Net Admin

Hvad er en Next-Gen SIEM?

Hvad er en Next-Gen SIEM?



SIEM-pakker indsamler systemlogmeddelelser og genererer også deres egne live-trafikmålinger, som de skal kigge efter tegn på ondsindet aktivitet .

EN næste generation af SIEM ser ud over det beskyttede netværk for yderligere information. Disse ekstra informationskilder samler angrebsoplysninger fra mange netværk.



Ideen om at hente trusselsinformation fra eksterne kilder er en typisk teknik, der bruges i næste generations antivirussystemer . Den bruger erfaringerne fra andre computersystemer til at identificere almindelige angrebsvektorer.

EN hacker team opdager et nyt trick til at komme ind i et netværk, til at flytte rundt på et system uopdaget, for at bryde godkendelsessystemer eller for at beskadige eller stjæle data. Når den nye teknik er blevet bevist, vil det team implementere den nye strategi igen og igen mod mange mål. De kan også dele denne metode med andre hackere, eller andre hackerhold hører måske om muligheden for dette nye system og gætter det selv.



På grund af de mange nye angrebsmetoder, der bliver ved med at blive opfundet, skulle antivirussystemer opdateres dagligt. Efterhånden som AV'er blev mere avancerede, fandt hackere måder at bruge eksisterende, legitim software og tjenester til at bryde ind i systemer og bevæge sig uopdaget. Dermed, Intrusion Detection Systems (IDS'er) og SIEM tjenester blev opfundet for at blokere ondsindet aktivitet i stedet for specifikke stykker malware.

Et problem med AV'er, IDS'er og SIEM'er er, at de skal vide, hvad de skal kigge efter. Teknikerne i en cybersikkerhedstjeneste arbejder hurtigt for at identificere et nyt angreb og udbrede dets identifikatorer til installationer af deres tjeneste. Deres arbejde er dog aldrig hurtigt nok. Splinternye angreb, kaldet ' nul-dag ,” kan forårsage skade eller få adgang til en masse systemer, mens den proces med opdagelse og formidling foregår.

Næste generations trusselsefterretninger

Det ' næste generation ”-konceptet, uanset om det anvendes på AV'er eller SIEM-tjenester, er et forsøg på at fjerne mellemmanden. Brugere af sikkerhedssystemer kan advare hinanden om tilstedeværelsen af ​​et nyt angreb. Mekanismen til deling af angrebsoplysninger skal dog automatiseres.

Et stort problem med AV-databaseopdateringer i fortiden er, at brugerne ikke holdt konstant forbindelse til internettet og foretrak at manuelt kommandere en opdatering. Dette åbnede muligheden for, at nogle installationer meget hurtigt blev forældede og gjorde systemer sårbare over for angreb. Næste generations SIEM-systemer forbliver forbundet til internettet hele tiden, så de kan modtage angrebssignaturopdateringer uden behov for manuel indgriben.

Det Næste Gen systemet er en peer-to-peer operation. Ligesom med fildelingssystemer fungerer SIEM-pakken som en informationsnetværksklient. Det er, som om der er en indbygget uTorrent-klient derinde. Informationsdelingssystemet kaldes ofte et ' feed efterretning af trusler .' Klienten til dette informationsdelingsnetværk er i stand til både at læse nye opdateringer og poste oplysninger, som andre kan få adgang til.

Ikke alene fjerner dette trusselsefterretningssystem behovet for et centralt laboratorium til at formulere trusselssignaturer, men det tager også systemadministratoren ud af processen.

Trusselsefterretningschefen i SIEM følger et fælles rapporteringsformat . Når en ny angrebsstrategi er opdaget i SIEM, formaterer trusselsintelligensklienten disse oplysninger og uploader dem til informationsudvekslingen. Alle andre SIEM-systemer i verden, der abonnerer på den samme trusselsintelligens-feed, spørger regelmæssigt datakilden for nye indlæg og downloader dem derefter.

Gennem peer-to-peer trusselsefterretninger model, kan SIEM-systemer få advarsler om nye angreb næsten lige så snart et hackerhold afprøver deres metode for første gang. Dette har en dobbelt fordel. Først og fremmest er antallet af systemer, som et zero-day-angreb faktisk kan beskadige, drastisk reduceret. En sekundær fordel ved dette system er, at det reducerer mulighederne for hackerhold for at få dækket omkostningerne ved at udvikle en ny angrebsvektor. Efterhånden som næste generations systemer bliver mere almindelige, hacking bliver mindre rentabelt .

