তেল আভিভ স্টক এক্সচেঞ্জ CISO: আপনার SIEM এর আরও ভাল ব্যবহার করা

তেল আভিভ স্টক এক্সচেঞ্জ CISO: আপনার SIEM এর আরও ভাল ব্যবহার করা

সময় স্ট্যাম্প: 18 আগস্ট, 2023 2:18 অপরাহ্ন

গিল শুয়ার জন্য, তেল আভিভ স্টক এক্সচেঞ্জের জন্য সিকিউরিটি ইনফরমেশন ইভেন্ট ম্যানেজমেন্ট (SIEM) সিস্টেম থেকে সবচেয়ে বেশি সুবিধা পাওয়া সিগন্যাল-টু-নয়েজ রেশিও ঠিক করার জন্য নেমে আসে। যে, এবং সঠিক নিয়ম লিখুন.

সংকেত-থেকে-শব্দের অনুপাত, যেমন প্রত্যেক রেডিওফ্রিকোয়েন্সি ইঞ্জিনিয়ার জানেন, প্রকৃত বিষয়বস্তুর পরিমাণ (সংকেত) থেকে স্থির এবং অন্যান্য ধ্বনি বিঘ্ন (শব্দ) পর্যন্ত ফুটে ওঠে। Shua-এর জন্য, লক্ষ্য হল কর্মযোগ্য বিষয়বস্তুর পক্ষে SIEM-এ পাঠানো শব্দের পরিমাণ কমিয়ে আনা। তিনি এমন কিছু খুঁজছেন যা তাকে তার ডেস্ক থেকে উপলব্ধি করে উঠতে বাধ্য করে, “আমাদের সমস্যা আছে; আমাদের কিছু আছে যা আমরা এখনই সমাধান করতে চাই এবং এটি ঠিক করতে চাই।"

Shua এক দশকেরও বেশি সময় ধরে তেল আভিভ স্টক এক্সচেঞ্জে (TASE) বিভিন্ন নিরাপত্তা পদে কাজ করেছেন এবং 2022 সালে CISO নিযুক্ত হন। সেই সময়ে, তিনি বলেছেন যে এটি নিশ্চিত করার জন্য এটি একটি "ডেটা সম্পদের জন্য ধ্রুবক তাড়া" ছিল- এক্সচেঞ্জের এসআইইএম-এর ক্ষমতা এবং সুবিধাগুলিকে সর্বাধিক করতে সিগন্যাল ডেটার পক্ষে-শব্দের অনুপাত তির্যক।

তেল আবিব স্টক এক্সচেঞ্জ সিআইএসও গিল শুয়া

তেল আবিব স্টক এক্সচেঞ্জ সিআইএসও গিল শুয়া। সূত্র: গিল শুয়া, তেল আবিব স্টক এক্সচেঞ্জ

গোলমাল ফিল্টার করা

Shua এবং তার দল তাদের জন্য তাদের কাজ শেষ করেছে যেহেতু বেশিরভাগ SIEM-এর সাথে, "আপনি অনেক শব্দ দেখছেন, এবং অনেক সংকেত দেখছেন না।" এটি মিথ্যা-ইতিবাচক এবং ভুল কনফিগারেশনের দিকে পরিচালিত করে, যা, ফলস্বরূপ, SOC দলের জন্য অতিরিক্ত কাজ তৈরি করে, উত্পাদনশীলতা হ্রাস করে এবং এটি একটি প্রতিবন্ধকতা একটি SIEM কাজ করার চেষ্টা করছি.

এটি কমানোর জন্য, Shua বলেছেন SOC টিম কিভাবে SIEM ইনকামিং ডেটা পরিচালনা করে তার জন্য নিয়ম লিখতে পারে, কিন্তু সেই নিয়মগুলি তৈরি করতে মূল্যবান SOC টিমের সময়ও লাগে৷

কিন্তু SIEM পারস্পরিক সম্পর্কের নিয়ম লেখা তুলনামূলকভাবে সহজ যদি SIEM সমাধানে ইতিমধ্যেই পূর্বনির্ধারিত লগ পার্সিং এবং রিপোর্টিং অ্যাপ্লিকেশনের নিয়ম থাকে, Shua বলেছেন। কিন্তু নিয়ম লেখার আগে, SOC টিমকে অবশ্যই: 

