6 najlepších nástrojov riadenia bezpečnosti ITIL v roku 2020

ITIL je pomerne rozšírený a veľmi dôkladný rámec pre správu IT služieb. Pôvodne z Veľkej Británie a navrhnutý tak, aby slúžil vládnym aj súkromným podnikom, je súborom vysoko štruktúrnych procesov, odporúčaní a postupov. Je rozdelená do niekoľkých konkrétnych oblastí, pričom správa bezpečnosti nie je ničím viac ako jedným z mnohých jej aspektov. Ale keďže bezpečnosť je tak dôležitou témou - najmä pri zvažovaní modernej hrozebnej scény a spôsobu, akým sú organizácie neustále sa na ne zameriavajú bezohľadní hackeri - rozhodli sme sa pozrieť na niektoré z najlepších správ bezpečnosti ITIL nástrojom.

Najprv podrobnejšie vysvetlíme, čo je ITIL, a až potom prejdeme na konkrétnu oblasť riadenia bezpečnosti ITIL. Ďalej predstavíme koncept bezpečnostných informácií a správy udalostí, opíšeme, z čoho pozostáva, a vysvetlíme, ako môže súvisieť so správou bezpečnosti ITIL. Nakoniec sa dostaneme k zaujímavej časti a predstavíme rýchlu recenziu niektorých najlepších nástrojov riadenia bezpečnosti ITIL, ktoré popisujú najlepšie vlastnosti a funkcie každého nástroja.

ITIL v skratke

ITIL, ktorá bola predtým skratkou pre Knižnicu infraštruktúry informačných technológií, sa začala v 80. rokoch ako snaha centrálneho počítača vlády Spojeného kráľovstva a Telekomunikačná agentúra (CCTA) vypracovať súbor odporúčaní a štandardných postupov pre správu IT služieb vo vláde a súkromnom sektore, ako sú dobre. Vznikla ako zbierka kníh, z ktorých každá pokrývala špecifický postup v rámci správy IT služieb a bola postavená na pohľade riadenia a riadenia operácií založenom na procesnom modeli.

Spočiatku pozostával z viac ako 30 zväzkov, neskôr sa trochu zjednodušil a služby sa zoskupili, čím sa počet zväzkov znížil na 5. Je stále v neustálom vývoji a posledná verzia nadačnej knihy bola vydaná vlani vo februári, ITIL spája rôzne prvky riadenia IT služieb do praxe, pričom ITIL Security Management je len jedným z nich veľa.

O správe zabezpečenia ITIL

Pokiaľ ide o proces riadenia bezpečnosti ITIL, „opisuje štruktúrované vybavenie informačnej bezpečnosti v riadení Organizácia." Vo veľkej miere sa zakladá na kódexe praxe pre systém riadenia informačnej bezpečnosti (ISMS), teraz známy ako ISO / IEC 27001.

Hlavným cieľom riadenia bezpečnosti je, samozrejme, zabezpečenie primeranej informačnej bezpečnosti. A naopak, primárnym cieľom informačnej bezpečnosti je ochrana informačného majetku pred rizikami, čím sa udržiava jeho hodnota pre organizáciu. Zvyčajne sa to vyjadruje z hľadiska zabezpečenia jeho dôvernosti, integrity a dostupnosti, ale tiež s príbuznými vlastnosťami alebo cieľmi, ako sú autentickosť, zodpovednosť, nevypovedanie a spoľahlivosť.

Správa bezpečnosti má dva hlavné aspekty. V prvom rade sú to bezpečnostné požiadavky, ktoré by mohli byť definované v rámci úrovne služieb dohody (SLA) alebo iné požiadavky uvedené v zmluvách, právnych predpisoch, ako aj interných alebo externých postupy. Druhým aspektom je jednoducho základné zabezpečenie, ktoré zaručuje správu a kontinuitu služieb. Trochu to súvisí s prvým aspektom, pretože v záujme informačnej bezpečnosti je potrebné dosiahnuť zjednodušené riadenie na úrovni služieb.

Aj keď je riadenie bezpečnosti ITIL širokým pojmom, v kontexte softvérových nástrojov je o niečo viac vymedzené. Keď hovoríme o nástrojoch riadenia bezpečnosti, na myseľ môže prísť niekoľko typov nástrojov. Zdá sa však, že jeden typ je zaujímavejší ako iné: nástroje na správu informácií a udalostí (SIEM).

Predstavujeme bezpečnostné informácie a správu udalostí (SIEM)

Správa bezpečnostných informácií a udalostí je vo svojej najjednoduchšej forme proces správy bezpečnostných informácií a udalostí. Konkrétne, systém SIEM neposkytuje žiadnu skutočnú ochranu. Odlišuje sa to napríklad od antivírusového softvéru, ktorý aktívne zabraňuje vírusom infikovať chránené systémy. Primárnym cieľom spoločnosti SIEM je uľahčiť život správcom sietí a bezpečnosti. Typický systém SIEM jednoducho zbiera informácie z rôznych systémov - vrátane sieťových zariadení a iných detekčných a ochranných systémov. Potom všetky tieto informácie koreluje, zhromažďuje súvisiace udalosti a rôznymi spôsobmi reaguje na zmysluplné udalosti. Systémy SIEM obsahujú aj určitú formu podávania správ a, čo je dôležitejšie, dashboardy a podsystémy varovania.

Čo je súčasťou systému SIEM

Systémy SIEM sa medzi jednotlivými predajcami veľmi líšia. Zdá sa však, že niektoré z nich sú súčasťou mnohých z nich. Nezahŕňajú všetky tieto komponenty a ak áno, môžu fungovať odlišne. Pozrime sa podrobnejšie na niektoré z najdôležitejších - a najbežnejších - komponentov systémov SIEM.

Zber a správa protokolov

Zhromažďovanie a správa protokolov je nepochybne najdôležitejšou súčasťou systému SIEM. Bez nej neexistuje SIEM. Prvou vecou, ​​ktorú musí systém SIEM urobiť, je získať údaje denníka z rôznych zdrojov. Môže ho buď vytiahnuť - napríklad pomocou lokálne nainštalovaného agenta - alebo ho môžu rôzne nástroje a systémy posunúť do nástroja SIEM.

Pretože každý systém má svoj vlastný spôsob kategorizácie a zaznamenávania údajov, ďalšou úlohou nástroja SIEM je normalizácia údajov a ich zjednotenie bez ohľadu na zdroj, z ktorého pochádza. Spôsob, akým sa tento krok vykonáva, sa líši najmä v závislosti od pôvodného formátu prijatých údajov.

Po normalizácii sa zaznamenané údaje často porovnajú so známymi vzormi útokov v snahe čo najskôr rozpoznať škodlivé správanie. Údaje sa dajú porovnávať aj s predtým zozbieranými údajmi, čo pomáha vybudovať základnú líniu, ktorá ďalej zlepší detekciu abnormálnej aktivity.

Reakcia na udalosť

Je to jedna vec na detekciu udalosti, ale akonáhle je detekovaná udalosť, musí sa začať nejaký proces odozvy. O tom je modul odozvy na udalosti nástroja SIEM. Reakcia na udalosť môže mať mnoho podôb. Pri najzákladnejšej implementácii sa na informačnom paneli systému vygeneruje varovná správa. Ako primárnu odpoveď sa môžu generovať aj e-mailové alebo SMS upozornenia.

Najlepšie systémy SIEM však idú o krok ďalej a zvyčajne môžu iniciovať určitý druh nápravného procesu. Toto je opäť niečo, čo môže mať mnoho podôb. Najlepšie systémy majú kompletný systém workflow reakcií na incidenty, ktorý je možné prispôsobiť a poskytuje presne ten typ reakcie, ktorú potrebujete. Odozva na incident nemusí byť jednotná a rôzne udalosti - alebo rôzne typy udalostí - môžu spustiť rôzne procesy. Špičkové nástroje SIEM vám môžu poskytnúť úplnú kontrolu nad pracovným tokom reakcie na incidenty.

hlásenie

Je to jedna z vecí, ktorá má zhromažďovať a spravovať denníky a mať zavedený systém reakcie na udalosti, ale tiež potrebujete ďalší dôležitý prvok: podávanie správ. Aj keď to možno ešte nepoznáte, budete potrebovať správy; Prosté a jednoduche. Vedúci pracovníci vašej organizácie ich budú musieť presvedčiť o tom, že ich investície do systému SIEM sa vyplácajú. To však nie je všetko, možno budete potrebovať aj správy na účely zhody. Dodržiavanie noriem, ako sú PCI DSS, HIPAA alebo SOX, je oveľa jednoduchšie, keď váš systém SIEM dokáže generovať správy o zhode.

