Директор по информационной безопасности Тель-Авивской фондовой биржи: эффективное использование SIEM

Для Гила Шуа получение максимальной отдачи от системы управления информационными событиями безопасности (SIEM) на Тель-Авивской фондовой бирже сводится к правильному соотношению сигнал/шум. Это и написание правильных правил.

Отношение сигнал/шум, как знает каждый радиочастотный инженер, сводится к количеству фактического контента (сигнала) и статических и других звуковых помех (шума). Цель Шуа — минимизировать количество шума, отправляемого в SIEM, в пользу полезного контента. Он ищет что-то, что заставит его встать из-за стола с осознанием: «У нас проблема; у нас есть кое-что, к чему мы хотим обратиться сейчас и исправить это».

Шуа проработал на различных должностях в сфере безопасности на Тель-Авивской фондовой бирже (TASE) более десяти лет и был назначен директором по информационной безопасности в 2022 году. Отношение «шум» искажается в пользу сигнальных данных, чтобы максимизировать возможности и преимущества SIEM биржи.

Фильтрация шума

Шуа и его команде приходится нелегко, поскольку в большинстве SIEM-систем «вы видите много шума и мало сигнала». Это приводит к ложным срабатываниям и неправильным конфигурациям, что, в свою очередь, создает дополнительную работу для команды SOC, снижает производительность и является препятствием для пытаюсь заставить SIEM работать.

Чтобы свести это к минимуму, говорит Шуа, команда SOC может написать правила обработки входящих данных SIEM, но создание этих правил также отнимает ценное время команды SOC.

Но написать правила корреляции SIEM относительно легко, если в решении SIEM уже есть предопределенные правила анализа журналов и правила для приложения для создания отчетов, говорит Шуа. Но прежде чем правила будут написаны, команда SOC должна: 

• Выясните структуру данных и определите соответствующие поля, необходимые для правила.
• Поймите логику систем отчетности, поскольку они могут иметь свои собственные стандарты журналов.
• Создавайте точную корреляцию правил и анализируйте исключения.
• Провести проверку качества и тестирование.

Каждое из этих действий может занять несколько часов, но если они более сложные, на их выполнение могут уйти дни, добавляет Шуа.

«Когда вы создаете SIEM, у вас возникают две проблемы. Один из них: «Есть ли у меня правила, которые защищают меня от соответствующих атак… действуют ли на меня эффективные правила?» Второй вопрос: «Получаю ли я информацию из систем отчетности, которая приведет в действие эти правила?»».

Недавнее добавление платформы CardinalOps улучшило Splunk Enterprise на TASE; Шуа говорит, что процесс написания правил значительно сократился: за несколько месяцев использования этой конкретной технологии было создано 85 правил. «Команда больше сосредоточена на внедрении правил и их тестировании, а не на их написании, что было самым трудоемким процессом в линк», — добавляет он.

Так стоят ли SIEM времени и денег, потраченных на корреляцию и написание правил? Шуа признает, что обслуживание SIEM — сложная задача, поскольку необходимы постоянные обновления и модификации. Несмотря на все усилия, некоторые атаки могут остаться незамеченными из-за отсутствия видимости или правил сопоставления.

«Я ожидаю, что в будущих решениях будут реализованы возможности автоматизации для автономного создания правил и реагирования на них», — говорит Шуа. 

А поскольку SIEM получают данные из многих источников, они должны повысить эффективность обработки, анализа и хранения данных в разных форматах. «Для поддержания необходимо вносить коррективы», — говорит Шуа, добавляя, что неправильное управление изменениями означает, что организация может пропустить некоторые события безопасности.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem