6 најбољих алата за управљање сигурношћу ИТИЛ-а у 2020. години

ИТИЛ је релативно раширен и врло темељит оквир за управљање ИТ услугама. Поријеклом из Велике Британије и осмишљен да служи и влади и приватним предузећима, представља скуп високо структурираних процеса, препорука и пракси. Подељен је у неколико специфичних области при чему управљање сигурношћу није ништа више од једног од многих његових аспеката. Али пошто је безбедност тако важна тема - посебно када се узме у обзир модерна сцена претњи и како су организације непрестано на мети бескрупулозних хакера - одлучили смо да погледамо неке од најбољих ИТИЛ менаџмента безбедности оруђе.

Започет ћемо тако што ћемо детаљније објаснити шта ИТИЛ ради пре него што пређемо на одређену област управљања сигурношћу ИТИЛ-а. Затим ћемо представити концепт безбедносних информација и управљања догађајима, описати од чега се састоји и објаснити како се може односити на управљање сигурношћу ИТИЛ-а. На крају ћемо доћи до занимљивог дела и представити кратки преглед неких од најбољих ИТИЛ алата за управљање сигурношћу, описујући најбоље функције и функционалност сваког алата.

ИТИЛ у дуљини

ИТИЛ, који је некада био библиотека за инфраструктуру информационих технологија, започео је још 80-их као напор Централног рачунара и владе Велике Британије и Агенција за телекомуникације (ЦЦТА) да развије низ препорука и стандардних пракси управљања ИТ услугама у влади и приватном сектору добро. Настала је као збирка књига, од којих је свака покривала одређену праксу у управљању ИТ услугама, и изграђена је на основу процесног погледа на контролу и управљање операцијама.

Првобитно састављен од преко 30 свезака, касније је нешто поједностављен и услуге су груписане, смањујући број свезака на 5. Још је у сталном развоју и књига Фондације најновије верзије објављена је прошлог фебруара, ИТИЛ групише различите елементе управљања ИТ услугама у праксе, при чему је ИТИЛ Сецурити Манагемент само један од многи.

О ИТИЛ управљању сигурношћу

Што се тиче ИТИЛ процеса управљања сигурношћу, он „описује структурирано прилагођавање сигурности информација у менаџменту организација." У великој се мјери заснива на кодексу праксе за систем управљања сигурношћу информација (ИСМС) који је данас познат као ИСО / ИЕЦ 27001.

Главни циљ управљања сигурношћу је, очигледно, осигурање одговарајуће информационе сигурности. А заузврат, основни циљ информационе сигурности је заштита информационих средстава од ризика, задржавајући на тај начин своју вредност за организацију. Обично се то изражава у смислу обезбеђивања његове поверљивости, интегритета и доступности, али такође са сродним својствима или циљевима као што су аутентичност, одговорност, непотуђивање и поузданост.

Постоје два главна аспекта управљања сигурношћу. Прво и најважније су безбедносни захтеви који би се могли дефинисати у оквиру нивоа услуге споразумима (СЛА) или другим захтевима наведеним у уговорима, законодавству, као и унутрашњим или екстерним политике. Други аспект је једноставно основна сигурност која гарантује континуитет управљања и услуга. То је донекле повезано са првим аспектом јер је потребно постићи поједностављено управљање нивоом услуга ради безбедности информација.

Иако је управљање сигурношћу ИТИЛ-а широк појам, нешто је детаљније описано у контексту софтверских алата. Када говоримо о алатима за управљање сигурношћу, може вам пасти на памет више врста алата. Међутим, чини се да је једна врста занимљивија од осталих: Алатке за сигурносне информације и управљање догађајима (СИЕМ).

Увођење безбедносних информација и управљања догађајима (СИЕМ)

У свом најједноставнијем облику, Сигурносне информације и управљање догађајима су процес управљања безбедносним информацијама и догађајима. Конкретно, систем СИЕМ не пружа никакву стварну заштиту. То се, на пример, разликује од антивирусног софтвера који активно спречава вирусе да заразе заштићене системе. Основна сврха СИЕМ-а је да олакша живот мрежним и безбедносним администраторима. Типични СИЕМ систем једноставно прикупља информације из различитих система - укључујући мрежне уређаје и друге системе за откривање и заштиту. Затим повезује све те информације, састављајући повезане догађаје и на различите начине реагује на смислене догађаје. СИЕМ системи такође укључују неки облик извештавања и, што је још важније, надзорне табле и подсистеме упозоравања.

Шта је у СИЕМ систему

СИЕМ системи се увелике разликују од продавца до продавца. Постоји, међутим, одређени број компоненти које су, чини се, присутне у многим од њих. Неће сви укључити све те компоненте и, када то ураде, могли би функционирати другачије. Погледајмо неке од најважнијих - и најчешћих - компоненти СИЕМ система детаљније.

Прикупљање и управљање дневницима

Прикупљање и управљање дневницима је без сумње најважнија компонента СИЕМ система. Без њега нема СИЕМ-а. Прво што СИЕМ систем мора учинити је набавити податке дневника из различитих извора. Можете је повући - користећи, на пример, локално инсталирани агент - или га различити уређаји и системи могу пребацити на СИЕМ алат.

