Tel Aviv Stock Exchange CISO: Memanfaatkan SIEM Anda dengan Lebih Baik

Bagi Gil Shua, memanfaatkan sistem manajemen peristiwa informasi keamanan (SIEM) di Bursa Efek Tel Aviv secara maksimal adalah dengan mendapatkan rasio signal-to-noise yang tepat. Itu, dan menulis aturan yang benar.

Rasio sinyal terhadap kebisingan, seperti yang diketahui oleh setiap insinyur frekuensi radio, bermuara pada jumlah konten aktual (sinyal) terhadap gangguan statis dan sonik lainnya (kebisingan). Bagi Shua, tujuannya adalah meminimalkan jumlah gangguan yang dikirim ke SIEM demi konten yang dapat ditindaklanjuti. Dia mencari sesuatu yang membuatnya bangkit dari mejanya dan menyadari, “Kita mempunyai masalah; kami memiliki sesuatu yang ingin kami atasi sekarang dan memperbaikinya.”

Shua telah bekerja di berbagai posisi keamanan di Bursa Efek Tel Aviv (TASE) selama lebih dari satu dekade dan ditunjuk sebagai CISO pada tahun 2022. Selama masa itu, dia mengatakan bahwa pihaknya terus melakukan “pengejaran sumber daya data” untuk memastikan bahwa sinyal- rasio terhadap kebisingan cenderung mendukung data sinyal untuk memaksimalkan kemampuan dan manfaat SIEM bursa.

Menyaring Kebisingan

Shua dan timnya memiliki pekerjaan yang sesuai karena pada sebagian besar SIEM, “Anda melihat banyak kebisingan, dan tidak banyak sinyal.” Hal ini menyebabkan kesalahan positif dan kesalahan konfigurasi, yang pada gilirannya menciptakan pekerjaan ekstra bagi tim SOC, mengurangi produktivitas, dan merupakan hambatan untuk mencoba membuat SIEM berfungsi.

Untuk meminimalkan hal ini, Shua mengatakan tim SOC dapat menulis aturan tentang bagaimana SIEM menangani data yang masuk, namun pembuatan aturan tersebut juga memakan waktu tim SOC yang berharga.

Namun menulis aturan korelasi SIEM relatif mudah jika solusi SIEM sudah memiliki penguraian log dan aturan yang telah ditentukan sebelumnya untuk aplikasi pelaporan, kata Shua. Namun sebelum peraturan dapat ditulis, tim SOC harus: 

• Cari tahu struktur data dan identifikasi bidang relevan yang diperlukan untuk aturan tersebut.
• Pahami logika sistem pelaporan karena sistem tersebut mungkin memiliki standar lognya sendiri.
• Buat korelasi aturan yang tepat dan analisis pengecualian.
• Melakukan jaminan kualitas dan pengujian.

Item tindakan ini masing-masing dapat memakan waktu beberapa jam, namun jika lebih kompleks, penyelesaiannya dapat memakan waktu berhari-hari, Shua menambahkan.

“Saat Anda mendirikan SIEM, Anda mempunyai dua kekhawatiran. Salah satunya adalah 'Apakah saya memiliki peraturan yang melindungi saya dari serangan yang relevan... apakah saya dilindungi oleh peraturan yang efektif?' Hal kedua adalah, 'Apakah saya mendapatkan informasi dari sistem pelaporan yang akan memicu aturan ini?'.”

Penambahan platform CardinalOps baru-baru ini telah meningkatkan Splunk Enterprise di TASE; Shua mengatakan proses penulisan peraturan telah dikurangi secara besar-besaran, dengan 85 peraturan dihasilkan dalam beberapa bulan karena teknologi khusus ini telah digunakan. “Tim lebih fokus pada penerapan aturan dan pengujiannya, bukan menuliskannya, yang merupakan proses yang paling memakan waktu,” tambahnya.

Jadi, apakah SIEM sepadan dengan waktu dan uang yang dikeluarkan untuk korelasi dan penulisan aturan? Shua mengakui bahwa memelihara SIEM adalah tugas yang berat, karena diperlukan pembaruan dan modifikasi terus-menerus. Terlepas dari semua upaya yang dilakukan, beberapa serangan mungkin luput dari perhatian karena kurangnya visibilitas atau aturan yang cocok.

“Saya berharap solusi masa depan akan mengadopsi kemampuan otomatisasi untuk pembuatan dan respons aturan yang otonom, secara langsung,” kata Shua. 

Dan karena SIEM mengambil data dari banyak sumber, SIEM harus menjadi lebih efisien dalam memproses, menganalisis, dan menyimpan data dalam format berbeda. “Anda harus melakukan penyesuaian untuk mempertahankannya,” kata Shua, seraya menambahkan bahwa manajemen perubahan yang tidak tepat berarti suatu organisasi kemungkinan besar akan melewatkan beberapa peristiwa keamanan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem