premises, arhitecturi multi-Cloud și medii hibride;
  • capacitatea de a indexa zilnic mii de Terabytes de date;
  • stocarea pe termen lung a evenimentelor înregistrate;
  • capacitatea de a realiza investigații ad-hoc pentru depistarea potențialelor amenințări și identificarea căilor adecvate de acțiune;
  • sistemele automate de depistare și semnalare a anomaliilor, precum și opțiunile avansate de corelare a datelor pentru crearea de alerte predefinite;
  • ierarhizarea alertelor în funcție de nivelul de criticitate al evenimentelor și metodele de reducere a numărului de alerte fals pozitive;
  • utilizarea unei largi varietăți de metode de detecție și investigație (analize DNS, categorii HTTP, monitorizare trafic etc.) și funcționalitățile avansate de analiză de tip Drill-down;
  • vizualizarea datelor și evenimentelor în formate multiple, console de control predefinite și posibilitatea creării de dashboard-uri și portaluri personalizate;
  • îmbunătățirile pe zona operațională prin automatizarea măsurilor de răspuns și suport decizional. Suportul include atât scenarii de lucru uzuale (probleme de conformitate, furturi de date, fraude etc.), cât și metode recomandate pentru depistarea amenințărilor avansate în timp real și post-compromitere;
  • auditul incidentelor de securitate și opțiuni multiple de raportare;
  • compatibilitatea cu standarde de securitate de nouă generație, precum STIX, TAXII, DHA, AIS, Facebook Threat Exchange, OpenIOC etc.
  • posibilitatea de a adresa și analiza scenarii de lucru care nu țin strict de zona de securitate.

Splunk, opţiuni de integrare

Un alt atu important al Splunk Enterprise Security este Adaptive Operations Framework (AOF), care simplifică integrarea SIEM-ului în infrastructurile eterogene. AOF conectează produsele și tehnologiile ecosistemului de parteneri Splunk, asigurând integrarea nativă cu peste 240 de produse și 1.200 de API-uri. Cu ajutorul AOF, companiile beneficiază de:

  • acces direct la date structurate și nestructurate dintr-o mare varietate de surse;
  • informații acționabile îmbogățite din mai multe surse;
  • posibilitatea de a orchestra mai multe tehnologii pentru realizarea operațiunilor de investigare și remediere.

Un loc aparte în rândul ecosistemului de parteneri îl ocupă Cisco, Splunk SE integrându-se nativ cu produse din portofoliile de networking, Data Center, securitate, Branch&Remote Office, colaborare etc.

Splunk Enterprise Security utilizează soluțiile de rețea Cisco atât pentru a colecta date, cât și pentru a îmbunătăți eficiența investigațiilor și răspunsurilor cu ajutorul pxGrid. Umbrella extinde acoperirea SIEM-ului în Cloud, completând automat alertele de securitate emise de Splunk SE cu date despre domeniile și IP-urile malițioase.

Paleta de opțiuni de integrare este însă multă mai largă. De exemplu, o soluţie SIEM Splunk poate colecta prin intermediul ISE date despre postura de securitate a echipamentelor utilizatorilor finali și poate realiza operațiuni de remediere (tot cu ajutorul Cisco pxGrid). Prin integrarea cu Firepower, administratorii Splunk pot colecta date prin eStreamer și analiza rapoartele furnizate de soluția Cisco. Modulul Cisco AnyConnect Network Visibility (NVM) pentru Splunk permite administratorilor IT să analizeze și colereleze datele despre comportamentul utilizatorilor finali și al echipamentelor folosite de aceștia în SIEM. La rândul său, Splunk SE oferă posibilitatea integrării unui modul dedicat analizei comportamentale avansate – User Behavior Analytics (UBA) –, subiect pe care îl vom detalia într-un articol viitor.

Servicii Datanet Systems

Specialiștii Datanet Systems vă pot ajuta să proiectați, implementați, configurați și utilizați eficient o soluţie SIEM Splunk SE în cadrul companiei dvs. și să îi extindeți capacitățile de detecție și remediere prin integrarea cu soluțiile deja existente. Avem avantajul că:

  • suntem partener oficial Splunk;
  • suntem unul dintre principalii integratori de sistem pe plan local;
  • avem experiență în implementarea și dezvoltarea infrastructurilor critice de securitate;
  • suntem cel mai mare partener Cisco în România.

Pentru mai multe informații despre tehnologia SIEM și avantajele Splunk Enterprise Security și despre oferta comercială Datanet, vă rugăm să ne scrieți la adresa email: sales@datanets.ro.