Будући да сваки систем има свој начин категоризације и евидентирања података, сљедећи задатак алата СИЕМ је да нормализује податке и да их учини уједначеним, без обзира из којег извора долази. Начин на који се тај корак обавља углавном зависи од оригиналног формата примљених података.

Једном када се нормализује, забележени подаци ће се често упоређивати са познатим обрасцима напада у покушају да се злонамјерно понашање препозна што је раније могуће. Подаци се такође могу упоредити са раније прикупљеним подацима и на тај начин помажу у стварању основне линије која ће додатно побољшати откривање ненормалних активности.

Одговор догађаја

Једна је ствар детектирати догађај, али након што се догађај открије, мора се покренути неки поступак реакције. О томе се ради у модулу одговора на догађаје алата СИЕМ. Реакција догађаја може имати различите облике. У својој најосновнијој имплементацији генерише се порука упозорења на контролној табли система. Е-маил или СМС упозорења такође се могу створити као примарни одговор.

Међутим, најбољи СИЕМ системи иду корак даље и они обично могу покренути некакав поступак санације. Опет, то је нешто што може попримити многе облике. Најбољи системи имају комплетан систем радног тока одговора на инцидент који се може прилагодити, пружајући тачно врсту одговора који вам је потребан. Реакција на инцидент не мора бити једнолика и различити догађаји - или различити типови догађаја - могу покренути различите процесе. Врхунски алати СИЕМ могу вам дати потпуну контролу над током рада на инцидент.

Извештавање

Једно је имати прикупљање и управљање евиденцијама и успостављен систем реакција на догађаје, али вам је потребан и други важан елемент: извештавање. Иако то још увек не знате, требат ће вам извјештаји; просто и једноставно. Руководиоци ваше организације ће им требати да се сами увере да се њихово улагање у СИЕМ систем исплати. Али то није све, можда ће вам требати и извештаји у сврхе усаглашености. Придржавање стандарда као што су ПЦИ ДСС, ХИПАА или СОКС је много лакше када ваш СИЕМ систем може да генерише извештаје о усаглашености.

Извештаји можда нису у срцу сваког СИЕМ система али су и даље једна од њихових основних компоненти. Заправо, извештавање је један од главних фактора разликовања конкурентских система. Извештаји су попут бомбона, никада их не можете имати превише. Када процењујете системе, погледајте који су извештаји доступни и како изгледају и имајте на уму да ће вам најбољи системи омогућити да креирате прилагођене извештаје.

Командна табла

Последња важна компонента већине алата СИЕМ је контролна табла. Важно је јер је то ваш увид у статус вашег СИЕМ система и, проширено, у сигурност вашег ИТ окружења. Могли бисмо рећи да су командне табле - са С - једнако као што би могло бити више контролних табла доступних у неким системима. Различити људи имају различите приоритете и интересе и савршена контролна табла за мрежног администратора биће другачија од оне за сигурносног администратора. Исто тако, извршном директору ће бити потребна и другачија контролна табла.

Иако не можемо да проценимо СИЕМ системе само на броју контролних табли које нуде, морате да изаберете онај који има контролну таблу која вам је потребна. Ово је дефинитивно нешто што бисте желели имати на уму током процене добављача. И баш као што је то случај са извештајима, најбољи алати вам омогућавају да направите прилагођене надзорне плоче по вашој жељи.

Коришћење СИЕМ-а као алата за управљање сигурношћу ИТИЛ-а

Без обзира колико сложен концепт управљања сигурношћу може бити у контексту ИТИЛ-а. То заправо сумира један примарни циљ: осигурати сигурност података. И иако цела парадигма управљања ИТ сигурношћу има неколико различитих аспеката, када је о томе реч софтверски алати које можете да користите изгледа да не постоји ИТИЛ софтвер за управљање сигурношћу пакет. С друге стране, безброј је понуда разних издавача софтвера чији је циљ осигурање сигурности ваших података.

Такође смо видели како СИЕМ алати имају сличан циљ очувања сигурности података. По нашем мишљењу, тај заједнички циљ чини их једном од најбољих врста алата за управљање ИТ сигурношћу. Имајте на уму, међутим, да пракса управљања сигурношћу ИТИЛ-а превазилази СИЕМ и, иако су добро полазиште, они су само део решења, иако је важно.

Најбољи алати за управљање сигурношћу ИТИЛ-а

Пошто смо утврдили да су најбољи алати за управљање сигурношћу ИТИЛ-а заиста СИЕМ алати, претражили смо тржиште тражећи најбоље од њих. Пронашли смо велику палету алата неких од најпознатијих организација. Сви алати на нашој листи имају све главне функције које бисте очекивали од алата за управљање сигурношћу. Одабир најбољег за ваше посебне потребе често је питање личног укуса. Или можда један од алата има јединствену особину која вам се свиди.

СоларВиндс је уобичајено име у свету за надгледање мреже. Његов водећи производ, назван Монитор перформанси мреже је један од најбољих СНМП праћења на располагању. Компанија је такође позната по бројним бесплатним алатима попут свог Напредно Субнет Цалцулатор или његово бесплатно СФТП Сервер.

