6 Beste ITIL-beveiligingsbeheertools in 2020

ITIL is een relatief wijdverbreid en zeer grondig raamwerk voor IT-servicemanagement. Oorspronkelijk afkomstig uit het VK en ontworpen om zowel de overheid als particuliere bedrijven te dienen, is het een reeks zeer gestructureerde processen, aanbevelingen en praktijken. Het is onderverdeeld in verschillende specifieke gebieden, waarbij beveiligingsbeheer niet meer is dan een van de vele aspecten ervan. Maar aangezien beveiliging zo'n belangrijk onderwerp is, vooral als je kijkt naar de moderne dreigingsscène en hoe organisaties zijn voortdurend doelwit van gewetenloze hackers - we hebben besloten om naar het beste ITIL-beveiligingsbeheer te kijken gereedschap.

We beginnen met meer in detail uit te leggen wat ITIL is voordat we verder gaan met het specifieke gebied van ITIL-beveiligingsbeheer. Vervolgens introduceren we het concept van beveiligingsinformatie en gebeurtenisbeheer, beschrijven we waar het uit bestaat en leggen we uit hoe het zich kan verhouden tot ITIL-beveiligingsbeheer. We komen eindelijk bij het interessante deel en presenteren een korte beoordeling van enkele van de beste ITIL-beveiligingsbeheertools, waarin de beste functies en functionaliteit van elke tool worden beschreven.

ITIL in een notendop

ITIL, dat vroeger stond voor Information Technology Infrastructure Library, begon in de jaren 80 als een inspanning van de Central Computer en Telecommunications Agency (CCTA) om een ​​reeks aanbevelingen en standaardpraktijken te ontwikkelen voor IT-servicemanagement in de overheid en de particuliere sector als goed. Het is ontstaan ​​als een verzameling boeken, die elk betrekking hebben op een specifieke praktijk binnen IT-servicemanagement en zijn gebouwd rond een procesmodelgebaseerde kijk op het besturen en beheren van operaties.

Het bestond aanvankelijk uit meer dan 30 delen, maar werd later enigszins vereenvoudigd en de diensten werden gegroepeerd, waardoor het aantal delen tot 5 werd teruggebracht. Het is nog steeds in constante evolutie en het nieuwste Foundation-boek is afgelopen februari gepubliceerd, ITIL groepeert verschillende elementen van IT-servicemanagement in praktijken, waarbij ITIL Security Management er slechts een van is veel.

Over ITIL-beveiligingsbeheer

Wat betreft het ITIL-proces voor beveiligingsbeheer: het beschrijft de gestructureerde aanpassing van informatiebeveiliging in het beheer organisatie." Het is grotendeels gebaseerd op de praktijkcode voor het informatiebeveiligingsbeheersysteem (ISMS) dat nu bekend staat als ISO / IEC 27001.

Het belangrijkste doel van beveiligingsbeheer is uiteraard het zorgen voor adequate informatiebeveiliging. En op hun beurt is het primaire doel van informatiebeveiliging het beschermen van informatie tegen risico's, waardoor de waarde voor de organisatie behouden blijft. Meestal wordt dit uitgedrukt in termen van het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid, maar ook met gerelateerde eigenschappen of doelen zoals authenticiteit, aansprakelijkheid, niet-afwijzing en betrouwbaarheid.

Er zijn twee hoofdaspecten van beveiligingsbeheer. Allereerst zijn er de beveiligingsvereisten die ofwel binnen het serviceniveau kunnen worden gedefinieerd overeenkomsten (SLA) of andere eisen gespecificeerd in contracten, wetgeving zowel intern als extern beleid. Het tweede aspect is simpelweg basisbeveiliging die het beheer en de continuïteit van de service garandeert. Het houdt enigszins verband met het eerste aspect, aangezien het nodig is om een ​​vereenvoudigd serviceniveau voor informatiebeveiliging te bereiken.

Hoewel ITIL-beveiligingsbeheer een breed concept is, is het wat meer beperkt in de context van softwaretools. Als we het hebben over tools voor beveiligingsbeheer, kunnen er verschillende soorten tools in je opkomen. Het ene type lijkt echter interessanter dan het andere: Security Information and Event Management (SIEM) -tools.

Introductie van Security Information and Event Management (SIEM)

In zijn eenvoudigste vorm is Security Information and Event Management het proces van het beheren van beveiligingsinformatie en evenementen. Concreet biedt een SIEM-systeem geen echte bescherming. Dit is bijvoorbeeld anders dan antivirussoftware die actief voorkomt dat virussen beveiligde systemen infecteren. SIEM's belangrijkste doel is om het leven van netwerk- en beveiligingsbeheerders gemakkelijker te maken. Een typisch SIEM-systeem verzamelt eenvoudig informatie van verschillende systemen, waaronder netwerkapparaten en andere detectie- en beveiligingssystemen. Vervolgens correleert het al deze informatie, verzamelt gerelateerde gebeurtenissen en reageert op verschillende manieren op zinvolle gebeurtenissen. SIEM-systemen bevatten ook een vorm van rapportage en, nog belangrijker, dashboards en waarschuwingssubsystemen.

Wat zit er in een SIEM-systeem

SIEM-systemen verschillen sterk van leverancier tot leverancier. Er zijn echter een aantal componenten die in veel van hen aanwezig lijken te zijn. Ze bevatten niet allemaal al die componenten en als ze dat wel doen, kunnen ze anders werken. Laten we enkele van de belangrijkste - en meest voorkomende - componenten van SIEM-systemen in meer detail bekijken.

Verzameling en beheer van logboeken

Het verzamelen en beheren van logboeken is zonder twijfel het belangrijkste onderdeel van een SIEM-systeem. Zonder dit is er geen SIEM. Het eerste dat een SIEM-systeem moet doen, is het verzamelen van loggegevens uit verschillende bronnen. Het kan het trekken - bijvoorbeeld met een lokaal geïnstalleerde agent - of verschillende apparaten en systemen kunnen het naar de SIEM-tool pushen.

Aangezien elk systeem zijn eigen manier heeft om gegevens te categoriseren en vast te leggen, is de volgende taak van de SIEM-tool om gegevens te normaliseren en uniform te maken, ongeacht de bron waar het vandaan komt. Hoe die stap wordt uitgevoerd, hangt voornamelijk af van het oorspronkelijke formaat van de ontvangen gegevens.

Als het eenmaal is genormaliseerd, worden de gelogde gegevens vaak vergeleken met bekende aanvalspatronen in een poging om kwaadaardig gedrag zo vroeg mogelijk te herkennen. Gegevens kunnen ook worden vergeleken met eerder verzamelde gegevens, waardoor een basislijn kan worden opgebouwd die de detectie van abnormale activiteiten verder zal verbeteren.

Event Response

Het is één ding om een ​​gebeurtenis te detecteren, maar zodra een gebeurtenis is gedetecteerd, moet er een reactieproces worden gestart. Dit is waar het bij de event response module van de SIEM-tool om draait. De reactie op een evenement kan vele vormen aannemen. In de meest eenvoudige implementatie wordt een waarschuwingsbericht gegenereerd op het dashboard van het systeem. E-mail- of sms-waarschuwingen kunnen ook worden gegenereerd als het primaire antwoord.

De beste SIEM-systemen gaan echter een stap verder en kunnen doorgaans een soort herstelproces initiëren. Nogmaals, dit is iets dat vele vormen kan aannemen. De beste systemen hebben een compleet workflowsysteem voor incidentrespons dat kan worden aangepast, en biedt precies het type reactie dat u nodig heeft. De incidentreactie hoeft niet uniform te zijn en verschillende gebeurtenissen - of verschillende soorten gebeurtenissen - kunnen verschillende processen veroorzaken. De beste SIEM-tools kunnen u volledige controle geven over de workflow voor incidentrespons.

Rapportage

Het is één ding om logboekverzameling en -beheer te hebben en een responssysteem voor evenementen te hebben, maar je hebt ook een ander belangrijk element nodig: rapportage. Ook al weet u het misschien nog niet, u heeft rapporten nodig; eenvoudigweg. De leidinggevenden van uw organisatie hebben ze nodig om zelf te zien of hun investering in een SIEM-systeem zijn vruchten afwerpt. Maar dat is niet alles, u heeft mogelijk ook rapporten nodig voor conformiteitsdoeleinden. Voldoen aan standaarden zoals PCI DSS, HIPAA of SOX is veel gemakkelijker wanneer uw SIEM-systeem conformiteitsrapporten kan genereren.

Rapporten vormen misschien niet de kern van elk SIEM-systeem, maar zijn nog steeds een van hun essentiële componenten. Rapportage is eigenlijk een van de belangrijkste onderscheidende factoren tussen concurrerende systemen. Rapporten zijn als snoepjes, je kunt er nooit teveel hebben. Kijk bij het evalueren van systemen naar welke rapporten beschikbaar zijn en hoe ze eruit zien en houd er rekening mee dat u met de beste systemen aangepaste rapporten kunt maken.

Dashboard

Het laatste belangrijke onderdeel van de meeste SIEM-tools is het dashboard. Het is belangrijk omdat het uw venster is naar de status van uw SIEM-systeem en, bij uitbreiding, naar de beveiliging van uw IT-omgeving. We hadden dashboards - met een S - net zo goed kunnen zeggen als er in sommige systemen meerdere dashboards beschikbaar zijn. Verschillende mensen hebben verschillende prioriteiten en interesses en het perfecte dashboard voor een netwerkbeheerder zal anders zijn dan dat van een beveiligingsbeheerder. Evenzo heeft een leidinggevende ook een heel ander dashboard nodig.

Hoewel we SIEM-systemen niet alleen kunnen evalueren op het aantal dashboards dat ze aanbieden, moet u er een kiezen met de dashboard (s) die u nodig heeft. Dit is zeker iets waar u rekening mee wilt houden bij het evalueren van leveranciers. En net als bij rapporten, kunt u met de beste tools aangepaste dashboards naar wens samenstellen.

SIEM gebruiken als een ITIL Security Management Tool

Het maakt niet uit hoe complex het concept van beveiligingsbeheer kan zijn in de context van het ITIL-framework. Het komt eigenlijk neer op één hoofddoel: ervoor zorgen dat gegevens veilig zijn. En hoewel het hele IT-beveiligingsbeheer-paradigma verschillende aspecten heeft, als het gaat om de softwaretools die u kunt gebruiken, lijkt er geen ITIL-beveiligingsbeheersoftware te zijn pakket. Aan de andere kant zijn er talloze aanbiedingen van verschillende software-uitgevers van tools die de veiligheid van uw gegevens moeten waarborgen.

We hebben ook gezien hoe SIEM-tools een vergelijkbaar doel hebben om de gegevensbeveiliging te behouden. Het is volgens ons dat gemeenschappelijke doel dat ze tot een van de beste soorten tools voor IT-beveiligingsbeheer maakt. Houd er echter rekening mee dat de praktijk van ITIL-beveiligingsbeheer veel verder gaat dan SIEM en hoewel ze een goed startpunt zijn, zijn ze slechts een deel van de oplossing, zij het een belangrijke.

De beste ITIL-beveiligingsbeheertools

Aangezien we hebben vastgesteld dat de beste ITIL-tools voor beveiligingsbeheer inderdaad SIEM-tools waren, hebben we de markt afgezocht op zoek naar de beste. We hebben een grote verscheidenheid aan tools gevonden van enkele van de bekendste organisaties. Alle tools op onze lijst hebben alle belangrijke functies die u van een beveiligingsbeheertool mag verwachten. Het kiezen van de beste voor uw specifieke behoefte is vaak een kwestie van persoonlijke smaak. Of misschien heeft een van de tools een unieke functie die je aanspreekt.

SolarWinds is een veel voorkomende naam in de netwerkbewakingswereld. Het vlaggenschipproduct, het Netwerkprestatiemonitor is een van de beste beschikbare SNMP-bewakingstools. Het bedrijf staat ook bekend om zijn talrijke gratis tools zoals het Geavanceerd Subnet Calculator of zijn Vrij SFTP Server.

Als het om SIEM gaat, SolarWinds'Aanbod is de SolarWinds-beveiliging Event Manager. Vroeger de SolarWinds Log & Event Managerkan de tool het best worden omschreven als een SIEM-tool op instapniveau. Het is echter een van de beste instapsystemen op de markt. De tool heeft bijna alles wat u van een SIEM-systeem mag verwachten. Dit omvat uitstekend logbeheer en correlatiefuncties, evenals een indrukwekkende rapportage-engine.

