6 legjobb ITIL biztonsági menedzsment eszköz 2020-ban

Az ITIL egy viszonylag elterjedt és nagyon alapos keret az IT-szolgáltatások menedzsmentjéhez. Az Egyesült Királyságból származó és mind az állami, mind a magánvállalkozások kiszolgálására tervezték, és egy sor rendkívül szerkezetű folyamatot, ajánlást és gyakorlatot tartalmaz. Ez több konkrét területre tagolódik, és a biztonsági menedzsment nem más, mint annak sok szempontja. Mivel azonban a biztonság ilyen fontos téma - különösen, ha figyelembe vesszük a modern veszélyhelyzetet és a szervezetek helyzetét folyamatosan a gátlástalan hackerek célozzák meg - úgy döntöttünk, hogy átnézzük a legjobb ITIL biztonsági menedzsment néhányat eszköz.

Először azzal kezdjük, hogy részletesebben megmagyarázjuk, mi az ITIL, mielőtt továbbmegyünk az ITIL biztonsági menedzsment adott területére. Ezután bemutatjuk a biztonsági információk és az eseménykezelés fogalmát, leírjuk, hogy miből áll, és elmagyarázjuk, hogyan kapcsolódhat az ITIL biztonsági menedzsmentjéhez. Végül eljutunk az érdekes részhez, és rövid áttekintést nyújtunk a legjobb ITIL biztonsági menedzsment eszközről, amely leírja az egyes eszközök legjobb tulajdonságait és funkcionalitását.

ITIL dióhéjban

Az ITIL, amely korábban az információs technológiai infrastruktúra könyvtárnak állt, a 80-as években kezdődött, amikor az Egyesült Királyság kormányának központi számítógépe és Távközlési Ügynökség (CCTA) ajánlások és standard gyakorlatok kidolgozására az informatikai szolgáltatások menedzsmentjére a kormányban és a magánszektorban jól. Ez olyan könyvgyűjteményként származott, amely mindegyik az IT-szolgáltatások menedzsmentjének egy konkrét gyakorlatára vonatkozik, és egy folyamatadat-alapú nézetet épített fel a műveletek irányítására és irányítására.

A kezdetben több mint 30 kötetből állt, ezt később kissé egyszerűsítették, és a szolgáltatásokat csoportosították, így a kötetek számát 5-re csökkentve. Még mindig folyamatosan fejlődik, és a legújabb verzió Alapítvány könyve tavaly februárban jelent meg, az ITIL az IT-szolgáltatások menedzsment különféle elemeit gyakorlatokba csoportosítja, az ITIL biztonsági menedzsment csak egyike sok.

Az ITIL biztonsági menedzsmentjéről

A biztonsági menedzsment ITIL folyamata kapcsán „leírja az információbiztonság strukturált illesztését a menedzsmentbe szervezet." Ez nagyrészt az információbiztonsági menedzsment rendszer (ISMS) gyakorlati kódexén alapul, amelyet ma ISO / IEC néven ismertek 27001.

A biztonságkezelés fő célja nyilvánvalóan a megfelelő információbiztonság biztosítása. És viszont az információbiztonság elsődleges célja az információs eszközök védelme a kockázatokkal szemben, ezáltal megőrizve értéküket a szervezet számára. Általában ezt a titoktartás, integritás és elérhetőség biztosításával fejezik ki, de kapcsolódó tulajdonságokkal vagy célokkal, például hitelesség, elszámoltathatóság, megtagadhatatlanság és megbízhatóság.

A biztonságkezelésnek két elsődleges szempontja van. Első és legfontosabb a biztonsági követelmények, amelyeket akár szolgáltatási szinten is meg lehet határozni megállapodások (SLA) vagy a szerződésekben, jogszabályokban, valamint belső vagy külső követelményekben meghatározott egyéb követelmények politikát. A második szempont az egyszerű biztonság, amely garantálja a menedzsment és a szolgáltatás folytonosságát. Ez kissé kapcsolódik az első aspektushoz, mivel az információbiztonság érdekében egyszerűsített szolgáltatási szintű kezelést kell elérni.

Míg az ITIL biztonsági menedzsment széles körű fogalom, a szoftveres eszközökkel összefüggésben valamivel korlátozottabb. A biztonságkezelési eszközökről beszélve többféle eszköz jut eszembe. Az egyik típus azonban érdekesebbnek tűnik, mint a többi: biztonsági információs és eseménykezelő (SIEM) eszközök.

Bemutatjuk a biztonsági információkat és az eseménykezelést (SIEM)

A legegyszerűbb formában a biztonsági információk és eseménykezelés a biztonsági információk és események kezelésének folyamata. Konkrétan: a SIEM rendszer nem nyújt valódi védelmet. Ez különbözik például a víruskereső szoftverektől, amelyek aktívan megakadályozzák a vírusokat a védett rendszerek fertőzésében. A SIEM elsődleges célja a hálózati és biztonsági adminisztrátorok életének megkönnyítése. Egy tipikus SIEM rendszer egyszerűen csak információkat gyűjt különféle rendszerekről - ideértve a hálózati eszközöket és más érzékelő és védelmi rendszereket is. Ezután összekapcsolja ezt az információt, összekapcsolva a kapcsolódó eseményeket, és különféle módon reagál az értelmes eseményekre. A SIEM rendszerek tartalmaznak bizonyos jelentéstételi formákat, és ami még fontosabb, az irányítópultokat és a riasztási alrendszereket.

Mi van a SIEM rendszerben?

A SIEM rendszerek gyártónként nagymértékben különböznek. Van azonban bizonyos számú olyan elem, amely sokban jelen van. Nem mindegyik tartalmazza az összes ilyen összetevőt, és ha igen, akkor másképp működhetnek. Nézzük át részletesebben a SIEM rendszerek néhány legfontosabb - és leggyakoribb - összetevőjét.

Napló gyűjtése és kezelése

A naplógyűjtés és -kezelés kétségkívül a SIEM rendszer legfontosabb alkotóeleme. Enélkül nincs SIEM. Az első dolog, amelyet egy SIEM rendszernek meg kell tennie, a naplóadatok beszerzése számos különböző forrásból. Vagy meghúzhatja - például egy helyileg telepített ügynök segítségével -, vagy különféle eszközök és rendszerek kényszeríthetik a SIEM eszközre.

Mivel minden rendszernek saját módja van az adatok kategorizálásának és rögzítésének, a SIEM eszköz következő feladata az adatok normalizálása és egységesítése, függetlenül attól, hogy honnan származik. Ennek a lépésnek a végrehajtása elsősorban a kapott adatok eredeti formátumától függ.

Miután normalizálódott, a naplózott adatokat gyakran összehasonlítják az ismert támadási mintákkal annak érdekében, hogy a lehető legkorábban felismerjék a rosszindulatú magatartást. Az adatokat összehasonlíthatjuk a korábban gyűjtött adatokkal is, ezáltal segítve az alapvonal felépítését, amely tovább javítja a rendellenes aktivitás észlelését.

Esemény válasz

Egy dolog az esemény észlelése, de ha egy eseményt észlelnek, meg kell kezdeni a válaszadási folyamatot. Erről szól a SIEM eszköz eseménykezelő modulja. Az eseményre adott válasz sokféle lehet. A legalapvetőbb megvalósításban egy riasztási üzenet jön létre a rendszer irányítópultján. E-mail vagy SMS értesítések szintén generálhatók elsődleges válaszként.

A legjobb SIEM rendszerek azonban egy lépéssel tovább mennek, és általában valamilyen javítási folyamatot kezdeményezhetnek. Ez ismét valami formája lehet. A legjobb rendszereknek teljes, az eseményekre reagáló munkafolyamat-rendszer áll, amely testreszabható, és pontosan biztosítja a szükséges válaszfajtát. Az eseményre adott válasznak nem kell egységesnek lennie, és a különféle események - vagy különféle eseménytípusok - különböző folyamatokat válthatnak ki. A legfontosabb SIEM eszközök teljes ellenőrzést adhatnak az eseményekre való reagálás munkafolyamata felett.

Jelentés

Egy dolog a naplógyűjtés és -kezelés, valamint az eseménykezelő rendszer működése, de szükség van egy másik fontos elemre is: a jelentésekre. Annak ellenére, hogy nem ismeri még, jelentésekre lesz szüksége; sima és egyszerű. Szervezetének vezetõinek szüksége lesz rájuk, hogy meggyõzõdjenek arról, hogy a SIEM-rendszerbe történõ befektetésük megtérül. De ez még nem minden, valószínűleg jelentésekre is szüksége van a megfelelőség céljából. A PCI DSS, HIPAA vagy SOX szabványoknak való megfelelés sokkal könnyebb, ha az SIEM rendszere megfelelőségi jelentéseket készít.

