چالش های پیچیده و مدیریتی نرم افزار SIEM

چالش های پیچیده و مدیریتی نرم افزار SIEM:

بر اساس نظرسنجی در توئیتر که توسط شرکت Sumo Logic انجام گرفت، 40.3% از کاربران بیان نموده اند که SIEM بیشتر تحت عنوان کنترل امنیتی برای سازمان ها ارزشمند می باشد، در حالیکه کمتر از یک چهارم آن برای شناسایی تهدیدات و جمع آوری داده استفاده می شود.

طبق 5766 رای جمع آوری شده، موضوع شناسایی تهدیدات 23.3% و جمع آوری داده 24.3% را به خود اختصاص داده است. Micheal Thoma مشاور ارشد مدیریت ریسک در گروه Crypsis به Infosecurance اظهار نموده است که می توان از SIEM به عنوان نوعی کنترل امنیتی استفاده نمود. زیرا برخی نرم افزارهای SIEM می توانند تشخیص دهند که اگر کاربری با استفاده از API وارد حساب کاربری مدیر دامنه شوند، بطور خودکار آن کاربر را غیرفعال کنند.

همچنین ایشان بیان نمودند: ابزارهای زیادی وجود دارد که می توانند به جای نرم افزار SIEM شناسایی تهدیدات را انجام دهند. در حقیقت تمرکز اصلی نرم افزار SIEM بر روی سیستم عامل های فناوری می باشد که در مرحله اول هشدار داده و وارد سیستم می شود. به عنوان مثال، ممکن است شما یک سیستم پیشگیری از نفوذ (IPS) داشته باشید که این سیستم بر اساس فعالیت خود، شبکه مخرب، حوادث و هشدارها را به SIEM ارسال می کند. SIEM می تواند ارتباط و حفظ آن را در سیستم و در اختیار شما قرار دهد. اما IPS به خودی خود می تواند هشدارهایی درباره آنچه در محیط شما رخ می دهد را فراهم نماید.

در رای گیری دیگری که در توئیتر انجام گرفت، از 621 نفر از کاربرانی که در این رای گیری شرکت کرده اند، 38.5% بیان نموده اند که بزرگترین دلیل عدم تمایل کاربران به استفاده از SIEM پیچیدگی آن بوده است، در حالیکه 32% از این موارد مربوط به استقرار و همچنین 29.5% مربوط به نحوه عملکرد این سیستم بوده است. Thoma اظهار کرد که SIEM یکی از با ارزش ترین کنترل های امنیتی برای عملیات های امنیتی و تیم های فناوری اطلاعات می باشد. با این حال، اما برای کاربران نحوه اجرای این سیستم مهم می باشد.

وی ادعا کرد که مهندسی و مدیریت SIEM به یک تیم اختصاصی نیاز دارد که با خود پلتفرم و همچنین زیرساخت ها و عملیات داخلی آن آشنا باشند. همچنین ایشان اظهار نمودند که تیم های فناوری اطلاعات زیادی از سیستم SIEM و بخش های قابل ارائه آن استفاده می نمایند. احتمالا به همان تعداد نیز، از اثر بخشی کامل این سیستم استفاده می کنند.

Thoma اذعان نمود که با توجه به معیارهای سفارشی سازی و موارد خاص که از سمت سازمان ها ارائه می گردند را با توجه به توسعه کسب و کار خودشان انجام دهند و تا جای ممکن این سیستم را به روز رسانی و سفارشی سازی کنند.

این نظرسنجی ها پیش از آن انجام گرفت که Sumo Logic اعلام کرده است شرکت Cloud SIEM Enterprise نسخه جدیدی از این سیستم را ارائه خواهد داد و نسخه جدید شامل امکاناتی برای کاهش عملکرد کارکنان در مراکز عملیات امنیتی می شود.

این شرکت اعلام نموده است که قابلیت های جدید این سیستم به شناسایی و الویت بندی تهدیدات کمک می کند و باعث عملکرد خودکار گردش کار تحلیل گر می شود و به پرسنل SOC این امکان را ارائه می دهد تا رویدادهای امنیتی واقعی را به بهترین نحو ممکن مدیریت و به طور موثر سیاست های امنیتی و انطباقی را اجرا کنند.

John Oltsik، تحلیلگر ارشد و همکار ESG بیان نمود: علیرغم نقش اصلی SIEM، تحقیقات نشان می دهد که تیم های SOC از ابزارهای نظیر SIEM برای شناسایی، پاسخ به تهدیدات و اتوماسیون فرایند استفاده می کند. اَبَر SIEM شرکت سومو می تواند با مجموعه گسترده ای از قابلیت های اتوماسیون که به طور مستقیم در SOC مورد هدف قرار گرفته اند، بتوانند این شکاف امنیتی را برطرف کنند.

مترجم: سعیده محمدی

امتیاز :  ۳.۰۰ |  مجموع :  ۳

برچسب ها

    6.1.7.0
    V6.1.7.0