6 כלי ניהול האבטחה הטובים ביותר של ITIL בשנת 2020

ITIL הוא מסגרת רחבה יחסית ויסודית מאוד לניהול שירותי IT. במקור מבריטניה, ונועד לשרת את העסקים הממשלתיים והפרטיים כאחד, מדובר במערך של תהליכים, המלצות ושיטות מבנים מאוד. זה מופרד למספר תחומים ספציפיים כאשר ניהול האבטחה הוא לא יותר מאחד ההיבטים הרבים בו. אולם מכיוון שהביטחון הוא נושא כה חשוב - במיוחד כאשר בוחנים את זירת האיום המודרנית ואיך ארגונים הם ממוקדים ללא הרף על ידי האקרים חסרי מצפון - החלטנו להציץ בכמה מניהול האבטחה הטוב ביותר של ITIL. כלי.

נתחיל בהסבר בפירוט רב יותר של ITIL לפני שנמשיך לתחום הספציפי של ניהול אבטחת ITIL. בשלב הבא נציג את הרעיון של מידע אבטחה וניהול אירועים, נתאר ממה הוא מורכב ונסביר כיצד הוא יכול להתייחס לניהול אבטחת ITIL. סוף סוף נגיע לחלק המעניין ונציג סקירה מהירה של כמה מכלי ניהול האבטחה הטוב ביותר עבור ITIL, תוך תיאור התכונות והפונקציונליות הטובות ביותר של כל כלי.

ITIL על קצה המזלג

ITIL, שבעבר עמדה כספריית תשתיות טכנולוגיות מידע, החלה את דרכה בשנות ה -80 כמאמץ מהמחשבים המרכזיים של ממשלת בריטניה סוכנות התקשורת (CCTA) לפיתוח מערך של המלצות ושיטות עבודה סטנדרטיות לניהול שירותי IT בממשל ובמגזר הפרטי נו. מקורו באוסף ספרים, שכל אחד מהם כיסה פרקטיקה ספציפית בתחום ניהול שירותי IT ונבנה סביב מבט מבוסס-מודל תהליכי של בקרה וניהול פעולות.

בהתחלה היה מורכב מיותר מ -30 כרכים, זה היה מאוחר יותר מעט ופשט את השירותים, והקטין את מספר הנפחים ל -5. זה עדיין נמצא בהתפתחות מתמדת וספר הקרן של הגרסא האחרונה ראה אור בפברואר האחרון ITIL מקבץ אלמנטים שונים של ניהול שירותי IT לשיטות עבודה, כאשר ניהול אבטחת ITIL הוא רק אחד מהם רב.

אודות ניהול אבטחת ITIL

באשר לתהליך ה- ITIL של ניהול אבטחה, הוא "מתאר את ההתאמה המובנית של אבטחת המידע בהנהלה ארגון. " זה מבוסס ברובו על קוד התרגול עבור מערכת ניהול אבטחת מידע (ISMS) המכונה כיום ISO / IEC 27001.

המטרה העיקרית של ניהול האבטחה היא, כמובן, להבטיח אבטחת מידע נאותה. בתורו, המטרה העיקרית של אבטחת מידע היא להגן על נכסי מידע מפני סיכונים, ובכך לשמור על ערכו לארגון. בדרך כלל הדבר בא לידי ביטוי במונחים של הבטחת סודיות, שלמות וזמינותו, אך גם עם מאפיינים או יעדים קשורים כמו אמיתיות, אחריות, אי-דחייה ו מהימנות.

ישנם שני היבטים עיקריים של ניהול אבטחה. בראש ובראשונה דרישות האבטחה שניתן להגדירן ברמת השירות הסכמים (SLA) או דרישות אחרות המפורטות בחוזים, בחקיקה, כמו גם פנים או חיצוניות מדיניות. ההיבט השני בו הוא פשוט אבטחה בסיסית המבטיחה את המשך הניהול ואת המשך השירות. זה קשור במידת מה לפן הראשון שכן יש צורך להשיג ניהול פשוט יותר ברמת השירות לאבטחת מידע.

בעוד שניהול אבטחת ITIL הוא מושג רחב, הוא מוגדר מעט יותר בהקשר של כלי תוכנה. כשמדברים על כלים לניהול אבטחה, כמה סוגים של כלים יכולים לזכור. עם זאת, סוג אחד מעניין יותר מהאחרים: כלים לאבטחת מידע וניהול אירועים (SIEM).

