fbpx

RSA: cum sa exploatezi corect o solutie SIEM


Cei mai multi dintre specialistii in securitate IT pun mare baza in solutiile SIEM (security information and event management) pentru a obtine informatii valoroase legate de log-uri atunci cand vor sa detecteze eventualele amenintari din retea.

Dar nu intotdeauna este suficient. Fiindca, permanent, apar alte noi amenintari, din alte surse. Poate o solutie SIEM sa se ridice la nivelul necesitatilor, sa detecteze si sa raspunda tuturor amenintarilor cu care se confrunta companiile in prezent? Si ce ai de facut ca sa te asiguri ca solutia pe care te bazezi face fata tuturor provocarilor?

Nu te rezuma la log-uri: Sigur, log-uri iti pot spune pe unde s-au produs infiltrari. Este bine de stiut, dar nu suficient. Ce a incercat sa faca atacatorul si cum a patruns in sistem? Ca sa poti raspunde la aceasta intrebare, ai nevoie de vizibilitate la nivelul pachetelor de date din retea. Pentru a face investigatii complete si pentru a determina care este procesul care a stat la baza atacului, trebuie sa ai posibilitatea de a vedea ce se intampla in punctele initiale ale atacului. Fara o imagine clara asupra log-urilor, pachetelor de date si a punctelor finale, nu poti avea suficiente informatii pentru a construi o aparare robusta.

Foloseste-te de prioritizari: Mai multe atacuri inseamna mai multe alerte – dar nu neaparat si angajati mai multi si mai bine pregatiti pentru a detecta si raspunde acestora. Tocmai de aceea este esential sa poti evalua rapid care dintre amenintari sunt cele mai serioase si, in functie de asta, sa stabilesti prioritatile. Daca nu poti diferentia intre un atac produs pe serverul unde se afla toate codurile sursa, de un atac de la nivelul serverului pe care se tin meniurile zilei – deciziile pot fi pur intamplatoare. Si s-ar putea sa consumi resurse pretioase pentru a contracara atacuri mai putin grave, in vreme ce adevaratele amenintari fac ravagii. Tocmai de aceea, integrarea cu informatiile privind riscurile de business este esentiala atunci cand se ia o decizie de securitate.

Adapteaza, pe masura ce cresti: capacitatea de ajustare, “scalarea” este un “must” in conditiile in care mediile sunt tot mai eterogene, resursele umane tot mai mobile, iar sistemele trebuie sa fie apte sa detecteze si sa raspunda la amenintari tot mai variate. In aceste conditii, arhitectura SIEM ar trebui sa se scaleze cu usurinta pe sit-uri multiple, fizice, virtuale si cloud. Fara a se impune modificari de arhitectura.

Pentru a raspunde eficient amenintarilor cibernetice, solutia folosita trebuie sa asigure vizibilitate, informatii complete si scalabilitate. Cand alegi o solutie de securitate trebuie sa te asiguri ca aceasta va putea sa indeplineasca cateva criterii esentiale:

  • Sa colecteze date relevante legate de investigatiile cibernetice, pana la punctele finale
  • Sa coreleze datele de securitate din log-uri, pachete si puncte finale
  • Sa asigure tehnologii variate, inclusiv analitice comportamentale pentru detectarea anomaliilor
  • Sa stie care utilizatori sau sisteme sunt critice, pentru a putea prioritiza alertele de securitate

Daca solutia SIEM folosita in prezent nu indeplineste aceste responsabilitati, este timpul sa faci o schimbare. Suita RSA NetWitness® te poate ajuta sa castigi vizibilitate, sa raspunzi mai rapid amenintarilor existente si, in final, sa iti consolidezi securitatea de la nivelul intregii retele.

Vedeti de asemenea

Cautati informatii