6 أفضل أدوات إدارة الأمن ITIL في عام 2020

ITIL هو إطار واسع الانتشار وشامل للغاية لإدارة خدمات تكنولوجيا المعلومات. في الأصل من المملكة المتحدة ومصممة لخدمة كل من الشركات الحكومية والخاصة ، فهي عبارة عن مجموعة من العمليات والتوصيات والممارسات ذات الهياكل العالية. يتم تقسيمها إلى عدة مجالات محددة مع إدارة الأمن كونها ليست أكثر من واحد من العديد من جوانبها. ولكن بما أن الأمن موضوع مهم للغاية - خاصة عند النظر في مشهد التهديد الحديث وكيف تكون المنظمات يتم استهدافهم باستمرار من قبل قراصنة عديمي الضمير - لقد قررنا إلقاء نظرة على بعض من أفضل إدارة أمن ITIL أداة.

سنبدأ بتوضيح تفاصيل ITIL بمزيد من التفصيل قبل الانتقال إلى المنطقة المحددة لإدارة أمن ITIL. بعد ذلك ، سنقدم مفهوم معلومات الأمان وإدارة الأحداث ، ووصف ما تتكون منه ، وشرح كيفية ارتباطها بإدارة أمن ITIL. سنصل أخيرًا إلى الجزء المثير للاهتمام ونقدم مراجعة سريعة لبعض من أفضل أداة إدارة أمان ITIL ، مع وصف أفضل ميزات ووظائف كل أداة.

إيتيل باختصار

بدأت مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL) ، التي كانت تمثل مكتبة البنية التحتية لتكنولوجيا المعلومات ، في طريقها إلى الوراء في الثمانينيات كجهد من الكمبيوتر المركزي للحكومة البريطانية تضع وكالة الاتصالات (CCTA) مجموعة من التوصيات والممارسات القياسية لإدارة خدمات تكنولوجيا المعلومات في الحكومة والقطاع الخاص على النحو التالي: حسنا. نشأت كمجموعة من الكتب ، كل منها يغطي ممارسة محددة داخل إدارة خدمات تكنولوجيا المعلومات وتم بناؤه حول عرض قائم على نموذج العملية للتحكم في العمليات وإدارتها.

تتكون في البداية من أكثر من 30 مجلدًا ، وتم تبسيطها إلى حد ما فيما بعد وتم تجميع الخدمات ، مما قلل من عدد المجلدات إلى 5 مجلدات. لا يزال في تطور مستمر وتم نشر أحدث كتاب تأسيسي في فبراير الماضي ، ITIL يجمع عناصر مختلفة لإدارة خدمات تكنولوجيا المعلومات في الممارسات ، مع إدارة ITIL للأمن واحدة فقط كثير.

حول إدارة أمن ITIL

أما بالنسبة لعملية ITIL لإدارة الأمن ، فهي "تصف التركيب المنظم لأمن المعلومات في الإدارة منظمة." ويستند إلى حد كبير على مدونة قواعد الممارسة لنظام إدارة أمن المعلومات (ISMS) المعروف الآن باسم ISO / IEC 27001.

من الواضح أن الهدف الرئيسي لإدارة الأمن هو ضمان أمن المعلومات الكافية. وبدورها ، فإن الهدف الأساسي لأمن المعلومات هو حماية أصول المعلومات من المخاطر ، وبالتالي الحفاظ على قيمتها للمنظمة. عادة ، يتم التعبير عن هذا من حيث ضمان سريتها ونزاهتها وتوافرها ، ولكن أيضا مع الخصائص أو الأهداف ذات الصلة مثل الأصالة والمساءلة وعدم التنصل و الموثوقية.

هناك جانبان أساسيان لإدارة الأمن. أولا وقبل كل شيء متطلبات الأمن التي يمكن تحديدها إما داخل مستوى الخدمة اتفاقيات (SLA) أو متطلبات أخرى محددة في العقود والتشريعات وكذلك الداخلية أو الخارجية سياسات. الجانب الثاني منه هو ببساطة الأمن الأساسي الذي يضمن الإدارة واستمرارية الخدمة. ويرتبط إلى حد ما بالجانب الأول لأنه من الضروري تحقيق إدارة مبسطة على مستوى الخدمة لأمن المعلومات.

في حين أن إدارة أمن ITIL هي مفهوم واسع ، إلا أنها محدودة إلى حد ما في سياق أدوات البرمجيات. عند الحديث عن أدوات إدارة الأمان ، يمكن أن تتبادر إلى الذهن عدة أنواع من الأدوات. نوع واحد ، مع ذلك ، يبدو أكثر إثارة للاهتمام من الأنواع الأخرى: أدوات معلومات الأمان وإدارة الأحداث (SIEM).

تقديم معلومات الأمان وإدارة الأحداث (SIEM)

معلومات الأمان وإدارة الأحداث في أبسط صورها هي عملية إدارة معلومات الأمان والأحداث. بشكل ملموس ، لا يوفر نظام SIEM أي حماية حقيقية. هذا يختلف ، على سبيل المثال ، عن برنامج مكافحة الفيروسات الذي يمنع الفيروسات من إصابة الأنظمة المحمية. الغرض الأساسي من SIEM هو تسهيل حياة مسؤولي الشبكات والأمن. يقوم نظام SIEM النموذجي بجمع المعلومات من مختلف الأنظمة - بما في ذلك أجهزة الشبكة وأنظمة الكشف والحماية الأخرى. ثم يربط كل هذه المعلومات ، ويجمع الأحداث ذات الصلة ، ويتفاعل مع الأحداث ذات المغزى بطرق مختلفة. تشتمل أنظمة SIEM أيضًا على شكل من أشكال إعداد التقارير ، والأهم من ذلك ، لوحات المعلومات والأنظمة الفرعية للتنبيه.

ماذا يوجد في نظام SIEM

تختلف أنظمة SIEM بشكل كبير من بائع لآخر. ومع ذلك ، هناك عدد معين من المكونات لها يبدو أنها موجودة في العديد منها. لن تتضمن جميعها جميع هذه المكونات ، وعندما تفعل ذلك ، يمكن أن تعمل بشكل مختلف. دعنا نراجع بعض أهم مكونات أنظمة SIEM وأكثرها شيوعًا بمزيد من التفصيل.

جمع السجلات وإدارتها

يعد جمع وإدارة السجلات دون شك أهم عنصر في نظام SIEM. بدونها ، لا يوجد SIEM. أول شيء يجب على نظام SIEM فعله هو الحصول على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكنه إما سحبه - باستخدام ، على سبيل المثال ، وكيل مثبت محليًا - أو يمكن لأجهزة وأنظمة مختلفة دفعه إلى أداة SIEM.

نظرًا لأن لكل نظام طريقته الخاصة في تصنيف البيانات وتسجيلها ، فإن المهمة التالية لأداة SIEM هي تطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها. تختلف كيفية تنفيذ هذه الخطوة بشكل أساسي وفقًا للصيغة الأصلية للبيانات المستلمة.

بمجرد تطبيعها ، غالبًا ما تتم مقارنة البيانات المسجلة بأنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. يمكن أيضًا مقارنة البيانات بالبيانات التي تم جمعها مسبقًا ، مما يساعد على بناء خط أساس من شأنه أن يعزز اكتشاف النشاط غير الطبيعي.

استجابة الحدث

يعد اكتشاف الحدث أمرًا واحدًا ، ولكن بمجرد اكتشاف الحدث ، يجب بدء بعض عمليات الاستجابة. هذا هو موضوع وحدة استجابة الحدث لأداة SIEM. يمكن أن تتخذ استجابة الحدث عدة أشكال. في أبسط تطبيق لها ، سيتم إنشاء رسالة تنبيه على لوحة القيادة للنظام. يمكن أيضًا إنشاء تنبيهات البريد الإلكتروني أو الرسائل القصيرة SMS كرد فعل أساسي.

ومع ذلك ، فإن أفضل أنظمة SIEM تخطو خطوة أبعد ويمكنهم عادةً بدء نوع من العملية العلاجية. مرة أخرى ، هذا شيء يمكن أن يتخذ العديد من الأشكال. تحتوي أفضل الأنظمة على نظام سير عمل استجابة كامل للحوادث يمكن تخصيصه ، مما يوفر بالضبط نوع الاستجابة التي تحتاجها. لا يجب أن تكون الاستجابة للحوادث متجانسة ، ويمكن لأحداث مختلفة - أو أنواع مختلفة من الأحداث - أن تؤدي إلى عمليات مختلفة. يمكن أن تمنحك أفضل أدوات SIEM التحكم الكامل في سير عمل الاستجابة للحوادث.

إعداد التقارير

يعد جمع السجلات وإدارتها وأن يكون لديك نظام استجابة للحدث شيئًا واحدًا ، ولكنك تحتاج أيضًا إلى عنصر مهم آخر: إعداد التقارير. على الرغم من أنك قد لا تعرف ذلك بعد ، إلا أنك ستحتاج إلى تقارير ؛ واضح وبسيط. سيحتاج المسؤولون التنفيذيون في مؤسستك إليهم لكي يروا بأنفسهم أن استثمارهم في نظام SIEM يؤتي ثماره. ولكن هذا ليس كل شيء ، فقد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يعد الامتثال لمعايير مثل PCI DSS أو HIPAA أو SOX أسهل بكثير عندما يتمكن نظام SIEM من إنشاء تقارير المطابقة.

قد لا تكون التقارير في صميم كل نظام SIEM ولكنها لا تزال أحد مكوناتها الأساسية. في الواقع ، يعد إعداد التقارير أحد العوامل المميزة للتمييز بين الأنظمة المتنافسة. التقارير تشبه الحلويات ، لا يمكن أن يكون لديك الكثير. عند تقييم الأنظمة ، انظر إلى التقارير المتوفرة وكيف تبدو وتذكر أن أفضل الأنظمة ستتيح لك إنشاء تقارير مخصصة.

لوحة القيادة

آخر عنصر مهم لمعظم أدوات SIEM هو لوحة القيادة. من المهم كونها نافذة إلى حالة نظام SIEM الخاص بك ، وبالتالي ، في أمان بيئة تكنولوجيا المعلومات لديك. يمكن أن نقول لوحات العدادات - مع حرف S - تمامًا كما قد تكون هناك لوحات تحكم متعددة متاحة في بعض الأنظمة. يختلف الأشخاص المختلفون عن الأولويات والاهتمامات ، وستكون لوحة المعلومات المثالية لمسؤول الشبكة مختلفة عن تلك التي يمتلكها مسؤول الأمان. وبالمثل ، سيحتاج المدير التنفيذي إلى لوحة تحكم مختلفة تمامًا أيضًا.

على الرغم من أنه لا يمكننا تقييم أنظمة SIEM بناءً على عدد لوحات التحكم التي تقدمها ، إلا أنك تحتاج إلى اختيار نظام يحتوي على لوحة (لوحات) البيانات التي تحتاجها. هذا بالتأكيد شيء يجب أن تضعه في اعتبارك أثناء تقييم البائعين. وكما هو الحال مع التقارير ، تسمح لك أفضل الأدوات بإنشاء لوحات تحكم مخصصة حسب رغبتك.

استخدام SIEM كأداة لإدارة أمن ITIL

بغض النظر عن مدى تعقيد مفهوم إدارة الأمن يمكن أن يكون في سياق إطار ITIL. إنه يلخص في الواقع هدفًا أساسيًا واحدًا: ضمان أن البيانات آمنة. وعلى الرغم من أن نموذج إدارة أمن تكنولوجيا المعلومات بأكمله له العديد من الجوانب المختلفة ، عندما يتعلق الأمر أدوات البرامج التي يمكنك استخدامها ، لا يبدو أن هناك برنامج إدارة أمن ITIL صفقة. من ناحية أخرى ، هناك عروض لا تعد ولا تحصى من مختلف ناشري البرامج للأدوات التي تهدف إلى ضمان أمن بياناتك.