הצגת מידע אבטחה וניהול אירועים (SIEM)

במתכונת הפשוטה ביותר, מידע בנושא אבטחה וניהול אירועים הוא תהליך ניהול מידע ואירועי אבטחה. באופן קונקרטי, מערכת SIEM אינה מספקת שום הגנה אמיתית. זה שונה, למשל, מתוכנת אנטי-וירוס שמונעת באופן פעיל וירוסים להדביק מערכות מוגנות. המטרה העיקרית של SIEM היא להקל על חייהם של מנהלי רשת ואבטחה. מערכת SIEM טיפוסית פשוט אוספת מידע ממערכות שונות - כולל התקני רשת ומערכות גילוי והגנה אחרות. לאחר מכן הוא מתאם בין כל המידע הזה, הרכבת אירועים קשורים ומגיב לאירועים משמעותיים בדרכים שונות. מערכות SIEM כוללות גם צורה כלשהי של דיווח, וחשוב מכך, מרכזי שליטה ותת מערכות התראה.

מה יש במערכת SIEM

מערכות SIEM שונות מאוד בין ספק לספק. עם זאת, ישנם מספר מסוים של רכיבים שנראה כי הם קיימים ברבים מהם. הם לא יכללו כולם את כל המרכיבים הללו וכאשר הם כן עשויים לתפקד אחרת. בואו נסקור את המרכיבים החשובים והנפוצים ביותר במערכות SIEM ביתר פירוט.

אוסף יומנים וניהול

איסוף וניהול יומנים הוא ללא ספק המרכיב החשוב ביותר במערכת SIEM. בלעדיו אין SIEM. הדבר הראשון שמערכת SIEM צריכה לעשות הוא לרכוש נתוני יומן ממגוון מקורות שונים. זה יכול למשוך אותו - באמצעות, למשל, סוכן המותקן באופן מקומי - או מכשירים ומערכות שונים יכולים לדחוף אותו לכלי SIEM.

מכיוון שלכל מערכת יש דרך משלה לקטלג ולהקליט נתונים, המשימה הבאה של הכלי SIEM היא לנרמל נתונים ולהפוך אותם לאחדים, לא משנה מאיזה מקורם הם מגיעים. אופן ביצוע הצעד הזה משתנה בעיקר לפי הפורמט המקורי של הנתונים שהתקבלו.

לאחר שהוא מנורמל, הנתונים המשומשים לרוב ישוו נגד דפוסי התקפה ידועים בניסיון לזהות התנהגות זדונית מוקדם ככל האפשר. ניתן להשוות נתונים גם לנתונים שנאספו בעבר, ובכך לסייע בבניית קו בסיס אשר ישפר עוד יותר את איתור הפעילות הלא תקינה.

תגובה לאירוע

זה דבר אחד לגלות אירוע, אולם ברגע שמתגלה אירוע, יש להתחיל בתהליך תגובה כלשהו. זה מה שעוסק במודול תגובת האירועים של כלי SIEM. תגובת האירוע יכולה ללבוש צורות רבות. ביישום הבסיסי ביותר, תיווצר הודעת התראה על לוח המחוונים של המערכת. ניתן ליצור התראות בדוא"ל או ב- SMS כתגובה העיקרית.

עם זאת, מערכות SIEM הטובות ביותר עוברות צעד אחד קדימה והן בדרך כלל יכולות להתחיל סוג כלשהו של תהליך מתקנה. שוב, זה משהו שיכול ללבוש צורות רבות. המערכות הטובות ביותר כוללות מערכת זרימת עבודה מלאה לתגובת אירועים הניתנת להתאמה אישית, ומספקת בדיוק את סוג התגובה הדרושה לך. תגובת האירוע אינה חייבת להיות אחידה ואירועים שונים - או סוגים שונים של אירועים - יכולים לעורר תהליכים שונים. כלי ה- SIEM המובילים יכולים לתת לך שליטה מלאה על זרימת העבודה בתגובה לאירועים.

דיווח

דבר אחד צריך להיות איסוף וניהול יומנים ולהיות במקום מערכת תגובה לאירועים, אבל אתה צריך גם גורם חשוב נוסף: דיווח. למרות שאולי עדיין לא תדע זאת, תזדקק לדוחות; פשוט וקל. מנהלי הארגון שלך יצטרכו אותם לראות בעצמם שההשקעה שלהם במערכת SIEM משתלמת. אך זה לא הכל, ייתכן שתצטרך גם דוחות למטרות התאמה. עמידה בתקנים כמו PCI DSS, HIPAA או SOX היא הרבה יותר קלה כאשר מערכת SIEM שלך יכולה ליצור דוחות התאמה.