Selvom der er en række kede teenagere i verden, der forsøger at bryde ind i it-systemer for sjov skyld, er den største skade, der er forårsaget af it-sikkerheden, fra professionelle teams af hackere, der lever godt af virksomheden. Fjernelse af deres rentabilitet reducerer incitamenterne til hacking og reducerer mængden af ​​tid og penge, der kan bruges på at udvikle nye hackingstrategier.

Anomali detektion

Den fælles pulje af trusselsintelligens er det formidlende system, der gør næste generations SIEM-systemer så effektive. Den hurtige distribution af information ville dog ikke være til stor nytte, hvis de abonnerende cybersikkerhedspakker ikke var i stand til at få øje på uventede angrebsstrategier .

Anomali detektion er en vigtig kilde til ny information til trusselsefterretningsfeeds. Selvom oplysningerne om, hvilken adfærd man skal være opmærksom på, hjælper SIEM-systemer med at reagere hurtigt på nye angreb, er det ikke den eneste metode, disse systemer bruger til at blokere ondsindet aktivitet.

Næste generations SIEM-tjenester bruger et system med aktivitetssporing der er baseret på maskinelæring – en strategi, der er udviklet til kunstig intelligens. Dette sporer al aktivitet på et netværk og på slutpunkter over tid. Den leder efter regelmæssige adfærdsmønstre og skaber en baseline ud fra det mønster.

Når en brugerkonto pludselig udfører andre handlinger end den normale aktivitet, der forventes af denne brugergruppe, er SIEM-systemet mere opmærksom. Dette er en metode kaldet ' triage .' Det reducerer mængden af ​​behandling, som et SIEM-system skal udføre. Særlige rutiner træder først i kraft, når en kandidat til overvågning er identificeret af anomalidetektionssystemer, der leder efter afvigelser fra basislinjen for normal aktivitet.

Efterhånden som efterforskningen bliver dybere, kan mistænkelige adfærdsmønstre derefter kontrolleres mod efterretningsfeedet. Yderligere uregelmæssigheder får det aktivitetsmønster til at blive uploadet til trusselsefterretningssystemet. Således vil mange implementeringer af det samme SIEM-system begynde undersøge denne aktivitet selv før det er bevist, at det er forårsaget af en ubuden gæst eller ny malware.

Trusselsefterretningsdatakilder

Producenter af cybersikkerhedssystemer driver deres egne trusselsintelligensnetværk, som simpelthen er et fælles datalager for al trusselsinformation indsamlet af hver implementering. Mange leverandører stiller også deres trusselsintelligenspuljer til rådighed for ikke-kunder. Der er også leverandørneutrale trusselsefterretningssystemer. Nogle cybertrussel efterretning (CTI) systemer er open source og gratis at få adgang til, mens andre kun er tilgængelige for dem, der betaler et abonnement.

Med al sandsynlighed, når du køber eller abonnerer på en næste generations SIEM, er beslutningen om, hvilke CTI-feeds tjenesten vil tage, allerede blevet truffet for dig. Leverandøren af ​​din SIEM vil sandsynligvis allerede køre en intern CTI til informationsdeling blandt kunder. Disse tjenester kan også omfatte adgang til nogle open source CTI'er.

Der er to udbredte dataudvekslingsformater til CTI-systemer:

  • Collective Intelligence Framework
  • Struktureret trusselsinformationsudtryk

Hvis et cybersikkerhedsfirma opretter sit efterretningsfeed sammen med en af ​​disse standarder, vil mange andre systemer være i stand til at modtage data fra informationspuljen.

Collective Intelligence Framework

Det Collective Intelligence Framework (CIF) er et open source formaterings- og administrationssystem til feeds med trusselsintelligens. Den tildeler en type til hver notifikation, såsom Botnet, Phishing eller Malware, og den har også et konfidensfaktorfelt, som vil være et tal op til 100 med 75 til 84, der indikerer 'pålidelig', 85 til 94 er 'meget pålideligt .'

Du kan lære mere om dette system i dets hjem på CSIRT-gadgets internet side.

Struktureret trusselsinformationsudtryk

Structured Threat Information Expression (STIX CTI) er et andet gratis open source-system til styring af trusselsintelligenspuljer. Dette system har sin egen meddelelseskommunikation og lagringsprotokol. Dette system er lidt mere kompliceret end CIF, fordi det er struktureret som genstande som får mening gennem forbindelser. I stedet for et enkelt postformat indeholder STIX-databasen en række TTP-objekter. TTP står for ' taktik, teknikker og procedurer .'

For at behandle en underretning om trusselsintelligens skal du indlæse et TTP-objekt, f.eks Malware , og som bringer alle de sammenkædede objekter igennem, såsom ' Indikator ' eller ' Fremgangsmåde .' Hvert objekt indeholder yderligere information.

Du kan lære mere om STIX-projektet på sin GitHub-side.

Næste generations SIEM use cases

I SIEM, en use case er en specifikation af tekniske regler. Det er et sæt hændelser, som, hvis de opdages i kombination, vil udløse en advarsel eller en anden handling. Listen over handlinger, der skal implementeres, er også en del af use casen. Det er med andre ord en række ting, man skal være opmærksom på.

Det udløsende begivenheder i et use case behøver det ikke nødvendigvis at ske i en bestemt rækkefølge. Den næste generation af SIEM vil blive leveret med en række use cases for at få det i gang. Men pointen med ' næste generation ” en del af disse systemer er, at de tilpasser sig udviklingen i begivenheder. Dermed er de i stand til at bygge nye use cases ud fra information, der trækkes ind fra trusselsefterretningsfeedet.

Use cases kan skråtstilles i henhold til specifikke sikkerhedsmål. For eksempel hvis virksomheden skal overholde specifikke sikkerhedsstandarder, som f.eks HIPAA eller PCI DSS , vil vægten af ​​trusselsdetektionssystemet skulle have hændelsesdetekteringsregler omkring en bestemt type data, som opbevares på bestemte steder.

Begrebet ' triage ” kommer til udtryk i use cases af den næste generation af SIEM. Hvis f.eks. SIEM-detektionssystemet arbejder med en specifik use-case, der indeholder fire forskellige hændelser, vil detekteringen af ​​en af ​​disse fire få SIEM-værktøjet til at indsamle dybere oplysninger om handlingerne på den brugerkonto, der udførte handlingen, for tegn på de tre andre forbundne begivenheder.

I ovenstående handling er dybere sporing af en konto en handling i brugssagen. Use casen kan angive en alarm på lavere niveau for at underrette operatører, hvis der kun registreres en eller to forbundne handlinger. Kombinationen af ​​alle hændelser i den opståede use case kan indstilles til at udløse en automatiseret handling , såsom at låse en konto eller instruere netværkets firewall om at blokere al adgang fra en bestemt IP-adresse. I alle tilfælde vil det trinvise stød på elementer i en use case blive logget.

Fordele og ulemper ved næste generations SIEM

Bortset fra fordele og ulemper ved at bruge et SIEM-system, er der specifikke fordele og ulemper ved næste generations SIEM'er.

Næste generations SIEM-professionelle

  • Færre falske positive alarmer på grund af maskinlæring, der justerer normale aktivitetsbasislinjer
  • Hurtigere kommunikation mellem trusselsintelligens fodrer abonnenter af nye angrebsvektorer
  • Integrationen og samarbejdet med eksisterende beskyttelsessystemer, såsom firewalls og adgangsrettighedsstyringssystemer til trusselsbegrænsning
  • Hurtigere detektion af potentielle trusler gennem brug af heuristik, der identificerer delvise matches til kendte trusler
  • Mindre behandling af data gennem trinvise reaktionsniveauer til normal aktivitetssporing gennem mistanke til fokuseret sporing

Next-Gen SIEM Cons

  • Tabet af internetforbindelsen reducerer effektiviteten af ​​SIEM-systemet, hvilket skaber et svaghedspunkt
  • Systemet er selvstændigt og er derfor svært at forstå eller styre
  • Den næste generations SIEM-tjeneste er svær at benchmarke – fungerer din SIEM godt, eller har du bare ikke været udsat for mange angrebsforsøg?
  • Afhængigheden af ​​et fjerntrusselintelligensfeed skaber en sårbarhed – hvis hackere kan manipulere feedkilden, kan mange afhængige systemer blive angrebet

Implementering af næste generations SIEM

Næste generations SIEM'er er mere end noget andet cybersikkerhedssystem indbyrdes afhængige pakker af mange specialistmoduler. Disse tjenester er meget automatiserede og meget autonome. Det betyder, at kvaliteten af ​​servicen er meget vigtig, især kvaliteten af ​​de tilknyttede feed efterretning af trusler . Du kan læse vores anbefalinger om fremragende næste generations SIEM'er at overveje i Bedste Next-Gen SIEM'er .

^