A GigaOm elemző vállat kiadta a legfrissebb jelentését, amelyben biztonsági információ- és eseménykezelő (security information and event management – SIEM) megoldásokat tesztelt. Az értékelésben a legjobbak között végzett a Micro Focus eszköze, az ArcSight.
Egy jó SIEM mindent lát
A SIEM rendszer központi szerepet játszik a kibervédelemben, mivel közel valós időben és visszamenőleg is képes összegyűjteni és elemezni a biztonsági eseményeket és a kapcsolódó adatokat, ezáltal a vállalatok gyorsabban azonosíthatják és kezelhetik a fenyegetéseket.
Egy hatékony és jól konfigurált SIEM rendszer a fenyegetések észlelésén túl korrelálja a naplókat és megteszi az incidensek elhárításához szükséges lépéseket. Ideális esetben pedig több adatforrásból származó információkat is tud összesíteni és együttesen elemezni, hogy a legpontosabb képet nyújtsa a kiberbiztonsági szakembereknek.
MITRE jó a sok adat?
A SIEM rendszerek számára hasznos adatforrások közé tartozik a MITRE ATT&CK keretrendszer. Ezt az ingyenesen elérhető rendszert a MITRE Corporation nonprofit szervezet hozta létre, amely az Egyesült Államok kormányzati szervei számára nyújt rendszermérnöki, kutatás-fejlesztési és informatikai támogatást.
A MITRE ATT&CK átfogó módszertant biztosít a szervezetek és a kiberbiztonsági csapatok számára ahhoz, hogy megértsék a kibertérben tevékenykedő ellenfelek viselkedését, és megerősítsék biztonságukat. A platform szabadon hozzáférhető tudásbázisként szolgál, információt nyújtva a potenciális fenyegetésekről és a támadók módszereiről. A biztonsági szakemberek világszerte használják a keretrendszert, hogy információkhoz jussanak a legfrissebb kiberfenyegetésekkel kapcsolatban, és hatékonyabban védekezhessenek velük szemben.
Derült Arccal, Sight-átva fogadták a Micro Focus megoldását
A GigaOm azt vizsgálta az elemzésében, hogy a SIEM megoldások milyen arányban tudják észlelni azokat a támadásokat, amelyeket ebben a keretrendszerben ismertetnek, vagyis mennyire jól tudják hasznosítani a MITRE ATT&CK adatait. Összesen két termék azonosította az összes fenyegetést, és kapott ezáltal 10/10-es, tökéletes értékelést, amelyek közül az egyik az ArcSight volt.
A jelentésben elismerően nyilatkoztak arról, hogy az ArcSight könnyen kezelhető, és több különféle módszert biztosít az összegyűjtött adatok elemzésére. Azt is kiemelték továbbá, hogy a rendszer jó rálátást biztosít a MITRE adataira, és könnyen érthető: még egy junior elemző is egyszerűen, különösebb támogatás nélkül tudja használni a rendszert az események korrelálására, és ki tudja nyerni belőle a szükséges információt minden egyes folyamattal kapcsolatban.
Az ArcSight ráadásul beépített SOAR funkciókat is kínál, amelyek automatizált módon megteszik a szükséges lépéseket egy-egy incidens esetén. Ennek köszönhetően a vállalatok valós időben észlelhetik és kezelhetik fenyegetéseket.