Tel Aviv Stock Exchange CISO: ใช้ประโยชน์จาก SIEM ของคุณให้ดีขึ้น

สำหรับ Gil Shua การใช้ประโยชน์สูงสุดจากระบบการจัดการเหตุการณ์ข้อมูลความปลอดภัย (SIEM) สำหรับตลาดหลักทรัพย์เทลอาวีฟนั้นอยู่ที่การรับอัตราส่วนสัญญาณต่อเสียงรบกวนที่เหมาะสม นั่นและการเขียนกฎเกณฑ์ที่ถูกต้อง

อัตราส่วนสัญญาณต่อเสียงรบกวน ดังที่วิศวกรด้านความถี่วิทยุทุกคนรู้ดีว่าจะลดลงตามปริมาณของเนื้อหาจริง (สัญญาณ) จนถึงการรบกวนแบบคงที่และเสียงอื่นๆ (เสียงรบกวน) สำหรับ Shua เป้าหมายคือการลดปริมาณเสียงรบกวนที่ส่งไปยัง SIEM เพื่อสนับสนุนเนื้อหาที่นำไปปฏิบัติได้ เขากำลังมองหาบางอย่างที่ทำให้เขาลุกขึ้นจากโต๊ะด้วยความตระหนักว่า “เรามีปัญหากัน เรามีบางอย่างที่เราต้องการแก้ไขตอนนี้และแก้ไขมัน”

Shua ทำงานในตำแหน่งรักษาความปลอดภัยต่างๆ ที่ Tel Aviv Stock Exchange (TASE) มานานกว่าทศวรรษ และได้รับแต่งตั้งให้เป็น CISO ในปี 2022 ในช่วงเวลานั้น เขากล่าวว่า "การไล่ล่าทรัพยากรข้อมูลอย่างต่อเนื่อง" เพื่อให้แน่ใจว่าสัญญาณ- อัตราส่วนต่อเสียงรบกวนบิดเบือนข้อมูลสัญญาณเพื่อเพิ่มความสามารถและประโยชน์ของ SIEM ของการแลกเปลี่ยนให้สูงสุด

การกรองเสียงรบกวน

Shua และทีมงานของเขาต้องตัดงานออกไป เนื่องจาก SIEM ส่วนใหญ่ “คุณจะเห็นสัญญาณรบกวนมาก และไม่มีสัญญาณมากนัก” สิ่งนี้นำไปสู่การบวกลวงและการกำหนดค่าที่ไม่ถูกต้อง ซึ่งในทางกลับกัน จะสร้างงานเพิ่มเติมให้กับทีม SOC ลดประสิทธิภาพการทำงาน และเป็นอุปสรรคต่อ พยายามทำให้ SIEM ทำงาน.

เพื่อลดสิ่งนี้ Shua กล่าวว่าทีม SOC สามารถเขียนกฎสำหรับวิธีที่ SIEM จัดการกับข้อมูลขาเข้า แต่การสร้างกฎเหล่านั้นต้องใช้เวลาอันมีค่าของทีม SOC เช่นกัน

แต่การเขียนกฎความสัมพันธ์ของ SIEM นั้นค่อนข้างง่ายหากโซลูชัน SIEM ได้กำหนดการแยกวิเคราะห์บันทึกและกฎสำหรับแอปพลิเคชันการรายงานไว้ล่วงหน้าแล้ว Shua กล่าว แต่ก่อนที่จะเขียนกฎได้ ทีม SOC จะต้อง: 

• พิจารณาโครงสร้างข้อมูลและระบุฟิลด์ที่เกี่ยวข้องที่จำเป็นสำหรับกฎ
• ทำความเข้าใจตรรกะของระบบการรายงานเนื่องจากอาจมีมาตรฐานบันทึกของตัวเอง
• สร้างความสัมพันธ์ของกฎที่แน่นอนและวิเคราะห์ข้อยกเว้น
• ดำเนินการประกันคุณภาพและการทดสอบ

รายการดำเนินการเหล่านี้อาจใช้เวลาสองสามชั่วโมงต่อรายการ แต่ถ้ารายการเหล่านั้นซับซ้อนกว่า รายการเหล่านั้นอาจใช้เวลาหลายวันจึงจะเสร็จสมบูรณ์ Shua กล่าวเสริม

“เมื่อคุณก่อตั้ง SIEM คุณมีข้อกังวลสองประการ หนึ่งคือ 'ฉันมีกฎที่ปกป้องฉันจากการโจมตีที่เกี่ยวข้องหรือไม่ ... ฉันจะครอบคลุมกฎที่มีประสิทธิผลหรือไม่' สิ่งที่สองคือ 'ฉันจะได้รับข้อมูลจากระบบการรายงานที่จะเรียกใช้กฎเหล่านี้หรือไม่'”

การเพิ่มแพลตฟอร์มของ CardinalOps เมื่อเร็วๆ นี้ ได้ปรับปรุง Splunk Enterprise ที่ TASE; Shua กล่าวว่ากระบวนการเขียนกฎลดลงอย่างมาก โดยมีการสร้างกฎ 85 กฎภายในไม่กี่เดือน เทคโนโลยีนี้ก็ได้ถูกนำมาใช้ “ทีมงานมุ่งเน้นไปที่การนำกฎไปใช้และทดสอบกฎมากกว่า แทนที่จะเขียนกฎขึ้นมา ซึ่งเป็นกระบวนการที่ใช้เวลามากที่สุดในลิงก์” เขากล่าวเสริม

SIEM คุ้มค่ากับเวลาและเงินที่ใช้ไปกับความสัมพันธ์และการเขียนกฎเกณฑ์หรือไม่ Shua ยอมรับว่าการบำรุงรักษา SIEM นั้นเป็นงานที่มีความต้องการสูง เนื่องจากมีความจำเป็นในการอัปเดตและแก้ไขอย่างต่อเนื่อง แม้ว่าจะพยายามอย่างเต็มที่ แต่การโจมตีบางอย่างก็อาจไม่มีใครสังเกตเห็นเนื่องจากขาดการมองเห็นหรือกฎที่ตรงกัน

“ฉันคาดหวังว่าโซลูชันในอนาคตจะนำความสามารถอัตโนมัติมาใช้สำหรับการสร้างกฎอัตโนมัติและการตอบสนองทันที” Shua กล่าว 

และเนื่องจาก SIEM ดึงข้อมูลจากหลายแหล่ง จึงต้องมีประสิทธิภาพมากขึ้นในการประมวลผล วิเคราะห์ และจัดเก็บข้อมูลที่อยู่ในรูปแบบที่แตกต่างกัน “คุณต้องทำการปรับเปลี่ยนเพื่อรักษา” Shua กล่าว และเสริมว่าการจัดการการเปลี่ยนแปลงที่ไม่เหมาะสมหมายความว่าองค์กรมีแนวโน้มที่จะพลาดกิจกรรมด้านความปลอดภัยบางอย่าง

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem