Χρηματιστήριο του Τελ Αβίβ CISO: Κάνοντας καλύτερη χρήση του SIEM σας

Για τον Gil Shua, η αξιοποίηση στο έπακρο από το σύστημα διαχείρισης συμβάντων πληροφοριών ασφαλείας (SIEM) για το Χρηματιστήριο του Τελ Αβίβ καταλήγει στη σωστή αναλογία σήματος προς θόρυβο. Αυτό και γράφοντας τους σωστούς κανόνες.

Η αναλογία σήματος προς θόρυβο, όπως γνωρίζει κάθε μηχανικός ραδιοσυχνοτήτων, συνοψίζεται στα ποσά του πραγματικού περιεχομένου (σήμα) προς τη στατική και άλλες ηχητικές διαταραχές (θόρυβο). Για τον Shua, ο στόχος είναι να ελαχιστοποιηθεί η ποσότητα του θορύβου που αποστέλλεται στο SIEM προς όφελος του περιεχομένου με δυνατότητα δράσης. Ψάχνει για κάτι που τον κάνει να σηκωθεί από το γραφείο του με τη συνειδητοποίηση: «Έχουμε ένα πρόβλημα. έχουμε κάτι που θέλουμε να αντιμετωπίσουμε τώρα και να το διορθώσουμε».

Ο Shua έχει εργαστεί σε διάφορες θέσεις ασφαλείας στο Χρηματιστήριο του Τελ Αβίβ (TASE) για περισσότερο από μια δεκαετία και διορίστηκε CISO το 2022. Κατά τη διάρκεια αυτής της περιόδου, λέει ότι ήταν μια «συνεχής καταδίωξη πόρων δεδομένων» για να διασφαλιστεί ότι το σήμα Ο λόγος προς τον θόρυβο στρέφεται υπέρ των δεδομένων σήματος για να μεγιστοποιηθούν οι δυνατότητες και τα οφέλη του SIEM του ανταλλακτηρίου.

Φιλτράρισμα του θορύβου

Ο Shua και η ομάδα του έχουν τελειώσει τη δουλειά τους, καθώς με τα περισσότερα SIEM, "βλέπετε πολύ θόρυβο και όχι πολύ σήμα". Αυτό οδηγεί σε ψευδώς θετικά και εσφαλμένες διαμορφώσεις, οι οποίες, με τη σειρά τους, δημιουργούν επιπλέον εργασία για την ομάδα SOC, μειώνουν την παραγωγικότητα και αποτελούν εμπόδιο για προσπαθώντας να λειτουργήσει ένα SIEM.

Για να ελαχιστοποιηθεί αυτό, ο Shua λέει ότι η ομάδα SOC μπορεί να γράψει κανόνες για το πώς η SIEM χειρίζεται τα εισερχόμενα δεδομένα, αλλά η δημιουργία αυτών των κανόνων απαιτεί επίσης πολύτιμο χρόνο για την ομάδα SOC.

Αλλά η σύνταξη κανόνων συσχέτισης SIEM είναι σχετικά εύκολη εάν η λύση SIEM έχει ήδη προκαθορισμένη ανάλυση αρχείων καταγραφής και κανόνες για την εφαρμογή αναφοράς, λέει ο Shua. Προτού όμως γραφτούν κανόνες, η ομάδα SOC πρέπει: 

• Προσδιορίστε τη δομή δεδομένων και προσδιορίστε τα σχετικά πεδία που απαιτούνται για τον κανόνα.
• Κατανοήστε τη λογική των συστημάτων αναφοράς καθώς μπορεί να έχουν τα δικά τους πρότυπα καταγραφής.
• Δημιουργήστε έναν ακριβή συσχετισμό κανόνων και αναλύστε τις εξαιρέσεις.
• Εκτελέστε διασφάλιση ποιότητας και δοκιμές.

Αυτά τα στοιχεία ενεργειών μπορεί να διαρκέσουν μερικές ώρες το καθένα, αλλά αν είναι πιο περίπλοκα, μπορεί να χρειαστούν μέρες για να ολοκληρωθούν, προσθέτει η Shua.

«Όταν δημιουργείτε μια SIEM, έχετε δύο ανησυχίες. Το ένα είναι "Έχω τους κανόνες που με προστατεύουν από σχετικές επιθέσεις… καλύπτομαι από αποτελεσματικούς κανόνες;" Το δεύτερο πράγμα είναι, «Λαμβάνω τις πληροφορίες από τα συστήματα αναφοράς που θα ενεργοποιήσουν αυτούς τους κανόνες;».

Η πρόσφατη προσθήκη της πλατφόρμας του CardinalOps βελτίωσε το Splunk Enterprise στο TASE. Ο Shua λέει ότι η διαδικασία σύνταξης κανόνων έχει μειωθεί μαζικά, με 85 κανόνες που παράγονται στους λίγους μήνες που χρησιμοποιείται αυτή η συγκεκριμένη τεχνολογία. «Η ομάδα επικεντρώνεται περισσότερο στην εφαρμογή κανόνων και στη δοκιμή τους και όχι στη σύνταξη τους, κάτι που ήταν η πιο χρονοβόρα διαδικασία στον σύνδεσμο», προσθέτει.

Αξίζουν λοιπόν τα SIEM τον χρόνο και τα χρήματα που δαπανήθηκαν για τη συσχέτιση και τη σύνταξη κανόνων; Ο Shua παραδέχεται ότι η διατήρηση ενός SIEM είναι μια απαιτητική εργασία, καθώς υπάρχει ανάγκη για συνεχείς ενημερώσεις και τροποποιήσεις. Παρά την όλη προσπάθεια, ορισμένες επιθέσεις μπορεί να περάσουν απαρατήρητες λόγω έλλειψης ορατότητας ή κανόνων αντιστοίχισης.

"Περιμένω ότι οι μελλοντικές λύσεις θα υιοθετήσουν δυνατότητες αυτοματισμού για αυτόνομη δημιουργία κανόνων και απόκριση, εκτός του κουτιού", λέει ο Shua. 

Και επειδή τα SIEM αντλούν δεδομένα από πολλές πηγές, πρέπει να γίνουν πιο αποτελεσματικά με την επεξεργασία, την ανάλυση και την αποθήκευση δεδομένων σε διαφορετικές μορφές. "Πρέπει να κάνετε προσαρμογές για να διατηρήσετε", λέει ο Shua, προσθέτοντας ότι η ακατάλληλη διαχείριση αλλαγών σημαίνει ότι ένας οργανισμός είναι πιθανό να χάσει ορισμένα συμβάντα ασφαλείας.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem