Sở giao dịch chứng khoán Tel Aviv CISO: Sử dụng SIEM của bạn tốt hơn

Đối với Gil Shua, việc tận dụng tối đa hệ thống quản lý sự kiện thông tin bảo mật (SIEM) cho Sở giao dịch chứng khoán Tel Aviv phụ thuộc vào việc đạt được tỷ lệ tín hiệu trên nhiễu phù hợp. Điều đó, và viết các quy tắc đúng.

Tỷ lệ tín hiệu trên nhiễu, như mọi kỹ sư tần số vô tuyến đều biết, tập trung vào lượng nội dung thực tế (tín hiệu) cho đến sự gián đoạn tĩnh và âm thanh khác (nhiễu). Đối với Shua, mục tiêu là giảm thiểu lượng tiếng ồn gửi đến SIEM để hỗ trợ nội dung có thể hành động. Anh ấy đang tìm kiếm điều gì đó khiến anh ấy đứng dậy khỏi bàn làm việc và nhận ra rằng, “Chúng ta có một vấn đề; chúng tôi có điều gì đó mà chúng tôi muốn giải quyết ngay bây giờ và khắc phục nó.”

Shua đã làm việc ở nhiều vị trí bảo mật khác nhau tại Sở giao dịch chứng khoán Tel Aviv (TASE) trong hơn một thập kỷ và được bổ nhiệm làm CISO vào năm 2022. Trong thời gian đó, ông nói rằng đó là một “cuộc săn lùng liên tục các nguồn tài nguyên dữ liệu” để đảm bảo rằng tín hiệu- tỷ lệ nhiễu nghiêng về dữ liệu tín hiệu để tối đa hóa khả năng và lợi ích của SIEM của sàn giao dịch.

Lọc tiếng ồn

Shua và nhóm của anh ấy đã hoàn thành công việc vì với hầu hết các SIEM, “bạn thấy rất nhiều tiếng ồn và không có nhiều tín hiệu”. Điều này dẫn đến kết quả dương tính giả và cấu hình sai, từ đó tạo ra thêm công việc cho nhóm SOC, làm giảm năng suất và là trở ngại cho việc thực hiện. đang cố gắng để SIEM hoạt động.

Để giảm thiểu điều này, Shua cho biết nhóm SOC có thể viết các quy tắc về cách SIEM xử lý dữ liệu đến, nhưng việc tạo ra các quy tắc đó cũng tiêu tốn thời gian quý giá của nhóm SOC.

Shua cho biết, việc viết các quy tắc tương quan SIEM tương đối dễ dàng nếu giải pháp SIEM đã có sẵn các quy tắc và phân tích nhật ký được xác định trước cho ứng dụng báo cáo. Nhưng trước khi viết ra các quy tắc, nhóm SOC phải: 

• Tìm ra cấu trúc dữ liệu và xác định các trường có liên quan cần thiết cho quy tắc.
• Hiểu logic của hệ thống báo cáo vì chúng có thể có tiêu chuẩn nhật ký riêng.
• Tạo mối tương quan quy tắc chính xác và phân tích các trường hợp ngoại lệ.
• Thực hiện đảm bảo chất lượng và kiểm tra.

Shua cho biết thêm, những mục hành động này có thể mất vài giờ mỗi mục, nhưng nếu chúng phức tạp hơn, chúng có thể mất nhiều ngày để hoàn thành.

“Khi thành lập SIEM, bạn có hai mối lo ngại. Một là 'Tôi có các quy tắc bảo vệ tôi trước các cuộc tấn công có liên quan không... tôi có được áp dụng các quy tắc hiệu quả không?' Điều thứ hai là 'Tôi có nhận được thông tin từ hệ thống báo cáo sẽ kích hoạt các quy tắc này không?'.”

Việc bổ sung gần đây nền tảng của CardinalOps đã cải thiện Splunk Enterprise tại TASE; Shua cho biết quy trình viết quy tắc đã được giảm bớt một cách ồ ạt, với 85 quy tắc được tạo ra trong vài tháng, công nghệ đặc biệt này đã được sử dụng. Ông cho biết thêm: “Nhóm tập trung hơn vào việc triển khai các quy tắc và kiểm tra chúng chứ không phải viết chúng, đây là quá trình tốn nhiều thời gian nhất trong liên kết”.

Vậy SIEM có xứng đáng với thời gian và tiền bạc dành cho việc viết ra các quy tắc và tương quan không? Shua thừa nhận rằng việc duy trì SIEM là một nhiệm vụ đòi hỏi khắt khe vì cần phải cập nhật và sửa đổi liên tục. Bất chấp mọi nỗ lực, một số cuộc tấn công có thể không được chú ý do thiếu khả năng hiển thị hoặc quy tắc phù hợp.

Shua nói: “Tôi hy vọng các giải pháp trong tương lai sẽ áp dụng khả năng tự động hóa để tạo và phản hồi quy tắc tự động ngay lập tức”. 

Và vì SIEM lấy dữ liệu từ nhiều nguồn nên chúng phải hoạt động hiệu quả hơn trong việc xử lý, phân tích và lưu trữ dữ liệu ở các định dạng khác nhau. Shua cho biết: “Bạn phải thực hiện các điều chỉnh để duy trì và cho biết thêm rằng việc quản lý thay đổi không đúng cách có nghĩa là tổ chức có thể bỏ lỡ một số sự kiện bảo mật.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem