6 najboljih alata za upravljanje sigurnošću ITIL-a u 2020. godini

ITIL je relativno raširen i vrlo temeljit okvir za upravljanje IT uslugama. Podrijetlom iz Velike Britanije i osmišljen da služi i vladinoj i privatnoj tvrtki, to je skup visoko strukturiranih procesa, preporuka i praksi. Podijeljen je u nekoliko specifičnih područja pri čemu upravljanje sigurnošću nije ništa više od jednog od njegovih mnogih aspekata. Budući da je sigurnost tako važna tema - pogotovo ako se uzme u obzir moderna scena prijetnji i kako su organizacije neprestano na meti beskrupuloznih hakera - odlučili smo pogledati neke od najboljih ITIL sigurnosnih menadžmenta alat.

Započet ćemo tako što ćemo detaljnije objasniti što ITIL čini prije nego što prijeđemo na određeno područje ITIL-ovog upravljanja sigurnošću. Zatim ćemo predstaviti koncept sigurnosnih informacija i upravljanja događajima, opisati od čega se sastoji i objasniti kako se može odnositi na upravljanje sigurnošću ITIL-a. Na kraju ćemo doći do zanimljivog dijela i predstaviti kratki pregled nekih od najboljih ITIL-ovih alata za upravljanje sigurnošću, opisujući najbolje značajke i funkcionalnost svakog alata.

ITIL u duljini

ITIL, koji je nekada bio biblioteka za infrastrukturu informacijske tehnologije, započeo je još u 80-ima kao pokušaj središnjeg računala i britanske vlade i Agencija za telekomunikacije (CCTA) razvila bi skup preporuka i standardnih praksi upravljanja informatičkim uslugama u vladi i privatnom sektoru kao dobro. Nastala je kao zbirka knjiga, od kojih je svaka obuhvatila određenu praksu unutar upravljanja IT uslugama, a izgrađena je oko procesa temeljenog na modelu prikaza kontrole i upravljanja operacijama.

U početku sastavljen od preko 30 svezaka, kasnije je nešto pojednostavljen i usluge su grupirane, smanjujući broj svezaka na 5. Još je u stalnom razvoju, a knjiga Fondacije najnovije verzije objavljena je prošlog veljače, ITIL grupira različite elemente upravljanja IT uslugama u prakse, pri čemu je ITIL Management Security samo jedan od puno.

O upravljanju sigurnošću ITIL-a

Što se tiče ITIL-ovog procesa upravljanja sigurnošću, on "opisuje strukturirano prilagođavanje sigurnosti informacija u upravljanju organizacija." U velikoj se mjeri temelji na kodeksu prakse za sustav upravljanja informacijskom sigurnošću (ISMS), sada poznat kao ISO / IEC 27001.

Glavni cilj upravljanja sigurnošću je, očito, osiguranje odgovarajuće informacijske sigurnosti. I zauzvrat, glavni cilj informacijske sigurnosti je zaštita informacijske imovine od rizika, pri čemu zadržava svoju vrijednost za organizaciju. Obično se to izražava u smislu osiguranja njegove povjerljivosti, integriteta i dostupnosti, ali također s povezanim svojstvima ili ciljevima kao što su autentičnost, odgovornost, neprihvaćanje i pouzdanost.

Postoje dva glavna aspekta upravljanja sigurnošću. Prvo i najvažnije su sigurnosni zahtjevi koji bi se mogli definirati u razini usluge sporazumi (SLA) ili drugi zahtjevi navedeni u ugovorima, zakonodavstvu kao i unutarnji ili vanjski politika. Drugi je aspekt jednostavno osnovna sigurnost koja jamči kontinuitet upravljanja i usluga. To je donekle povezano s prvim aspektom jer je potrebno postići pojednostavljeno upravljanje razinom usluge radi informacijske sigurnosti.

Iako je upravljanje sigurnošću ITIL-a širok pojam, nešto je više ograničeno u kontekstu softverskih alata. Kada govorimo o alatima za upravljanje sigurnošću, može vam pasti na pamet više vrsta alata. Međutim, čini se da je jedna vrsta zanimljivija od ostalih: alati za sigurnosne informacije i upravljanje događajima (SIEM).

Uvođenje sigurnosnih podataka i upravljanja događajima (SIEM)

U svom najjednostavnijem obliku, Sigurnosne informacije i upravljanje događajima postupak su upravljanja sigurnosnim informacijama i događajima. Konkretno, sustav SIEM ne pruža nikakvu stvarnu zaštitu. Na primjer, ovo se razlikuje od antivirusnog softvera koji aktivno sprečava viruse da zaraze zaštićene sustave. Osnovna svrha SIEM-a je olakšati život mrežnim i sigurnosnim administratorima. Tipični SIEM sustav jednostavno prikuplja informacije iz različitih sustava - uključujući mrežne uređaje i druge sustave za otkrivanje i zaštitu. Potom sve ove podatke povezuje, sastavljajući povezane događaje i na različite načine reagira na smislene događaje. SIEM sustavi također uključuju neki oblik izvješćivanja i, što je još važnije, nadzorne ploče i podsustave uzbunjivanja.

Što je SIEM sustav

SIEM sustavi uvelike se razlikuju od dobavljača do dobavljača. Postoji, međutim, određeni broj komponenti koje su, čini se, prisutne u mnogim od njih. Neće svi uključiti sve te komponente i kada to učine, mogli bi funkcionirati drugačije. Pogledajmo neke od najvažnijih - i najčešćih - komponenti SIEM sustava detaljnije.

Prikupljanje i upravljanje zapisnicima

Prikupljanje i upravljanje zapisnicima bez sumnje je najvažnija komponenta sustava SIEM. Bez njega nema SIEM-a. Prvo što SIEM sustav mora učiniti je nabaviti podatke dnevnika iz različitih izvora. Može se povući - pomoću, na primjer, lokalno instaliranog agenta - ili ga različiti uređaji i sustavi mogu prebaciti na SIEM alat.

Budući da svaki sustav ima vlastiti način kategoriziranja i bilježenja podataka, sljedeći zadatak alata SIEM je normalizirati podatke i učiniti ih ujednačenima, bez obzira iz kojeg izvora dolaze. Način na koji se ovaj korak obavlja ovisi uglavnom o izvornom formatu primljenih podataka.

Nakon što se normalizira, zabilježeni podaci često će se uspoređivati ​​s poznatim obrascima napada u pokušaju prepoznavanja zlonamjernog ponašanja što je prije moguće. Podaci se također mogu usporediti s ranije prikupljenim podacima i na taj način pomoći u izgradnji početne crte koja će dodatno poboljšati otkrivanje nenormalnih aktivnosti.

Odgovor događaja

Jedna je stvar detektirati događaj, ali nakon što se događaj otkrije, mora se pokrenuti neki postupak reagiranja. O tome se radi u modulu odgovora na događaje alata SIEM. Reakcija događaja može imati različite oblike. U svojoj najosnovnijoj implementaciji generirat će se poruka upozorenja na nadzornoj ploči sustava. E-mail ili SMS upozorenja također se mogu generirati kao primarni odgovor.

Međutim, najbolji SIEM sustavi idu korak dalje i oni obično mogu pokrenuti nekakav sanacijski postupak. Opet, to je nešto što može poprimiti mnoge oblike. Najbolji sustavi imaju cjelovit sustav tijeka rada i reakcije koji se može prilagoditi, pružajući točno onu vrstu odgovora koji vam je potreban. Reakcija na incident ne mora biti jednolika i različiti događaji - ili različiti tipovi događaja - mogu pokrenuti različite procese. Vrhunski alati SIEM mogu vam dati potpunu kontrolu nad tijekom rada na reakciji na incident.

Izvještavanje

Jedno je imati prikupljanje i upravljanje zapisnicima i uspostaviti sustav reakcija na događaje, ali također vam je potreban još jedan važan element: izvještavanje. Iako to možda još ne znate, trebat će vam izvještaji; običan i jednostavan. Rukovoditelji vaše organizacije trebat će im da se sami uvjere kako se njihovo ulaganje u SIEM sustav isplati. Ali to nije sve, možda će vam trebati i izvještaji za potrebe sukladnosti. U skladu sa standardima kao što su PCI DSS, HIPAA ili SOX mnogo je lakše kada vaš SIEM sustav može generirati izvješća o sukladnosti.

Izvješća možda nisu u središtu svakog SIEM sustava, ali su i dalje jedna od njihovih bitnih sastavnica. Zapravo, izvješćivanje je jedan od glavnih faktora razlikovanja konkurentskih sustava. Izvještaji su poput bombona, nikad ih ne možete imati previše. Kada ocjenjujete sustave, pogledajte koji su izvještaji dostupni i kako izgledaju i imajte na umu da će vam najbolji sustavi omogućiti izradu prilagođenih izvješća.

kontrolna ploča

Posljednja važna komponenta većine alata SIEM je nadzorna ploča. Važno je jer je vaš prozor u status vašeg SIEM sustava i, produženo, u sigurnost vašeg IT okruženja. Mogli bismo reći nadzorne ploče - sa S - jednako kao što bi moglo biti više nadzornih ploča dostupnih u nekim sustavima. Različiti ljudi imaju različite prioritete i interese, a savršena nadzorna ploča za mrežnog administratora bit će drugačija od one sigurnosnog administratora. Isto tako, izvršnom direktoru će trebati i potpuno drugačija nadzorna ploča.

Iako ne možemo procijeniti SIEM sustave samo prema broju nadzornih ploča koje nude, morate odabrati onaj koji ima potrebne nadzorne ploče. Ovo je definitivno nešto što biste željeli imati na umu dok ocjenjujete dobavljače. I baš kao što je to slučaj s izvješćima, najbolji alati omogućuju vam izradu prilagođenih nadzornih ploča po vašoj želji.

Korištenje SIEM-a kao alata za upravljanje sigurnošću ITIL-a

Bez obzira koliko složen koncept upravljanja sigurnošću može biti u kontekstu ITIL-a. To zapravo sažima jedan primarni cilj: osigurati sigurnost podataka. I premda čitava paradigma upravljanja IT sigurnošću ima nekoliko različitih aspekata, kada je riječ o njima softverski alati koje možete koristiti izgleda da ne postoji softver za upravljanje sigurnošću ITIL-a paket. S druge strane, postoji bezbroj ponuda raznih izdavača softvera s ciljem osiguranja sigurnosti vaših podataka.

Vidjeli smo i kako SIEM alati imaju sličan cilj očuvanja sigurnosti podataka. Prema našem mišljenju, taj zajednički cilj čini ih jednom od najboljih vrsta alata za upravljanje IT sigurnošću. Imajte na umu da praksa upravljanja sigurnošću ITIL-a nadilazi SIEM i iako je dobro polazište, samo je dio rješenja, iako je važan.

Najbolji alati za upravljanje sigurnošću ITIL-a

Budući da smo utvrdili da su najbolji alati za upravljanje sigurnošću ITIL-a zaista SIEM-ovi alati, pretražili smo tržište tražeći najbolje od njih. Pronašli smo veliku paletu alata nekih od najpoznatijih organizacija. Svi alati na našem popisu imaju sve glavne značajke koje biste očekivali od alata za upravljanje sigurnošću. Odabir najboljeg za vašu posebnu potrebu često je pitanje osobnog ukusa. Ili možda jedan od alata ima jedinstvenu značajku koja vam se sviđa.

SolarWinds je opće ime u svijetu praćenja mreže. Njegov vodeći proizvod, nazvan the Monitor performansi mreže jedan je od najboljih dostupnih alata za praćenje SNMP-a. Tvrtka je također poznata po brojnim besplatnim alatima poput svog Napredna Podmreža Kalkulator ili njegovo Besplatno SFTP Server.

Kada je u pitanju SIEM, SolarWindsPonuda je Sigurnost SolarWinds Event Manager. Ranije zvani SolarWinds Log & Event Manager, alat se najbolje opisuje kao ulazni alat SIEM. Riječ je, međutim, o jednom od najboljih ulaznih sustava na tržištu. Alat ima gotovo sve što možete očekivati ​​od SIEM sustava. To uključuje izvrsne značajke upravljanja i korelacije dnevnika, kao i impresivan mehanizam izvještavanja.

• BESPLATNO ISPITIVANJE: Upravitelj sigurnosnih događaja SolarWinds
• Službena veza za preuzimanje: https://www.solarwinds.com/security-event-manager/registration

Alat se također može pohvaliti izvrsnim značajkama reagiranja na događaje koji ne ostavljaju ništa poželjno. Na primjer, detaljni sustav reakcija u stvarnom vremenu aktivno će reagirati na svaku prijetnju. A budući da se temelji na ponašanju, a ne na potpisu, zaštićeni ste od nepoznatih ili budućih prijetnji i napada nula dana.

Uz svoj impresivni set značajki, Upravitelj sigurnosnih događaja SolarWindsNadzorna ploča je možda njeno najbolje sredstvo. Sa svojim jednostavnim dizajnom, nećete imati problema pronalaziti alat i brzo prepoznati nepravilnosti. Počevši od oko 4 500 USD, alat je više nego pristupačan. A ako želite isprobati i vidjeti kako to djeluje u vašem okruženju, a besplatna potpuno funkcionalna probna inačica od 30 dana je dostupan za preuzimanje.

2. Splunk Enterprise Security

Splunk Enterprise Security-ili Splunk ES, kako se često naziva -, možda je jedan od najpopularnijih SIEM sustava. Posebno je poznat po svojim analitičkim mogućnostima. Splunk ES nadgleda podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalnih i / ili zlonamjernih aktivnosti.

Uz sjajan nadzor, sigurnosni odgovor je još jedan od Splunk ESJaka odijela. Sustav koristi ono što Splunk naziva Okvir za prilagodljivi odgovor (ARF) koji se integrira s opremom više od 55 dobavljača sigurnosti. ARF obavljati automatizirani odgovor, ubrzavajući ručne zadatke. Tako ćete brzo steći prednost. Dodajte tom jednostavnom i nespretnom korisničkom sučelju i imate dobitno rješenje. Ostale zanimljive značajke uključuju ugledne ličnosti funkcija koja prikazuje upozorenja prilagođena korisniku i Ispitivač imovine za označavanje zlonamjernih aktivnosti i sprečavanje daljnjih problema.

Splunk ES uistinu je korporativni proizvod, a to znači da dolazi s cjenikom veličine poduzeća. Informacije o cijenama nažalost nisu lako dostupne SplunkWeb mjesto. Morate se obratiti odjelu prodaje da biste dobili ponudu. Kontaktiranje Splunk-a omogućit će vam i da iskoristite besplatno probno razdoblje u slučaju da isprobate proizvod.

3. RSA NetWitness

Od 2016. god. NetWitness usredotočila se na proizvode koji podržavaju "duboka, svjesnost situacije u stvarnom vremenu i brzi mrežni odgovor”. Nakon što ga je stekao EMC koja se tada spojila sa šumovita dolina, the NeTWitness marka je sada dio RSA ogranak korporacije. Ovo je dobra vijest jer je RSA vrlo cijenjeno ime u IT sigurnosti.

RSA NetWitness idealan je za organizacije koje traže cjelovito rješenje mrežne analize. Alat integrira podatke o vašoj organizaciji koje upotrebljava za pomoć u određivanju prioriteta upozorenja. Prema RSA, sustav "prikuplja podatke na više mjesta hvatanja, računalnim platformama i izvorima inteligencije o prijetnji u odnosu na druga SIEM rješenja”. Alat također sadrži napredno otkrivanje prijetnji koje kombinira analizu ponašanja, tehnike nauke podataka i inteligenciju prijetnji. I na kraju, napredni sustav odziva ima mogućnosti orkestracije i automatizacije kako bi se riješili prijetnji prije nego što utječu na vaše poslovanje.