• GRATIS PROEF: SolarWinds Security Event Manager
• Officiële downloadlink: https://www.solarwinds.com/security-event-manager/registration

De tool beschikt ook over uitstekende eventresponsfuncties die niets te wensen overlaten. Zo zal het gedetailleerde realtime reactiesysteem actief reageren op elke dreiging. En aangezien het gebaseerd is op gedrag in plaats van handtekening, bent u beschermd tegen onbekende of toekomstige bedreigingen en zero-day-aanvallen.

Bovenop zijn indrukwekkende functieset, de SolarWinds Security Event Manager’S dashboard is mogelijk de beste troef. Dankzij het eenvoudige ontwerp vindt u moeiteloos uw weg in de tool en kunt u snel afwijkingen opsporen. Vanaf ongeveer $ 4 500 is de tool meer dan betaalbaar. En als u het wilt proberen en wilt zien hoe het in uw omgeving werkt, een gratis volledig functionele 30-dagen proefversie is beschikbaar om te downloaden.

2. Splunk Enterprise-beveiliging

Splunk Enterprise-beveiliging-of Splunk ES, zoals het vaak wordt genoemd, is mogelijk een van de meest populaire SIEM-systemen. Het staat vooral bekend om zijn analysemogelijkheden. Splunk ES bewaakt de gegevens van uw systeem in realtime, op zoek naar kwetsbaarheden en tekenen van abnormale en / of kwaadaardige activiteiten.

Naast geweldige monitoring is beveiligingsreactie er ook een van Splunk ES‘Sterke pakken. Het systeem gebruikt wat Splunk het noemt Adaptive Response Framework (ARF) die integreert met apparatuur van meer dan 55 beveiligingsleveranciers. De ARF geautomatiseerde respons uitvoeren, waardoor handmatige taken worden versneld. Hierdoor krijgt u snel de overhand. Tel daar een eenvoudige en overzichtelijke gebruikersinterface bij op en je hebt een winnende oplossing. Andere interessante kenmerken zijn de Notabelen functie die door de gebruiker aanpasbare waarschuwingen en de Asset Investigator voor het markeren van kwaadaardige activiteiten en het voorkomen van verdere problemen.

Splunk ES is echt een product van enterprise-kwaliteit en dat betekent dat het wordt geleverd met een zakelijk prijskaartje. Prijsinformatie is helaas niet direct beschikbaar bij Splunk’S website. U moet contact opnemen met de verkoopafdeling om een ​​offerte te ontvangen. Als u contact opneemt met Splunk, kunt u ook profiteren van een gratis proefperiode, mocht u het product willen proberen.

3. RSA NetWitness

Sinds 2016 NetWitness heeft zich gericht op producten die "diep, real-time netwerksituatiebewustzijn en flexibele netwerkreactie”. Na te zijn overgenomen door EMC die vervolgens fuseerde met Dell, de NetWitness merk maakt nu deel uit van de RSA filiaal van het bedrijf. Dit is goed nieuws, want RSA is een zeer gerespecteerde naam in IT-beveiliging.

RSA NetWitness is ideaal voor organisaties die op zoek zijn naar een complete oplossing voor netwerkanalyse. De tool integreert informatie over uw organisatie die wordt gebruikt om prioriteit te geven aan waarschuwingen. Volgens RSA, het systeem "verzamelt gegevens over meer veroveringspunten, computerplatforms en bronnen voor informatie over bedreigingen dan andere SIEM-oplossingen”. De tool beschikt ook over geavanceerde bedreigingsdetectie die gedragsanalyse, data science-technieken en bedreigingsinformatie combineert. En tot slot biedt het geavanceerde reactiesysteem orkestratie- en automatiseringsmogelijkheden om bedreigingen te verwijderen voordat ze uw bedrijf beïnvloeden.