Lehet, hogy a jelentések nem minden SIEM rendszer középpontjában állnak, ám ezek továbbra is egyik alapvető alkotóeleme. Valójában a jelentéstétel az egyik fő megkülönböztető tényező a versengő rendszerek között. A jelentések olyan, mint cukorkák, soha nem lehet túl sok. A rendszerek értékelésekor nézd meg, hogy milyen jelentések állnak rendelkezésre és hogyan néznek ki, és ne feledje, hogy a legjobb rendszerek lehetővé teszik egyedi jelentések készítését.

Irányítópult

A legtöbb SIEM eszköz utolsó fontos alkotóeleme a műszerfal. Fontos, mivel ez az ablaka a SIEM rendszer állapotának, és kiterjesztéseként az informatikai környezet biztonságára. Mondhatnánk volna a műszerfalakat - egy S-vel - ugyanúgy, mint lehet, hogy több rendszerben több műszerfal elérhető. A különböző emberek különböző prioritásokkal és érdeklődési körökkel bírnak, és a hálózati rendszergazda tökéletes irányítópultja különbözik a biztonsági rendszergazdától. Hasonlóképpen, az ügyvezetõ vezetõnek teljesen más irányítópultra is szükség lesz.

Bár nem tudjuk értékelni a SIEM rendszereket csak az általuk kínált műszerfalak számán, ki kell választania azt, amelyik rendelkezik a szükséges műszerfallal. Ez minden bizonnyal érdemes szem előtt tartani, amikor a szállítókat értékeli. Csakúgy, mint a jelentéseknél, a legjobb eszközök lehetővé teszik testreszabott műszerfalak készítését a tetszés szerint.

A SIEM használata ITIL biztonsági menedzsment eszközként

Nem számít, mennyire bonyolult lehet a biztonsági menedzsment koncepciója az ITIL keretén belül. Valójában egyetlen elsődleges célként foglalkozik: az adatok biztonságának biztosítása. És bár a teljes informatikai biztonsági menedzsment paradigma több szempontból is különféle aspektusokkal rendelkezik mivel használhatja azokat a szoftver eszközöket, úgy tűnik, hogy nem létezik ITIL biztonsági menedzsment szoftver csomag. Másrészt számtalan ajánlatot kínálnak a szoftverek különféle kiadói, amelyek célja az adatok biztonságának garantálása.

Láttuk azt is, hogy a SIEM eszközök hogyan célozzák hasonló célt az adatbiztonság megőrzése. Véleményünk szerint ez a közös cél teszi az informatikai biztonsági menedzsment egyik legjobb eszközét. Ne feledje azonban, hogy az ITIL biztonsági menedzsment gyakorlata messze túlmutat a SIEM-en, és bár jó kiindulási pontot jelentenek, ezek csak a megoldás részét képezik, bár fontosak.

A legjobb ITIL biztonsági menedzsment eszközök

Mivel megállapítottuk, hogy a legjobb ITIL biztonsági menedzsment eszközök valóban a SIEM eszközök voltak, ezért a piacon kerestük a legjobbat. Nagyon sokféle eszközt találtunk a legismertebb szervezetek közül. A listánkban szereplő összes eszköznek megvannak a főbb jellemzői, amelyeket elvárhat egy biztonsági kezelő eszköztől. Az Ön igényeinek legmegfelelőbb kiválasztása gyakran a személyes ízlés kérdése. Vagy az egyik eszköznek van egy egyedi tulajdonsága, amely vonzza Önt.

SolarWinds egy általános név a hálózatfigyelő világban. A zászlóshajója, a Hálózati teljesítményfigyelő az egyik legjobb elérhető SNMP-figyelő eszköz. A cég ismert számos olyan ingyenes eszközéről is, mint például az Fejlett Alhálózati számológép vagy annak Ingyenes SFTP SSzerverhitelesítés.

Amikor a SIEMről van szó, SolarWindsFelajánlás a SolarWinds biztonság Eseményszervező. Korábban a SolarWinds Napló- és eseménykezelő, az eszközt legjobban egy belépő szintű SIEM eszközként lehet leírni. Ez azonban a piacon az egyik legjobb belépő szintű rendszer. Az eszköz szinte mindent tartalmaz, amire számíthat egy SIEM rendszertől. Ez magában foglalja a kiváló naplókezelési és korrelációs funkciókat, valamint egy lenyűgöző jelentési motort.