Správy nemusia byť jadrom každého systému SIEM, ale stále sú jedným z ich základných komponentov. Podávanie správ je v skutočnosti jedným z hlavných rozlišujúcich faktorov medzi konkurenčnými systémami. Správy sú ako cukríky, nikdy ich nemáte príliš veľa. Pri hodnotení systémov si pozrite, aké prehľady sú k dispozícii a ako vyzerajú, a nezabudnite, že najlepšie systémy vám umožnia vytvárať vlastné prehľady.

prístrojová doska

Poslednou dôležitou súčasťou väčšiny nástrojov SIEM je dashboard. Je to dôležité, pretože je to vaše okno do stavu vášho systému SIEM a, v konečnom dôsledku, do bezpečnosti vášho IT prostredia. Dalo by sa povedať, že dashboardy - s písmenom S - rovnako ako v niektorých systémoch môže byť k dispozícii viac dashboardov. Rôzni ľudia majú rôzne priority a záujmy a perfektný informačný panel pre správcu siete sa bude líšiť od správcu zabezpečenia. Výkonný pracovník bude tiež potrebovať úplne iný riadiaci panel.

Aj keď nemôžeme systémy SIEM vyhodnotiť iba na základe počtu dashboardov, ktoré ponúkajú, musíte si vybrať ten, ktorý obsahuje požadované dashboardy. Toto je určite niečo, na čo by ste mali pamätať pri hodnotení dodávateľov. A rovnako ako v prípade prehľadov, aj tie najlepšie nástroje umožňujú zostaviť prispôsobené informačné panely podľa vašich predstáv.

Používanie systému SIEM ako nástroja na správu zabezpečenia ITIL

Bez ohľadu na to, ako zložitá môže byť koncepcia riadenia bezpečnosti v kontexte rámca ITIL. V skutočnosti predstavuje jeden hlavný cieľ: zabezpečiť bezpečnosť údajov. A hoci celá paradigma riadenia bezpečnosti IT má niekoľko rôznych aspektov, pokiaľ ide o softvérových nástrojov, ktoré môžete použiť, sa zdá, že nejde o softvér na správu zabezpečenia ITIL zabaliť. Na druhej strane existuje nespočetné množstvo ponúk od rôznych vydavateľov softvéru, ktorých cieľom je zaistiť bezpečnosť vašich údajov.

Tiež sme videli, ako majú nástroje SIEM podobný cieľ zachovať bezpečnosť údajov. Z nášho pohľadu je to spoločný cieľ, ktorý z nich robí jeden z najlepších typov nástrojov na správu bezpečnosti IT. Nezabúdajte však, že prax riadenia bezpečnosti ITIL ide omnoho ďalej ako SIEM, a hoci sú dobrým východiskovým bodom, sú iba časťou riešenia, aj keď dôležitého.

Najlepšie ITIL nástroje riadenia bezpečnosti

Keďže sme zistili, že najlepšími nástrojmi riadenia bezpečnosti ITIL boli skutočne nástroje SIEM, hľadali sme na trhu to najlepšie z nich. Našli sme veľké množstvo nástrojov od niektorých z najznámejších organizácií. Všetky nástroje v našom zozname majú všetky hlavné funkcie, ktoré by ste od nástroja na správu zabezpečenia očakávali. Vyberanie toho najlepšieho pre vaše konkrétne potreby je často vecou osobného vkusu. Alebo možno má jeden z nástrojov jedinečnú funkciu, ktorá vás osloví.

SolarWinds je bežný názov vo svete monitorovania sietí. Jeho hlavný produkt s názvom Monitor výkonu siete je jedným z najlepších dostupných monitorovacích nástrojov SNMP. Spoločnosť je známa aj množstvom bezplatných nástrojov, ako je napríklad Pokročilé Kalkulačka podsiete alebo jeho zadarmo SFTP Server.

Pokiaľ ide o SIEM, SolarWindsPonúka Zabezpečenie SolarWinds Manažér udalosti. Predtým volal Správca protokolov a udalostí SolarWinds, nástroj sa najlepšie opíše ako nástroj SIEM základnej úrovne. Je to však jeden z najlepších systémov základnej úrovne na trhu. Tento nástroj má takmer všetko, čo od systému SIEM môžete očakávať. To zahŕňa vynikajúce funkcie správy protokolov a korelácie, ako aj pôsobivý mechanizmus podávania správ.