Een van de grootste nadelen van RSA NetWitness zoals gemeld door de gebruikersgemeenschap, is dat het niet de gemakkelijkste is om in te stellen en te gebruiken. Er is echter uitgebreide documentatie beschikbaar die u kan helpen bij het installeren en gebruiken van het product. Dit is een ander product van ondernemingsniveau en, zoals vaak het geval is, moet u contact opnemen met de verkoop voor prijsinformatie.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager helpt bij het identificeren en prioriteren van beveiligingsbedreigingen, het organiseren en volgen van incidentresponsactiviteiten en het vereenvoudigen van audit- en compliance-activiteiten. Het werd verkocht onder de HP merk maar ArcSight is nu samengevoegd in Micro Focus, een andere HP dochteronderneming.

Al meer dan vijftien jaar bestaat de ArcSight Enterprise Security Manager is een andere immens populaire SIEM-tool. Het verzamelt loggegevens uit verschillende bronnen en voert uitgebreide gegevensanalyse uit, op zoek naar tekenen van kwaadaardige activiteiten. Om het gemakkelijk te maken om bedreigingen snel te identificeren, kunt u met de tool de analyseresultaten in realtime bekijken.

De productkenmerken laten niets te wensen over. Het heeft krachtige gedistribueerde real-time gegevenscorrelatie, workflowautomatisering, beveiligingsorkestratie en community-gestuurde beveiligingsinhoud. De ArcSight Enterprise Security Manager integreert ook met andere ArcSight producten zoals de ArcSight Data Platform en Event Broker of ArcSight Investigate. Dit is een ander product van ondernemingsniveau en als zodanig is prijsinformatie niet direct beschikbaar. U moet hiervoor contact opnemen met de ArcSight verkoopteam om een ​​offerte op maat te krijgen.

5. McAfee Enterprise Security Manager

McAfee is zeker een andere begrip in de beveiligingsbranche. Het is echter beter bekend om zijn productlijn voor virusbescherming. In tegenstelling tot andere producten in deze lijst, de McAfee Onderneming Security Mboosheid is niet alleen software, het is een apparaat dat u kunt krijgen als hardware of in virtuele vorm.

In termen van zijn analysemogelijkheden, de McAfee Enterprise Security Manager wordt door velen beschouwd als een van de beste SIEM-tools. Het systeem verzamelt logboeken op een groot aantal apparaten en de normalisatiemogelijkheden zijn ongeëvenaard. De correlatie-engine stelt gemakkelijk verschillende gegevensbronnen samen, waardoor het eenvoudiger wordt om beveiligingsgebeurtenissen te detecteren wanneer ze zich voordoen.

Maar om waar te zijn, is er meer aan de hand McAfee oplossing dan alleen haar Enterprise Security Manager. Om een ​​complete SIEM-oplossing te krijgen, hebt u ook de Enterprise Log Manager en Event ontvanger. Gelukkig kunnen alle producten in één apparaat verpakt worden. En voor degenen onder u die het product misschien willen uitproberen voordat u het koopt, is er een gratis proefversie beschikbaar.

6. IBM QRadar

IBM is zonder twijfel een van de bekendste namen in de IT-industrie. Het is dan ook geen verrassing dat het bedrijf erin is geslaagd zijn SIEM-oplossing tot stand te brengen, IBM QRadar als een van de beste producten op de markt. De tool stelt beveiligingsanalisten in staat om afwijkingen op te sporen, geavanceerde bedreigingen aan het licht te brengen en valse positieven in realtime te verwijderen.

IBM QRadar beschikt over een reeks logboekbeheer-, gegevensverzamelings-, analyse- en inbraakdetectiefuncties. Samen helpen ze uw netwerkinfrastructuur draaiende te houden. Er zijn ook risico-modelleringsanalyses die potentiële aanvallen kunnen simuleren.

Enkele van IBM QRadarDe belangrijkste kenmerken zijn de mogelijkheid om de oplossing on-premise of in een cloudomgeving te implementeren. Het is een modulaire oplossing en men kan snel en goedkoop meer opslag- of verwerkingskracht toevoegen naarmate hun behoeften groeien. Het systeem maakt gebruik van intelligentie-expertise van IBM X-Force en integreert naadloos met honderden IBM en niet-IBM producten.

IBM wezen IBMu kunt echter een premium prijs verwachten voor zijn SIEM-oplossing. Maar als u een van de beste SIEM-tools op de markt nodig heeft en een tool die wordt ondersteund door een solide organisatie, IBM QRadar misschien wel de investering waard.