لقد رأينا أيضًا كيف تهدف أدوات SIEM إلى الحفاظ على أمان البيانات. ومن وجهة نظرنا ، فإن هذا الهدف المشترك هو الذي يجعلها واحدة من أفضل أنواع الأدوات لإدارة أمن تكنولوجيا المعلومات. ومع ذلك ، ضع في اعتبارك أن ممارسة إدارة أمن ITIL تتجاوز بكثير SIEM ، وعلى الرغم من أنها نقطة انطلاق جيدة ، إلا أنها ليست سوى جزء من الحل ، على الرغم من كونه نقطة مهمة.

أفضل أدوات إدارة الأمن ITIL

نظرًا لأننا أثبتنا أن أفضل أدوات إدارة أمن ITIL كانت بالفعل أدوات SIEM ، فقد بحثنا في السوق بحثًا عن أفضلها. وجدنا مجموعة كبيرة ومتنوعة من الأدوات من بعض أفضل المنظمات المعروفة. تحتوي جميع الأدوات في قائمتنا على جميع الميزات الرئيسية التي تتوقعها من أداة إدارة الأمان. غالبًا ما يكون اختيار الأفضل لاحتياجاتك الخاصة مسألة ذوق شخصي. أو ربما تحتوي إحدى الأدوات على ميزة فريدة تروق لك.

الرياح الشمسية هو اسم شائع في عالم مراقبة الشبكة. منتجها الرئيسي ، ودعا مراقب أداء الشبكة هي واحدة من أفضل أدوات مراقبة SNMP المتاحة. كما تشتهر الشركة بأدواتها المجانية العديدة مثل أدواتها المتقدمة حاسبة الشبكة الفرعية أو لها مجانا SFTP سerver.

عندما يتعلق الأمر بـ SIEM ، الرياح الشمسية"العرض هو الأمن SolarWinds مدير الحدث. يسمى سابقا مدير سجل الأحداث الشمسية و SolarWinds، أفضل وصف للأداة هو أداة SIEM للمبتدئين. ومع ذلك ، فهو واحد من أفضل أنظمة الدخول في السوق. تحتوي الأداة على كل ما يمكن أن تتوقعه تقريبًا من نظام SIEM. يتضمن هذا ميزات إدارة السجلات الممتازة والارتباط بالإضافة إلى محرك تقارير مثير للإعجاب.

• تجربة مجانية: مدير الأحداث الشمسية SolarWinds
• رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

تفتخر الأداة أيضًا بميزات استجابة الحدث الممتازة التي لا تترك أي شيء مرغوب فيه. على سبيل المثال ، سيستجيب نظام الاستجابة التفصيلية في الوقت الفعلي بكل تهديد. ونظرًا لأنه يقوم على السلوك بدلاً من التوقيع ، فأنت محمي ضد التهديدات غير المعروفة أو المستقبلية وهجمات يوم الصفر.

علاوة على مجموعة ميزاته الرائعة ، فإن مدير الأحداث الشمسية SolarWindsمن المحتمل أن تكون لوحة أجهزة القياس أفضل أصولها. مع تصميمه البسيط ، لن تواجه مشكلة في العثور على طريقك حول الأداة والتعرف بسرعة على الحالات الشاذة. بدءًا من حوالي 500 4 دولار ، فإن الأداة أكثر من معقولة. وإذا كنت ترغب في تجربتها ومعرفة كيف تعمل في بيئتك ، أ نسخة تجريبية مجانية تعمل بكامل طاقتها لمدة 30 يومًا متاح للتحميل.

2. Splunk Enterprise Security

Splunk Enterprise Security-أو Splunk ES، كما يطلق عليه غالبًا - ربما يكون أحد أشهر أنظمة SIEM. وهي مشهورة بشكل خاص بقدراتها التحليلية. Splunk ES يراقب بيانات نظامك في الوقت الفعلي ، ويبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي و / أو الضار.

بالإضافة إلى المراقبة الكبيرة ، فإن الاستجابة الأمنية هي أمر آخر Splunk ESبدلات قوية. يستخدم النظام ما يطلق عليه Splunk إطار الاستجابة التكيفية (ARF) الذي يتكامل مع المعدات من أكثر من 55 بائعًا للأمان. ال ARF تنفيذ استجابة آلية ، وتسريع المهام اليدوية. سيتيح لك ذلك الحصول على اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة ولديك حل ناجح. وتشمل الميزات الأخرى المثيرة للاهتمام وجهاء الدالة التي تظهر تنبيهات قابلة للتخصيص من قبل المستخدم و محقق الأصول لإبلاغ الأنشطة الضارة ومنع المزيد من المشاكل.

Splunk ES هو حقًا منتج على مستوى المؤسسة ، وهذا يعني أنه يأتي مع بطاقة سعر بحجم المؤسسة. للأسف معلومات التسعير غير متاحة بسهولة من شللموقع الويب. ستحتاج إلى الاتصال بقسم المبيعات للحصول على عرض أسعار. يتيح لك الاتصال بـ Splunk أيضًا الاستفادة من الإصدار التجريبي المجاني ، إذا كنت ترغب في تجربة المنتج.

3. RSA NetWitness

منذ عام 2016 ، NetWitness ركزت على المنتجات التي تدعم "عميق وعميق في الوقت الحقيقي وعي الشبكة واستجابة الشبكة رشيقة”. بعد الاستحواذ عليها EMC ثم اندمجت مع ديل، ال نيtWالسعادة العلامة التجارية هي الآن جزء من RSA فرع الشركة. هذه أخبار جيدة لأن RSA هو اسم يحظى باحترام كبير في أمان تكنولوجيا المعلومات.

RSA NetWitness مثالية للمؤسسات التي تسعى إلى حل تحليلات شبكة كاملة. تدمج الأداة معلومات حول مؤسستك تستخدمها للمساعدة في تحديد أولويات التنبيهات. بالنسبة الى RSA، النظام "يجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديدات مقارنةً بحلول SIEM الأخرى”. تتميز الأداة أيضًا بالكشف المتقدم عن التهديدات الذي يجمع بين التحليل السلوكي وتقنيات علوم البيانات وذكاء التهديدات. وأخيرًا ، يفتخر نظام الاستجابة المتقدمة بقدرات التنسيق والأتمتة للمساعدة على التخلص من التهديدات قبل أن تؤثر على عملك.

واحدة من السلبيات الرئيسية RSA NetWitness وفقًا لما أفاد به مجتمع المستخدمين ، فليس من الأسهل إعداده واستخدامه. ومع ذلك ، تتوفر وثائق شاملة يمكن أن تساعدك في إعداد المنتج واستخدامه. هذا منتج آخر على مستوى المؤسسة ، وكما هو الحال غالبًا ، ستحتاج إلى الاتصال بالمبيعات للحصول على معلومات التسعير.

4. مدير ArcSight Enterprise Security Manager

مدير ArcSight Enterprise Security Manager يساعد في تحديد التهديدات الأمنية وتحديد أولوياتها ، وتنظيم وتتبع أنشطة الاستجابة للحوادث ، وتبسيط أنشطة المراجعة والامتثال. كان يباع تحت HP العلامة التجارية ولكن ArcSight تم دمجها الآن في التركيز الجزئيوآخر HP شركة فرعية.

وقد كانت موجودة منذ أكثر من خمسة عشر عاما ArcSight مدير أمن المؤسسة هي أداة SIEM أخرى شائعة للغاية. يقوم بتجميع بيانات السجل من مصادر مختلفة وإجراء تحليل شامل للبيانات ، بحثًا عن علامات النشاط الضار. لتسهيل التعرف على التهديدات بسرعة ، تتيح لك الأداة عرض نتائج التحليل في الوقت الفعلي.

أما بالنسبة لميزات المنتج ، فلا يترك شيئًا مطلوبًا. لديها ارتباط قوي للبيانات الموزعة في الوقت الحقيقي ، وأتمتة سير العمل ، وتنسيق الأمان ، ومحتوى الأمان المدفوع بالمجتمع. ال ArcSight مدير أمن المؤسسة يتكامل أيضا مع الآخرين ArcSight منتجات مثل منصة بيانات ArcSight ووسيط الأحداث أو تحقيق ArcSight. هذا منتج آخر على مستوى المؤسسة وعلى هذا النحو ، فإن معلومات التسعير ليست متاحة بسهولة. سيتطلب منك الاتصال بـ ArcSight فريق المبيعات للحصول على عرض أسعار مخصص.

5. مدير McAfee Enterprise Security Manager

McAfee هو بالتأكيد اسم مألوف آخر في صناعة الأمن. ومع ذلك ، فمن المعروف عن خط منتجات الحماية من الفيروسات. على عكس المنتجات الأخرى في هذه القائمة ، مكافي مشروع - مغامرة سالأمن مشواء ليس مجرد برنامج ، إنه جهاز يمكنك الحصول عليه إما كقطعة من الأجهزة أو في شكل افتراضي.

من حيث قدرات التحليلات ، فإن مدير McAfee Enterprise Security Manager تعتبر واحدة من أفضل أدوات SIEM من قبل الكثيرين. يقوم النظام بجمع السجلات عبر مجموعة واسعة من الأجهزة وقدرات التطبيع التي لا مثيل لها. يقوم محرك الارتباط بسهولة بتجميع مصادر البيانات المتباينة ، مما يسهل اكتشاف الأحداث الأمنية فور حدوثها.

ولكن لكي نكون صادقين ، هناك المزيد لهذا الأمر مكافي حل من مجرد لها مدير أمن المؤسسة. للحصول على حل SIEM الكامل ، تحتاج أيضًا إلى مدير سجل المؤسسة و استقبال الحدث. لحسن الحظ ، يمكن تعبئة جميع المنتجات في جهاز واحد. ولأولئك الذين قد يرغبون في تجربة المنتج قبل شرائه ، يتوفر إصدار تجريبي مجاني.

6. آي بي إم QRadar

IBM هي بلا شك واحدة من أشهر الأسماء في صناعة تكنولوجيا المعلومات. ليس من المستغرب إذن أن تكون الشركة قد تمكنت من تأسيس حل SIEM ، آي بي إم QRadar كواحد من أفضل المنتجات في السوق. تمكّن الأداة محللي الأمان من الكشف عن الحالات الشاذة ، وكشف التهديدات المتقدمة وإزالة الإيجابيات الزائفة في الوقت الحقيقي.

آي بي إم QRadar يضم مجموعة من ميزات إدارة السجلات وجمع البيانات والتحليلات وكشف التسلل. يساعدون معًا في الحفاظ على عمل البنية الأساسية لشبكتك وتشغيلها. هناك أيضًا تحليلات لنمذجة المخاطر يمكنها محاكاة الهجمات المحتملة.

بعض آي بي إم QRadarتتضمن الميزات الرئيسية الخاصة بالقدرة على نشر الحل محليًا أو في بيئة سحابية. إنه حل معياري ويمكن للمرء إضافة المزيد من التخزين أو طاقة المعالجة بسرعة وبتكلفة منخفضة مع نمو احتياجاتهم. يستخدم النظام الخبرة الاستخباراتية من آي بي إم إكس فورس ويتكامل بسلاسة مع مئات آي بي إم وغيرآي بي إم منتجات.

آي بي إم يجرى آي بي إم، على الرغم من ذلك ، يمكنك توقع دفع سعر أعلى لحل SIEM الخاص به. ولكن إذا كنت بحاجة إلى واحدة من أفضل أدوات SIEM في السوق وأداة تدعمها منظمة قوية ، آي بي إم QRadar قد تستحق الاستثمار.