Jedan od glavnih nedostataka RSA NetWitness kako je izvijestila njegova zajednica korisnika je da je nije najlakše postaviti i koristiti. Na raspolaganju je, međutim, opsežna dokumentacija koja vam može pomoći pri postavljanju i korištenju proizvoda. Ovo je još jedan proizvod korporativnog stupnja i, kao što je to često slučaj, za informacije o cijenama trebate se obratiti prodaji.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomaže identificirati i prioritetno razraditi sigurnosne prijetnje, organizirati i pratiti aktivnosti reagiranja na incident i pojednostaviti aktivnosti revizije i poštivanja propisa. Nekada se prodavao pod HP marka ali ArcSight sada je spojena u Mikro fokus, još jedan HP podružnica.

Poslije više od petnaest godina, The ArcSight Enterprise Security Manager je još jedan od izuzetno popularnih alata SIEM. Prikuplja podatke dnevnika iz različitih izvora i provodi opsežnu analizu podataka, tražeći znakove zlonamjerne aktivnosti. Da biste olakšali brzo prepoznavanje prijetnji, alat vam omogućuje pregled rezultata u stvarnom vremenu.

Što se tiče karakteristika proizvoda, on ne ostavlja ništa za poželjeti. Ima moćnu raspodjelu podataka u stvarnom vremenu, automatizaciju tijekova rada, sigurnosnu orkestraciju i sigurnosni sadržaj vođen zajednicom. ArcSight Enterprise Security Manager integrira i s ostalim ArcSight proizvodi kao što su ArcSight platforma podataka i događaj posrednik ili ArcSight Istražite. Ovo je još jedan proizvod korporativnog stupnja te kao takav podaci o cijenama nisu lako dostupni. Trebat će vam da kontaktirate ArcSight prodajni tim da biste dobili prilagođenu ponudu.

5. Menadžer za sigurnost tvrtke McAfee

McAfee je definitivno još jedno ime kućanstva u sigurnosnoj industriji. Međutim, poznatiji je po liniji proizvoda za zaštitu od virusa. Za razliku od drugih proizvoda s ovog popisa, McAfee Poduzeće Security Manager nije samo softver, to je uređaj koji možete nabaviti kao hardver ili u virtualnom obliku.

U pogledu svojih analitičkih mogućnosti, Menadžer za sigurnost tvrtke McAfee mnogi smatraju jednim od najboljih alata SIEM-a. Sustav prikuplja zapise na širokom rasponu uređaja, a njegove mogućnosti normalizacije nisu druge. Korelacijski mehanizam lako sastavlja različite izvore podataka, što olakšava otkrivanje sigurnosnih događaja koji se događaju.

Ali da budemo istiniti, toga ima više McAfee rješenje nego samo njegovo Enterprise Security Manager. Da biste dobili cjelovito SIEM rješenje također vam treba Enterprise Log Manager i Prijemnik događaja. Srećom, svi proizvodi se mogu pakirati u jedan aparat. Za one od vas koji će možda htjeti isprobati proizvod prije nego što ga kupite, dostupna je besplatna proba.

6. IBM QRadar

IBM je bez sumnje jedno od najpoznatijih imena u IT industriji. Stoga ne čudi da je tvrtka uspjela uspostaviti svoje rješenje SIEM, IBM QRadar kao jedan od najboljih proizvoda na tržištu. Alat omogućuje analitičarima sigurnosti da otkriju anomalije, otkriju napredne prijetnje i uklone lažne pozitivne podatke u stvarnom vremenu.

IBM QRadar ima paket mogućnosti upravljanja dnevnikom, prikupljanja podataka, analitike i značajki otkrivanja provale. Zajedno pomažu u održavanju i radu mrežne infrastrukture. Postoji i analitika za modeliranje rizika koja može simulirati potencijalne napade.

Neke od IBM QRadarKljučne značajke uključuju mogućnost implementiranja rješenja u lokalnim uvjetima ili u oblaku. To je modularno rješenje i može se brzo i jeftino dodati više snage za pohranu ili obradu kako rastu njihove potrebe. Sustav koristi obavještajnu stručnost IBM X-Force i integrira se sa stotinama IBM i ne-IBM proizvodi.

IBM biće IBMno, možete očekivati ​​da ćete platiti premijsku cijenu za njegovo rješenje SIEM. Ali ako vam treba jedan od najboljih alata SIEM na tržištu i alat koji ima čvrsta organizacija, IBM QRadar možda će biti vrijedno ulaganja.