Czy SIEM jest przeżytkiem?
Wobec pojawienia się narzędzi EDR/NDR/XDR w obszarze wykrywania zagrożeń i reagowania na nie, można uznać, że używane od wielu lat rozwiązania tracą swoją pierwszoplanową rolę w systemach bezpieczeństwa. Czy rzeczywiście?
Nawet najwięksi dostawcy nie gwarantują ciągłego rozwoju swoich produktów.
Nie tylko dostawcy systemów SIEM (Security Information and Event Management) twierdzą, że wcale nie są one przestarzałe, ale także niezależni eksperci. W 2024 r. wciąż odgrywają kluczową rolę, gdyż zapewniają szeroki wgląd w zdarzenia dotyczące bezpieczeństwa w całym środowisku sieciowym oraz zbieranie i analizowanie logów z różnych źródeł do ich wstępnej oceny. Takie podejście pozwala im na identyfikowanie podejrzanych wzorców i alarmowanie zespołu ds. bezpieczeństwa, który następnie może podjąć niezbędne działania.
W połączeniu z innymi mechanizmami ochronnymi, SIEM-y mogą zwiększyć swoje możliwości, zapewniając bardziej zaawansowane wykrywanie zagrożeń oraz reagowanie na nie. Dlatego są nadal powszechnie stosowane, ponieważ są w stanie ostrzegać zespoły ds. bezpieczeństwa o potencjalnych cyberatakach, co jest kluczowe w obliczu dotychczasowych i nowych regulacji prawnych.
SIEM, SOAR i UEBA na jednej platformie
SIEM to narzędzie, które zbiera i analizuje dane z różnych baz danych w firmowym środowisku IT, w tym z urządzeń sieciowych, serwerów i aplikacji. SIEM koncentruje się na wykrywaniu zagrożeń, centralnym zarządzaniu logami, działaniach typu forensic i raportowaniu oraz proaktywnym poszukiwaniu niebezpieczeństw. W ostatnim roku zaczęto kłaść szczególny nacisk na wsparcie tych wszystkich zadań przez sztuczną inteligencję.
– Rzeczywiście, w systemach SIEM coraz częściej mechanizmy automatycznego wykrywania i reagowania na zagrożenia wspomagane są sztuczną inteligencją. W przypadku systemów SIEM analitycy mogą liczyć na wsparcie w interpretowaniu zdarzeń podczas prowadzonych śledztw dotyczących zaobserwowanych incydentów, a także polowaniu na zagrożenia i reagowaniu na nie. Natomiast generatywna sztuczna inteligencja może być pomocna w szybkim tworzeniu szczegółowych podsumowań zdarzeń, opisywaniu ich potencjalnych skutków oraz zaleceń dotyczących neutralizacji zagrożeń i ich unikania w przyszłości. Takie podejście pomaga też w szybkim identyfikowaniu nieznanych wcześniej ataków i minimalizowaniu ryzyka ich występowania – mówi Maciej Iwanicki, Business Development Manager w polskim oddziale Fortinetu.
W obszarze zarządzania incydentami bezpieczeństwa do obecnych na rynku już blisko 20 lat SIEM-ów dołączyły takie rozwiązania, jak SOAR (Security Orchestration, Automation and Response) oraz UEBA (User and Entity Behavior Analytics). To pierwsze jest rozwiązaniem, które automatyzuje reagowanie na incydenty w obszarze narzędzi bezpieczeństwa, wykorzystując do tego playbooki (zestawy procedur i instrukcji) eliminujące ręczną pracę. Mechanizmy SOAR łączą alerty z całego stosu zabezpieczeń w jednym, zarządzalnym systemie. Także systemy SOAR wspomaga obecnie AI.
– W nowatorskich systemach typu SOAR sztuczna inteligencja zapewnia zwiększenie efektywności operacyjnej zespołów bezpieczeństwa poprzez automatyzację rutynowych zadań i skrócenie czasu reagowania na incydenty. Dzięki temu analitycy mogą skoncentrować się na bardziej strategicznych zadaniach. Rozwiązania te dostarczają mechanizmy zaawansowanej analityki i wizualizacji danych, co pomaga w szybkim zrozumieniu kontekstu występowania zagrożeń, tworzeniu profili atakujących cyberprzestępców oraz podejmowaniu skutecznych działań zaradczych. Integracja z innymi narzędziami umożliwia również wyjście poza „standardowe” przykłady użycia rozwiązań SOAR w środowisku bezpieczeństwa, chociażby poprzez zautomatyzowanie innych procesów w firmach, takich jak przyjmowanie i zwalnianie pracowników – tłumaczy Maciej Iwanicki.
Z kolei UEBA, jako rozwiązanie analizujące wzorce zachowań systemu i/lub użytkowników, wykrywa anomalie mogące wskazywać na potencjalne zagrożenia. Wykorzystuje w tym celu zaawansowane uczenie maszynowe, sztuczną inteligencję oraz algorytmy analizy statystycznej do wykrywania anomalii w zachowaniu użytkowników i jednostek (urządzeń końcowych, serwerów itp.) w firmowej sieci.
Zdaniem Gartnera wskazane jest obecnie połączenie wszystkich trzech rozwiązań na jednej platformie, co może zwiększyć bezpieczeństwo chronionych przedsiębiorstw. SIEM w połączeniu z SOAR oraz UEBA ma „znacząco przyspieszyć wykrywanie zagrożeń, ich analizę oraz reagowanie zespołów ds. bezpieczeństwa”.
Podobne artykuły
Systemy przemysłowe pod ostrzałem
Wśród wielu przedsiębiorców pokutuje przekonanie, że systemy przemysłowe OT nie wymagają ochrony, ponieważ nie przyciągają uwagi hakerów. Tymczasem prawda wygląda zgoła inaczej.
Fortinet: jak chronić środowiska IT placówek medycznych
Nowatorskie rozwiązania techniczne stały się nieodłącznym elementem codziennego funkcjonowania placówek medycznych, ale też – gdy nie są odpowiednio zabezpieczone – mogą przyczynić się do wzrostu ryzyka powodzenia cyberataku.
NDR i XDR: z niszy do głównego nurtu
Dzięki wsparciu sztucznej inteligencji zaawansowane rozwiązania NDR i XDR wyznaczają nowe sposoby wykrywania cyberzagrożeń oraz reagowania na nie.