Tel Aviv Stock Exchange CISO: Att bättre använda ditt SIEM

Tel Aviv Stock Exchange CISO: Att bättre använda ditt SIEM

Tidsstämpel: 18 augusti 2023 2:18

För Gil Shua handlar det om att få ut det mesta av SIEM-systemet (Security Information Event Management) för Tel Aviv-börsen om att få rätt signal-brusförhållande. Det och att skriva rätt regler.

Signal-brusförhållandet, som alla radiofrekvensingenjörer vet, kokar ner till mängden verkligt innehåll (signal) till statisk och annan ljudstörning (brus). För Shua är målet att minimera mängden brus som skickas till SIEM till förmån för handlingsbart innehåll. Han letar efter något som får honom att resa sig från sitt skrivbord med insikten: ”Vi har ett problem; vi har något som vi vill ta itu med nu och fixa det.”

Shua har arbetat i olika säkerhetspositioner på Tel Aviv Stock Exchange (TASE) i mer än ett decennium och utsågs till CISO 2022. Under den tiden säger han att det har varit en "ständig jakt på dataresurser" för att säkerställa att signal- till-brusförhållandet snedställs till förmån för signaldata för att maximera kapaciteten och fördelarna med börsens SIEM.

Tel Aviv Stock Exchange CISO Gil Shua

Tel Aviv Stock Exchange CISO Gil Shua. Källa: Gil Shua, Tel Aviv Stock Exchange

Filtrera bruset

Shua och hans team har löst sitt arbete eftersom man med de flesta SIEM:er "ser mycket brus och inte mycket signaler." Detta leder till falska positiva och felkonfigurationer, vilket i sin tur skapar extra arbete för SOC-teamet, minskar produktiviteten och är ett hinder för försöker få en SIEM att fungera.

För att minimera detta säger Shua att SOC-teamet kan skriva regler för hur SIEM hanterar inkommande data, men att skapa dessa regler tar också upp värdefull SOC-teamtid.

Men att skriva SIEM-korrelationsregler är relativt enkelt om SIEM-lösningen redan har fördefinierad loggparsning och regler för rapporteringsapplikationen, säger Shua. Men innan regler kan skrivas måste SOC-laget: 

  • Ta reda på datastrukturen och identifiera relevanta fält som behövs för regeln.
  • Förstå logiken i rapporteringssystemen eftersom de kan ha sina egna loggstandarder.
  • Skapa en exakt regelkorrelation och analysera undantag.
  • Utför kvalitetssäkring och testning.

Dessa åtgärder kan ta några timmar vardera, men om de är mer komplexa kan de ta dagar att slutföra, tillägger Shua.

"När du upprättar ett SIEM har du två bekymmer. En är "Har jag reglerna som skyddar mig mot relevanta attacker ... täcks jag av effektiva regler?" Den andra saken är, 'Får jag informationen från rapporteringssystemen som kommer att utlösa dessa regler?'."

Det senaste tillägget av CardinalOps plattform har förbättrat Splunk Enterprise på TASE; Shua säger att processen att skriva regler har minskat kraftigt, med 85 regler som producerats under de få månader som denna speciella teknik har använts. "Teamet är mer fokuserat på att implementera regler och testa dem och inte skriva dem, vilket var den mest tidskrävande processen i länken", tillägger han.

Så är SIEM:er värda tiden och pengarna som spenderas på korrelation och reglerskrivning? Shua medger att underhållet av en SIEM är en krävande uppgift, eftersom det finns ett behov av ständiga uppdateringar och modifieringar. Trots alla ansträngningar kan vissa attacker gå obemärkt förbi på grund av bristande synlighet eller matchningsregler.

"Jag förväntar mig att framtida lösningar kommer att anta automatiseringsfunktioner för autonomt skapande av regler och svar, direkt," säger Shua. 

Och eftersom SIEM hämtar data från många källor måste de bli mer effektiva med att bearbeta, analysera och lagra data i olika format. "Du måste göra justeringar för att underhålla", säger Shua och tillägger att felaktig förändringshantering innebär att en organisation sannolikt kommer att missa vissa säkerhetshändelser.

Tidsstämpel:

Mer från Mörk läsning