• SKÚŠKA ZADARMO: SolarWinds Security Event Manager
• Odkaz na stiahnutie: https://www.solarwinds.com/security-event-manager/registration

Tento nástroj sa tiež môže pochváliť vynikajúcimi funkciami reakcie na udalosti, ktoré neponechávajú nič potrebné. Napríklad podrobný systém reakcie v reálnom čase bude aktívne reagovať na každú hrozbu. A keďže je založený skôr na správaní ako na podpise, ste chránení pred neznámymi alebo budúcimi hrozbami a útokmi v noci.

Na vrchole svojej pôsobivej sady funkcií, SolarWinds Security Event ManagerPrístrojová doska je pravdepodobne najlepším prínosom. Vďaka jeho jednoduchému dizajnu nebudete mať problém nájsť cestu okolo nástroja a rýchlo zistiť anomálie. Od približne 4 500 dolárov je tento nástroj viac ako cenovo dostupný. Ak to chcete vyskúšať a zistiť, ako to funguje vo vašom prostredí, a bezplatná plne funkčná 30-dňová skúšobná verzia je k dispozícii na stiahnutie.

2. Splunk Enterprise Security

Splunk Enterprise Security-alebo Splunk ES, ako sa často nazýva - je pravdepodobne jedným z najpopulárnejších systémov SIEM. Je obzvlášť známy svojimi analytickými schopnosťami. Splunk ES monitoruje údaje vášho systému v reálnom čase a hľadá zraniteľné miesta a príznaky abnormálnej alebo škodlivej činnosti.

Okrem skvelého monitorovania je ďalšou z bezpečnostných reakcií Splunk ESSilné obleky. Systém používa to, čo Splunk volá Rámec adaptívnej reakcie (ARF), ktorá sa integruje do vybavenia od viac ako 55 dodávateľov zabezpečenia. ARF vykonávať automatickú reakciu a zrýchliť ručné úlohy. To vám umožní rýchlo získať navrch. Pridajte k tomu jednoduché a prehľadné užívateľské rozhranie a máte víťazné riešenie. Medzi ďalšie zaujímavé vlastnosti patrí honorácie funkcia, ktorá zobrazuje užívateľsky prispôsobiteľné výstrahy a Vyšetrovateľ aktív na označovanie škodlivých aktivít a predchádzanie ďalším problémom.

Splunk ES je skutočne produktom podnikovej triedy, čo znamená, že je dodávaný s cenovkou pre podniky. Informácie o cenách nie sú bohužiaľ ľahko dostupné SplunkWebová stránka. Ak chcete získať cenovú ponuku, musíte sa obrátiť na obchodné oddelenie. Kontaktovanie spoločnosti Splunk vám tiež umožní využiť bezplatnú skúšobnú verziu, ak si chcete produkt vyskúšať.

3. RSA NetWitness

Od roku 2016 NetWitness sa zamerala na produkty podporujúce „Hlboká informovanosť o situácii v reálnom čase v sieti a pohotová reakcia na sieť”. Po získaní spoločnosťou EMC ktoré sa potom zlúčili Dell, nietWitness Značka je teraz súčasťou RSA pobočka spoločnosti. Toto je dobrá správa, pretože RSA je vysoko uznávané meno v oblasti IT bezpečnosti.

RSA NetWitness je ideálny pre organizácie hľadajúce kompletné riešenie sieťovej analýzy. Tento nástroj integruje informácie o vašej organizácii, ktoré používa na určenie priority upozornení. Podľa RSA, systém "zhromažďuje údaje na viacerých miestach snímania, počítačových platformách a zdrojoch informácií o hrozbách ako iné riešenia SIEM”. Tento nástroj obsahuje aj pokročilú detekciu hrozieb, ktorá kombinuje analýzu správania, techniky vedy o údajoch a inteligenciu hrozieb. A nakoniec, pokročilý systém odpovedí sa môže pochváliť funkciami orchestrácie a automatizácie, ktoré vám pomôžu zbaviť sa hrozieb skôr, ako ovplyvnia vaše podnikanie.

Jednou z hlavných nevýhod RSA NetWitness podľa jeho komunity používateľov je to, že nie je najjednoduchšie nastaviť a používať. K dispozícii je však komplexná dokumentácia, ktorá vám môže pomôcť s nastavením a používaním produktu. Toto je ďalší produkt podnikovej triedy a ako je tomu často, budete musieť kontaktovať informácie o predaji, aby ste získali informácie o cenách.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomáha pri identifikácii a určovaní priorít bezpečnostných hrozieb, organizovaní a sledovaní činností v oblasti reakcie na incidenty a pri zjednodušovaní auditov a činností súvisiacich s dodržiavaním predpisov. Predával sa v rámci USA HP značka, ale ArcSight sa teraz zlúčilo Micro Focus, ďalší HP dcérskou spoločnosťou.