• INGYENES PRÓBAVERZIÓ: SolarWinds biztonsági eseménykezelő
• Hivatalos letöltési link: https://www.solarwinds.com/security-event-manager/registration

Az eszköz kiváló eseménykezelő funkciókkal is rendelkezik, amelyek semmit sem kívánnak. Például a részletes valós idejű reagálási rendszer aktívan reagál minden veszélyre. És mivel inkább viselkedésen, mint aláíráson alapszik, védelmet élvez az ismeretlen vagy jövőbeli fenyegetések és a nulla napos támadások ellen.

A lenyűgöző szolgáltatáskészlet tetején a SolarWinds biztonsági eseménykezelőAz irányítópult talán a legjobb eszköz. Az egyszerű kialakításnak köszönhetően nincs probléma az eszköz körüli út megkeresésével és a rendellenességek gyors azonosításával. Körülbelül 4 500 dollártól kezdve az eszköz több mint megfizethető. És ha kipróbálni szeretné, hogy megnézze, hogyan működik a környezete, a ingyenes, teljes mértékben működőképes 30 napos próbaverzió letölthető.

2. Splunk vállalati biztonság

Splunk vállalati biztonság-vagy Splunk ES, amint gyakran nevezik - valószínűleg az egyik legnépszerűbb SIEM-rendszer. Különösen híres elemző képességeiről. Splunk ES figyeli a rendszer adatait valós időben, keresve a sebezhetőségeket és a rendellenes és / vagy rosszindulatú tevékenységek jeleit.

A nagy figyelemmel kísérés mellett a biztonsági válaszok egyike is Splunk ESErős ruhák. A rendszer azt használja, amit Splunk hív Adaptív reakciókeret (ARF), amely több mint 55 biztonsági gyártó berendezéseivel integrálódik. Az ARF végezzen automatizált választ, felgyorsítva a kézi feladatokat. Ez lehetővé teszi, hogy gyorsan megszerezze a kezét. Ehhez adjon hozzá egy egyszerű és tiszta felhasználói felületet, és van nyerő megoldása. További érdekes funkciók közé tartozik a előkelőség funkció, amely megjeleníti a felhasználó által testreszabható figyelmeztetéseket és a Eszköz nyomozó a rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.

Splunk ES valóban vállalati szintű termék, és ez azt jelenti, hogy egy vállalkozás méretű árat tartalmaz. Az árazási információk sajnos nem érhetők el könnyen a SplunkWebhelyén. Ajánlatot kérnie kell az értékesítési osztálytól. A Splunk elérhetősége lehetővé teszi az ingyenes próbaverzió előnyeinek kihasználását is, ha kipróbálni szeretné a terméket.

3. RSA NetWitness

2016 óta NetWitness olyan termékekre összpontosított, amelyek „mély, valós idejű hálózati helyzeti tudatosság és agilis hálózati válasz”. Miután megszerezte EMC amelyek azután összeolvadtak kis erdős völgy, az netWitness márka része a RSA a vállalat fióktelepe. Ez jó hír, mivel az RSA nagyon tisztelt név az IT biztonság területén.

RSA NetWitness ideális azoknak a szervezeteknek, amelyek teljes hálózati elemzési megoldást keresnek. Az eszköz integrálja a szervezetével kapcsolatos információkat, amelyeket felhasznál a riasztások rangsorolására. Alapján RSA, a rendszer "több adatgyűjtési ponton, számítógépes platformon és fenyegetés intelligencia forrásán gyűjt adatokat, mint a többi SIEM megoldás”. Az eszköz fejlett fenyegetésérzékeléssel is rendelkezik, amely kombinálja a viselkedés elemzését, az adattudományi technikákat és a fenyegetés intelligenciáját. És végül: a fejlett válaszrendszer hangszerkesztési és automatizálási képességekkel büszkélkedhet, amelyek segítenek megszabadulni a fenyegetésektől, még mielőtt azok befolyásolnák az Ön vállalkozását.

Az egyik fő hátránya RSA NetWitness amint azt a felhasználói közösség jelentette, az nem a legegyszerűbb beállítani és használni. Van azonban átfogó dokumentáció, amely segíthet a termék beállításában és használatában. Ez egy másik vállalati szintű termék, és amint ez gyakran előfordul, árazási információk beszerzéséhez kapcsolatba kell lépnie az értékesítéssel.

