Тель-Авівська фондова біржа CISO: краще використання SIEM

Тель-Авівська фондова біржа CISO: краще використання SIEM

Мітка часу: 18 серпня 2023 р., 2:18

Для Гіла Шуа отримання максимальної віддачі від системи керування подіями безпеки (SIEM) для Тель-Авівської фондової біржі зводиться до правильного співвідношення сигнал/шум. Це і написання правильних правил.

Співвідношення сигнал/шум, як відомо кожному радіочастотному інженеру, зводиться до кількості фактичного вмісту (сигналу) до статичних та інших звукових перешкод (шуму). Для Shua мета полягає в тому, щоб мінімізувати кількість шуму, що надсилається до SIEM, на користь корисного вмісту. Він шукає щось, що змусить його встати з-за столу з усвідомленням: «У нас проблема; у нас є те, що ми хочемо вирішити зараз і виправити».

Шуа працював на різних посадах служби безпеки на Тель-Авівській фондовій біржі (TASE) більше десяти років і був призначений CISO в 2022 році. Протягом цього часу, за його словами, це була «постійна гонитва за ресурсами даних», щоб переконатися, що сигнал- Співвідношення шуму змінюється на користь даних сигналу, щоб максимізувати можливості та переваги SIEM обміну.

Тель-Авівська фондова біржа CISO Гіл Шуа

Тель-Авівська фондова біржа CISO Гіл Шуа. Джерело: Гіл Шуа, Тель-Авівська фондова біржа

Фільтрація шуму

У Шуа та його команди є багато роботи, оскільки в більшості SIEM «ви бачите багато шуму та мало сигналу». Це призводить до помилкових спрацьовувань і неправильних конфігурацій, що, у свою чергу, створює додаткову роботу для команди SOC, знижує продуктивність і є перешкодою для намагаючись налагодити роботу SIEM.

Щоб мінімізувати це, Шуа каже, що команда SOC може написати правила, як SIEM обробляє вхідні дані, але створення цих правил також забирає дорогоцінний час команди SOC.

Але писати правила кореляції SIEM відносно легко, якщо рішення SIEM уже має попередньо визначений аналіз журналу та правила для програми звітування, каже Шуа. Але перед написанням правил команда SOC повинна: 

  • Визначте структуру даних і визначте відповідні поля, необхідні для правила.
  • Зрозумійте логіку систем звітності, оскільки вони можуть мати власні стандарти журналу.
  • Створіть точне співвідношення правил і проаналізуйте винятки.
  • Виконуйте контроль якості та тестування.

Кожна з цих завдань може зайняти кілька годин, але якщо вони складніші, на виконання можуть знадобитися дні, додає Шуа.

«Коли ви створюєте SIEM, у вас є дві проблеми. Один із них: «Чи є у мене правила, які захищають мене від відповідних атак… чи діють на мене ефективні правила?» По-друге, чи отримую я інформацію від систем звітності, яка активує ці правила?».

Нещодавнє додавання платформи CardinalOps покращило Splunk Enterprise на TASE; Шуа каже, що процес написання правил значно скоротився: за кілька місяців використання цієї конкретної технології було створено 85 правил. «Команда більше зосереджена на впровадженні правил і їх тестуванні, а не на їх написанні, що було найбільш трудомістким процесом у посиланні», – додає він.

Отже, чи варті SIEM часу та грошей, витрачених на кореляцію та написання правил? Шуа визнає, що підтримка SIEM є складним завданням, оскільки є потреба в постійних оновленнях і модифікаціях. Незважаючи на всі зусилля, деякі атаки можуть залишитися непоміченими через відсутність видимості або правил відповідності.

«Я очікую, що майбутні рішення матимуть можливості автоматизації для створення автономних правил і реагування з коробки», — каже Шуа. 

А оскільки SIEM отримують дані з багатьох джерел, вони мають стати більш ефективними, обробляючи, аналізуючи та зберігаючи дані в різних форматах. «Потрібно внести корективи, щоб підтримувати», — каже Шуа, додаючи, що неправильне керування змінами означає, що організація може пропустити деякі події безпеки.

Часова мітка:

Більше від Темне читання