Keďže tu boli už viac ako pätnásť rokov, ArcSight Enterprise Security Manager je ďalší nesmierne populárny nástroj SIEM. Zostavuje údaje denníka z rôznych zdrojov a vykonáva rozsiahlu analýzu údajov a hľadá príznaky škodlivej činnosti. Aby ste mohli rýchlo identifikovať hrozby, nástroj umožňuje zobraziť výsledky analýzy v reálnom čase.

Pokiaľ ide o vlastnosti produktu, nenecháva nič na želanie. Má výkonnú distribuovanú koreláciu údajov v reálnom čase, automatizáciu pracovných postupov, organizáciu zabezpečenia a obsah zabezpečenia riadený komunitou. ArcSight Enterprise Security Manager integruje sa aj s ostatnými ArcSight výrobky ako Dátová platforma ArcSight a sprostredkovateľ udalostí alebo ArcSight Investigate. Toto je ďalší produkt podnikovej triedy a preto informácie o cenách nie sú ľahko dostupné. Vyžaduje si to, aby ste sa obrátili na ArcSight predajný tím získa prispôsobenú ponuku.

5. McAfee Enterprise Security Manager

McAfee je určite ďalším menom domácnosti v bezpečnostnom priemysle. Je však známejší vďaka svojej rade produktov na ochranu pred vírusmi. Na rozdiel od iných produktov v tomto zozname McAfee podnik SEZPEČNOSŤ MANAGER nie je to len softvér, je to zariadenie, ktoré môžete získať buď ako kus hardvéru, alebo vo virtuálnej podobe.

Pokiaľ ide o analytické schopnosti, McAfee Enterprise Security Manager je mnohými považovaný za jeden z najlepších nástrojov SIEM. Systém zhromažďuje protokoly na širokom spektre zariadení a jeho normalizačné schopnosti sú na špičkovej úrovni. Korelačný modul ľahko zostavuje rôzne zdroje údajov, čo uľahčuje zisťovanie bezpečnostných udalostí pri ich výskyte.

Ale pravda, je toho viac McAfee riešenie, než len jeho Enterprise Security Manager. Na získanie kompletného riešenia SIEM potrebujete tiež Enterprise Log Manager a Prijímač udalostí. Našťastie môžu byť všetky výrobky balené do jedného zariadenia. A pre tých z vás, ktorí si budú chcieť vyskúšať produkt skôr, ako si ho kúpite, je k dispozícii bezplatná skúšobná verzia.

6. IBM QRadar

IBM je nepochybne jedným z najznámejších mien v IT priemysle. Nie je žiadnym prekvapením, že sa spoločnosti podarilo vytvoriť svoje riešenie SIEM, IBM QRadar ako jeden z najlepších produktov na trhu. Tento nástroj umožňuje analytikom v oblasti bezpečnosti zisťovať anomálie, odhaľovať pokročilé hrozby a odstraňovať falošné poplachy v reálnom čase.

IBM QRadar sa môže pochváliť balíkom funkcií správy protokolov, zhromažďovania údajov, analytiky a detekcie narušenia. Spoločne pomáhajú udržiavať sieťovú infraštruktúru v prevádzke. Existuje tiež analytika modelovania rizika, ktorá môže simulovať potenciálne útoky.

Niektorí z IBM QRadarMedzi kľúčové vlastnosti patrí schopnosť nasadenia riešenia v priestoroch alebo v cloudovom prostredí. Je to modulárne riešenie a podľa potreby je možné rýchlo a lacno pridať viac úložného alebo spracovateľského výkonu. Systém využíva spravodajské odborné znalosti od spoločnosti IBM X-Force a hladko sa integruje so stovkami IBM a nieIBM Produkty.

IBM bytosť IBMMôžete však očakávať, že za svoje riešenie SIEM zaplatíte prémiovú cenu. Ak však potrebujete jeden z najlepších nástrojov spoločnosti SIEM na trhu a nástroj podporovaný solídnou organizáciou, IBM QRadar môže sa veľmi dobre oplatiť investovať.