4. ArcSight Enterprise biztonsági menedzser

ArcSight Enterprise biztonsági menedzser elősegíti a biztonsági fenyegetések azonosítását és fontossági sorrendbe állítását, az eseményekre való reagálás tevékenységeinek megszervezését és nyomon követését, valamint az ellenőrzési és megfelelőségi tevékenységek egyszerűsítését. Ezt korábban a HP márka, de ArcSight beolvadt a Micro Focus, egy másik HP leányvállalat.

Már több mint tizenöt éve ArcSight Vállalati biztonsági menedzser egy rendkívül népszerű SIEM eszköz. Összegyűjti a különféle forrásokból származó naplóadatokat, és kiterjedt adatelemzést végez, a rosszindulatú tevékenységek jeleit keresve. A veszélyek gyors azonosításának megkönnyítése érdekében az eszköz valós időben tekintheti meg az elemzési eredményeket.

Ami a termék tulajdonságait illeti, nem hagy semmi kívánnivalót. Hatékony, elosztott valós idejű adatkorrelációval, munkafolyamat-automatizálással, biztonsági rendezéssel és közösségvezérelt biztonsági tartalommal rendelkezik. Az ArcSight Vállalati biztonsági menedzser integrálódik másokkal ArcSight olyan termékek, mint a ArcSight adatplatform és eseményközvetítő vagy ArcSight Vizsgálja meg. Ez egy másik vállalati szintű termék, és mint ilyen, az árazási információk nem állnak rendelkezésre könnyen. Ehhez kapcsolatba kell lépnie a ArcSight értékesítési csapat, hogy személyre szabott árajánlatot kapjon.

5. McAfee Enterprise biztonsági menedzser

A McAfee határozottan egy másik háztartási név a biztonsági iparban. Közismert azonban a vírusvédelmi termékcsaládjával. A listán szereplő többi termékkel ellentétben a McAfee Vállalkozás SB IZTONSÁGON Manager nem csak szoftver, hanem olyan készülék, amelyet hardverdarabként vagy virtuális formában is megszerezhet.

Analitikai képességeit tekintve a McAfee Enterprise biztonsági menedzser sokak szerint a legjobb SIEM eszközöknek. A rendszer sokféle eszközön gyűjti a naplókat, és normalizálási képességei felülmúlhatatlanok. A korrelációs motor könnyen összegyűjti az eltérő adatforrásokat, megkönnyítve a biztonsági események észlelését, amikor azok bekövetkeznek.

De az igazat megvallva, ehhez még több van McAfee megoldás, nem csak annak Vállalati biztonsági menedzser. A teljes SIEM megoldáshoz a következőkre is szükség van Enterprise Log Manager és Esemény vevő. Szerencsére az összes termék egyetlen készülékbe csomagolható. És azoknak, akik esetleg szeretnék kipróbálni a terméket, mielőtt megvásárolnák, ingyenes próbaverzió áll rendelkezésre.

6. IBM QRadar

Az IBM kétségkívül az IT-ipar egyik legismertebb neve. Nem meglepő, hogy a vállalatnak sikerült létrehoznia SIEM megoldását, IBM QRadar mint a piac egyik legjobb terméke. Az eszköz felhatalmazza a biztonsági elemzőket a rendellenességek észlelésére, a fejlett fenyegetések feltárására és a hamis pozitív eredmények valós időben történő eltávolítására.

IBM QRadar naplókezelési, adatgyűjtési, elemzési és behatolás-észlelési szolgáltatásokkal rendelkezik. Együtt segítik a hálózati infrastruktúra működőképességét. Van olyan kockázatmodellezési elemzés is, amely szimulálja a lehetséges támadásokat.

Néhány IBM QRadarA legfontosabb jellemzők között szerepel a megoldás telepítése helyben vagy felhő környezetben. Ez egy moduláris megoldás, amely gyorsan és olcsón további tároló- vagy feldolgozóerőt biztosíthat, ha igényeik növekednek. A rendszer hírszerzési szakértelmet használ IBM X-Force és zökkenőmentesen integrálódik a több száz felhasználóval IBM és nemIBM Termékek.

IBM lény IBMugyanakkor számíthat arra, hogy prémium árat fizet a SIEM megoldásért. De ha szüksége van a piacon lévő egyik legjobb SIEM-eszközre és egy szilárd szervezet által támogatott eszközre, IBM QRadar nagyon érdemes lehet a beruházás.