דוחות עשויים לא להיות הליבה של כל מערכת SIEM אך הם עדיין אחד המרכיבים החיוניים שלהם. למעשה הדיווח הוא אחד הגורמים המבדילים העיקריים בין מערכות מתחרות. דוחות הם כמו סוכריות, לעולם אינך יכול לקבל יותר מדי. בעת הערכת מערכות, בדוק מהם הדוחות הזמינים ואיך הם נראים ו זכור כי המערכות הטובות ביותר יאפשרו לך ליצור דוחות מותאמים אישית.

לוח מחוונים

המרכיב החשוב האחרון ביותר ברוב כלי ה- SIEM הוא לוח המחוונים. זה חשוב שכן החלון שלך למצב של מערכת SIEM שלך, ובהרחבה, לאבטחת סביבת ה- IT שלך. היינו יכולים לומר לוחות מחוונים - עם S - באותה מידה שיכולים להיות מספר לוחות מחוונים זמינים במערכות מסוימות. לאנשים שונים יש סדרי עדיפויות ותחומי עניין שונים ולוח המחוונים המושלם עבור מנהל רשת יהיה שונה מזה של מנהל אבטחה. כמו כן, מנהל יזדקק גם ללוח מחוונים אחר לגמרי.

אמנם איננו יכולים להעריך מערכות SIEM רק על מספר לוח המחוונים שהם מציעים, אך עליך לבחור אחת שיש לה לוח המחוונים הדרוש לך. זה בהחלט משהו שתרצה לזכור כשאתה מעריך ספקים. וכמו שזה עם דוחות, הכלים הטובים ביותר מאפשרים לך לבנות לוחות מחוונים בהתאמה אישית לטעמך.

שימוש ב- SIEM ככלי ניהול אבטחת ITIL

לא משנה כמה מורכב יכול להיות מושג ניהול האבטחה בהקשר למסגרת ה- ITIL. זה למעשה מסכם יעד אחד עיקרי: להבטיח שהנתונים יהיו מאובטחים. ולמרות שלפרדיגמת ניהול אבטחת ה- IT יש כמה היבטים שונים, כשמדובר נראה כי כלי התוכנה שבהם אתה יכול להשתמש, אינה תוכנת ניהול אבטחה של ITIL חבילה. מצד שני, יש אינספור הצעות של מפרסמי תוכנה שונים של כלים שמטרתם להבטיח את אבטחת הנתונים שלך.

ראינו גם כיצד לכלי SIEM יש מטרה דומה לשמור על אבטחת מידע. לדעתנו המטרה המשותפת היא שהופכת אותם לאחד הסוגים הטובים ביותר של כלים לניהול אבטחת IT. עם זאת, זכור כי התרגול של ניהול אבטחת ITIL חורג הרבה מ- SIEM ולמרות שהם נקודת פתיחה טובה, הם רק חלק מהפתרון, גם אם חשוב.

כלי ניהול האבטחה הטובים ביותר של ITIL

מכיוון שקבענו כי כלי ניהול האבטחה הטובים ביותר עבור ITIL הם אכן כלי SIEM, חיפשנו בשוק וחיפשנו את הטוב ביותר מהם. מצאנו מגוון גדול של כלים מכמה מהארגונים הידועים ביותר. לכל הכלים ברשימה שלנו יש את כל התכונות העיקריות שהיית מצפה מכלי ניהול אבטחה. בחירת הצורך הטוב ביותר עבור הצורך הספציפי שלך היא לרוב עניין של טעם אישי. או שאולי לאחד הכלים יש תכונה ייחודית שפונה אליכם.

SolarWinds הוא שם נפוץ בעולם ניטור הרשת. מוצר הדגל שלה, שנקרא צג ביצועי רשת הוא אחד מכלי הניטור הטובים ביותר של SNMP. החברה ידועה גם בשל כלים חינמיים רבים כמו שלה מתקדם מחשבון רשת משנה או שלה חינם SFTP סארבר.

כשמדובר ב- SIEM, SolarWindsההצעה היא SolarWinds אבטחה מנהל אירוע. נקרא בעבר ה- SolarWinds יומן ומנהל אירועים, הכלי מתואר בצורה הטובה ביותר ככלי SIEM ברמת כניסה. עם זאת זו אחת המערכות הטובות ביותר ברמת הכניסה בשוק. בכלי יש כמעט כל מה שאפשר לצפות ממערכת SIEM. זה כולל ניהול מעולה ותכונות מתאם, כמו גם מנוע דיווח מרשים.

• ניסיון חינם: מנהל אירועי אבטחה של SolarWinds
• קישור הורדה רשמי: https://www.solarwinds.com/security-event-manager/registration

הכלי מתגאה גם בתכונות מעולות לתגובה לאירועים אשר אינן מותירות דבר רצוי. למשל, מערכת התגובה המפורטת בזמן אמת תגיב באופן פעיל לכל איום. ומכיוון שהיא מבוססת על התנהגות ולא על חתימה, אתה מוגן מפני איומים לא ידועים או עתידיים והתקפות אפס יום.

על גבי סט הפיצ'רים המרשים שלו, ה- מנהל אירועי אבטחה של SolarWindsלוח המחוונים הוא אולי הנכס הטוב ביותר שלו. בעזרת העיצוב הפשוט, לא תתקשו למצוא את דרכם בכלי ולזהות במהירות חריגות. החל בסביבות 4 500 דולר, הכלי הוא יותר משתלם. ואם אתה רוצה לנסות ולראות איך זה עובד בסביבתך, א גרסת ניסיון של 30 יום בחינם תפקודית לחלוטין זמין להורדה.

2. Splunk Enterprise Security

Splunk Enterprise Security—או Splunk ESכפי שהיא מכונה לעתים קרובות - היא אולי אחת ממערכות ה- SIEM הפופולריות ביותר. זה מפורסם במיוחד בגלל יכולות הניתוח שלו. Splunk ES עוקב אחר נתוני המערכת בזמן אמת ומחפש פגיעויות וסימנים של פעילות חריגה ו / או זדונית.

בנוסף לניטור נהדר, תגובת האבטחה הינה פעולה נוספת Splunk ESחליפות חזקות. המערכת משתמשת במה שמכנה Splunk מסגרת תגובה אדפטיבית (ARF) שמשתלב עם ציוד של יותר מ- 55 ספקי אבטחה. ה ARF לבצע מענה אוטומטי, להאיץ משימות ידניות. זה יאפשר לך להשיג במהירות את העליונה. הוסף לזה ממשק משתמש פשוט ולא מסודר ויש לך פיתרון מנצח. תכונות מעניינות אחרות כוללות את בולטים פונקציה שמציגה התראות הניתנות להתאמה אישית על ידי המשתמש ואת חוקר נכסים עבור סימון פעילויות זדוניות ומניעת בעיות נוספות.

Splunk ES הוא באמת מוצר בדרגה ארגונית וזה אומר שהוא מגיע עם תג מחיר בגודל ארגוני. למרבה הצער, מידע על מחירים אינו זמין בקלות מ מתיזאתר האינטרנט. עליך ליצור קשר עם מחלקת המכירות כדי לקבל הצעת מחיר. יצירת קשר עם Splunk תאפשר לכם גם לנצל ניסיון חינם, במידה ותרצו לנסות את המוצר.

3. RSA NetWitness

מאז 2016, NetWitness התמקד במוצרים התומכים ב- "מודעות מעמדית ברשת בזמן אמת ותגובת רשת זריזת”. לאחר שנרכשה על ידי EMC אשר אז התמזגה עם דל, ה NetWitness המותג הוא עכשיו חלק מה- RSA סניף התאגיד. אלה חדשות טובות שכן RSA הוא שם מכובד ביותר בתחום אבטחת ה- IT.

RSA NetWitness הוא אידיאלי לארגונים המחפשים פיתרון ניתוח רשת מלא. הכלי משלב מידע אודות הארגון שלך בו הוא משתמש כדי לעזור בתעדוף התראות. לפי RSA, המערכת "אוספת נתונים על פני יותר נקודות לכידה, פלטפורמות מחשוב ומקורות מודיעין איום מאשר פתרונות אחרים של SIEM”. הכלי כולל גם גילוי איומים מתקדם המשלב ניתוח התנהגות, טכניקות מדעי נתונים, ומודיעין איומים. ולבסוף, מערכת התגובה המתקדמת מתהדרת ביכולות תזמור ואוטומציה כדי להיפטר מאיומים לפני שהן משפיעות על העסק שלך.

אחד החסרונות העיקריים של RSA NetWitness כפי שדווחה קהילת המשתמשים שלה שהיא אינה הקלה ביותר להתקנה או לשימוש. עם זאת, קיים תיעוד מקיף שיכול לעזור לך בהגדרת המוצר ושימוש בו. זהו מוצר אחר בדרגה ארגונית, וכפי שקורה לעיתים קרובות, עליך ליצור קשר עם מכירות כדי לקבל מידע על מחירים.