  • ডেটা স্ট্রাকচার বের করুন এবং নিয়মের জন্য প্রয়োজনীয় প্রাসঙ্গিক ক্ষেত্র চিহ্নিত করুন।
  • রিপোর্টিং সিস্টেমগুলির যুক্তিগুলিকে বুঝুন কারণ তাদের নিজস্ব লগ মান থাকতে পারে।
  • একটি সঠিক নিয়ম পারস্পরিক সম্পর্ক তৈরি করুন এবং ব্যতিক্রমগুলি বিশ্লেষণ করুন।
  • মানের নিশ্চয়তা এবং পরীক্ষা সঞ্চালন.

এই অ্যাকশন আইটেমগুলির প্রতিটিতে কয়েক ঘন্টা সময় লাগতে পারে, তবে যদি সেগুলি আরও জটিল হয় তবে সেগুলি সম্পূর্ণ হতে কয়েক দিন সময় নিতে পারে, শুয়া যোগ করে৷

“যখন আপনি একটি SIEM প্রতিষ্ঠা করেন, তখন আপনার দুটি উদ্বেগ থাকে। একটি হল 'আমার কি এমন নিয়ম আছে যা আমাকে প্রাসঙ্গিক আক্রমণ থেকে রক্ষা করে... আমি কি কার্যকর নিয়মের আওতায় আছি?' দ্বিতীয় বিষয় হল, 'আমি কি রিপোর্টিং সিস্টেম থেকে তথ্য পাব যা এই নিয়মগুলিকে ট্রিগার করবে?'”

CardinalOps' প্ল্যাটফর্মের সাম্প্রতিক সংযোজন TASE-এ স্প্লঙ্ক এন্টারপ্রাইজের উন্নতি করেছে; শুয়া বলেছেন যে নিয়ম লেখার প্রক্রিয়া ব্যাপকভাবে হ্রাস করা হয়েছে, কয়েক মাসে 85 টি নিয়ম তৈরি করা হয়েছে এই বিশেষ প্রযুক্তি ব্যবহার করা হয়েছে। "দলটি নিয়মগুলি বাস্তবায়ন এবং সেগুলি পরীক্ষা করার উপর বেশি মনোযোগী এবং সেগুলি না লেখা, যা লিঙ্কটিতে সবচেয়ে বেশি সময় গ্রহণকারী প্রক্রিয়া ছিল," তিনি যোগ করেন।

তাহলে SIEM কি পারস্পরিক সম্পর্ক এবং নিয়ম লেখার জন্য ব্যয় করা সময় এবং অর্থ মূল্যবান? Shua স্বীকার করে যে একটি SIEM বজায় রাখা একটি চাহিদাপূর্ণ কাজ, কারণ ক্রমাগত আপডেট এবং পরিবর্তনের প্রয়োজন আছে। সমস্ত প্রচেষ্টা সত্ত্বেও, কিছু আক্রমণ দৃশ্যমানতা বা মিলিত নিয়মের অভাবের কারণে অলক্ষিত হতে পারে।

"আমি আশা করি ভবিষ্যতের সমাধানগুলি স্বায়ত্তশাসিত নিয়ম তৈরি এবং প্রতিক্রিয়ার জন্য অটোমেশন ক্ষমতা গ্রহণ করবে, বাক্সের বাইরে," Shua বলেছেন। 

এবং যেহেতু SIEMগুলি অনেকগুলি উত্স থেকে ডেটা আঁকে, তাই তাদের অবশ্যই বিভিন্ন ফর্ম্যাটে ডেটা প্রক্রিয়াকরণ, বিশ্লেষণ এবং সংরক্ষণের সাথে আরও দক্ষ হয়ে উঠতে হবে। "রক্ষণাবেক্ষণের জন্য আপনাকে সামঞ্জস্য করতে হবে," Shua বলেছেন, অনুপযুক্ত পরিবর্তন ব্যবস্থাপনার অর্থ হল একটি সংস্থা কিছু নিরাপত্তা ইভেন্ট মিস করতে পারে।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া