4. מנהל האבטחה של ארקיסייט

מנהל האבטחה של ארקיסייט עוזר בזיהוי ותעדוף איומי אבטחה, ארגון ומעקב אחר פעילויות תגובת אירועים, ופשטת פעילויות ביקורת ותאימות. פעם הוא נמכר תחת HP המותג אבל ArcSight אוחד כעת מיקרו פוקוס, אחר HP חברה בת.

מאז שהייתה קיימת יותר מחמש עשרה שנים, ArcSight מנהל אבטחה ארגונית הוא עוד כלי SIEM פופולרי להפליא. זה אוסף נתוני יומן ממקורות שונים ומבצעת ניתוח נתונים נרחב, ומחפש סימנים של פעילות זדונית. כדי להקל על זיהוי איומים במהירות, הכלי מאפשר לך להציג תוצאות ניתוח בזמן אמת.

באשר לתכונות המוצר, הוא לא משאיר דבר רצוי. יש לו מתאם נתונים מופץ בזמן אמת, אוטומציה של זרימת עבודה, תזמור אבטחה ותוכן אבטחה מונחה קהילה. ה ArcSight מנהל אבטחה ארגונית משתלב גם עם אחרים ArcSight מוצרים כגון פלטפורמת נתונים וסוכנת אירועים של ArcSight או ArcSight לחקור. זהו מוצר אחר בדרגה ארגונית וככזה, מידע על מחירים אינו זמין. זה ידרוש ממך ליצור קשר עם ArcSight צוות מכירות כדי לקבל הצעת מחיר בהתאמה אישית.

5. מנהל האבטחה של מק'אפי

מקאפי הוא ללא ספק שם בית נוסף בענף האבטחה. עם זאת, הוא ידוע יותר בזכות קו המוצרים שלו להגנת וירוסים. שלא כמו מוצרים אחרים ברשימה זו, מקאפי ארגוני סטוהר Mאנאגר אינה רק תוכנה, אלא מכשיר שתוכלו להשיג אותו כחומרה או בצורה וירטואלית.

מבחינת יכולות הניתוח שלה, ה- מנהל האבטחה של מק'אפי נחשב לאחד מכלי SIEM הטובים ביותר על ידי רבים. המערכת אוספת יומנים במגוון רחב של מכשירים ויכולות הנורמליזציה שלה הן דבר שאין דומה לה. מנוע המתאם אוסף בקלות מקורות נתונים שונים, מה שמקל על איתור אירועי אבטחה בזמן שהם מתרחשים.

אבל אם להיות נכון, יש בזה יותר מקאפי פיתרון מאשר רק שלה מנהל אבטחה ארגונית. כדי לקבל פיתרון SIEM מלא, אתה צריך גם את מנהל יומן ארגוני ו מקלט אירוע. למרבה המזל, את כל המוצרים ניתן לארוז במכשיר יחיד. ולמי מכם שאולי ירצה לנסות את המוצר לפני שתרכשו אותו, תקופת ניסיון חינם זמינה.

6. IBM QRadar

יבמ היא ללא ספק אחד השמות הידועים ביותר בענף ה- IT. אין זה מפתיע אם כן שהחברה הצליחה להקים את פיתרון SIEM שלה, IBM QRadar כאחד המוצרים הטובים ביותר בשוק. הכלי מאפשר לאנליסטים ביטחוניים לאתר חריגות, לחשוף איומים מתקדמים ולהסיר חיוביות שגויות בזמן אמת.

IBM QRadar מתהדרת בחבילת תכונות לניהול יומני, איסוף נתונים, ניתוחים וגילוי פריצות. יחד הם עוזרים לשמור על תשתית הרשת שלך פועלת. יש גם ניתוח דוגמנות סיכונים שיכול לדמות התקפות אפשריות.

חלק מ יבמ QRadarתכונות המפתח כוללות את היכולת לפרוס את הפיתרון באופן מקומי או בסביבת ענן. זהו פיתרון מודולרי ואפשר להוסיף במהירות ובזול יותר כוח אחסון או עיבוד ככל שצרכיהם גדלים. המערכת משתמשת במומחיות מודיעינית מ- יבמ X-Force ומשתלב בצורה חלקה עם מאות יבמ ולאיבמ מוצרים.

יבמ להיות יבמעם זאת, אתה יכול לצפות לשלם מחיר פרמיום עבור פתרון SIEM שלה. אבל אם אתה זקוק לאחד מכלי SIEM הטובים ביותר בשוק וכלי שמגובה על ידי ארגון יציב, יבמ QRadar יכול מאוד להיות ששווה את ההשקעה.