Када је у питању СИЕМ, СоларВиндсПонуда је СоларВиндс Сецурити Евент Манагер. Раније звани СоларВиндс Лог & Евент Манагер, алат се најбоље описује као почетни СИЕМ алат. То је, међутим, један од најбољих почетних система на тржишту. Алат има скоро све што се може очекивати од СИЕМ система. Ово укључује одличне могућности управљања и корелације дневника, као и импресиван механизам извештавања.

• БЕСПЛАТНА РЕКЛАМА: СоларВиндс Сецурити Евент Манагер
• Званична веза за преузимање: https://www.solarwinds.com/security-event-manager/registration

Алат се такође може похвалити одличним карактеристикама реаговања на догађаје који не остављају ништа што желите. На пример, детаљан систем реаговања у реалном времену активно ће реаговати на сваку претњу. А пошто се заснива на понашању, а не на потпису, заштићени сте од непознатих или будућих претњи и напада нула дана.

Поред свог импресивног комплета значајки, СоларВиндс Сецурити Евент МанагерНадзорна табла је вероватно њено најбоље средство. Са својим једноставним дизајном, нећете имати проблема да нађете алат и брзо идентификујете аномалије. Почевши од око $ 500, алат је и више него приступачан. А ако желите да га испробате и видите како то функционише у вашем окружењу, а бесплатна потпуно функционална пробна верзија од 30 дана је доступан за преузимање.

2. Сплунк Ентерприсе Сецурити

Сплунк Ентерприсе СецуритиИли Сплунк ЕС, како се често назива - је вероватно један од најпопуларнијих СИЕМ система. Посебно је познат по својим аналитичким могућностима. Сплунк ЕС прати податке вашег система у реалном времену, тражећи рањивости и знакове ненормалних и / или злонамерних активности.

Поред одличног надгледања, сигурносни одговор је још један од Сплунк ЕСЈака одела. Систем користи оно што Сплунк назива Оквир за прилагодљиви одговор (АРФ) који се интегрише у опрему више од 55 добављача сигурности. Тхе АРФ обављати аутоматизовани одговор, убрзавајући ручне задатке. Ово ће вам омогућити да брзо добијете предност. Додајте том једноставном и необузданом корисничком интерфејсу и имате победничко решење. Остале занимљиве карактеристике укључују Нотаблес функција која приказује упозорења која се могу прилагодити кориснику и Ассет Инвестигатор за означавање злонамерних активности и спречавање даљих проблема.

Сплунк ЕС заиста је производ за предузећа и то значи да долази са ценовном ознаком величине предузећа. Информације о ценама на жалост нису лако доступне СплункВеб страница. Морате да се обратите одељењу продаје да бисте добили цену. Контактирање Сплунк-а такође ће вам омогућити да искористите бесплатну пробну верзију ако желите да испробате производ.

3. РСА НетВитнесс

Од 2016, НетВитнесс фокусирао се на производе који подржавају „дубока, мрежна свесност о ситуацији у реалном времену и окретни мрежни одговор”. Након што га је стекао ЕМЦ која се затим спојила са Делл, тхе НетВитнесс бренд је сада део РСА огранак корпорације. Ово је добра вест јер је РСА веома цењено име у ИТ безбедности.

РСА НетВитнесс идеалан је за организације које траже комплетно решење за мрежну аналитику. Алат интегрише информације о вашој организацији које користи да помогне у одређивању приоритета упозорења. Према РСА, систем "прикупља податке преко више места за хватање, рачунарске платформе и изворе обавештајних података о претњама од осталих СИЕМ решења”. Алат такође садржи напредну детекцију претњи која комбинује анализу понашања, технике науке о подацима и обавештајне податке о претњама. И на крају, напредни систем реаговања има могућности оркестрације и аутоматизације како би вам помогао да се ослободите претњи пре него што утичу на ваше пословање.

Један од главних недостатака РСА НетВитнесс како је извијестила његова заједница корисника је да га није најлакше за постављање и кориштење. На располагању је, међутим, свеобухватна документација која вам може помоћи у подешавању и коришћењу производа. Ово је још један производ за предузећа и, као што је то често случај, мораћете да се обратите продавцима да бисте добили информације о ценама.

4. АрцСигхт Ентерприсе Сецурити Манагер

АрцСигхт Ентерприсе Сецурити Манагер помаже идентификовати и одредити приоритете безбедносних претњи, организовати и пратити активности реаговања на инциденте и поједноставити активности ревизије и поштовања правила. Некада се продавала под ХП марка али АрцСигхт сада је припојено у Мицро Фоцус, други ХП подружница.

Након што је био више од петнаест година, АрцСигхт Ентерприсе Сецурити Манагер је још један од изузетно популарних алата СИЕМ. Прикупља податке дневника из различитих извора и врши обимну анализу података, тражећи знакове злонамјерне активности. Да бисте олакшали брзо препознавање претњи, алат вам омогућава да резултате анализе прегледате у реалном времену.

Што се тиче карактеристика производа, он не оставља ништа најбоље. Има моћну расподељену корелацију података у реалном времену, аутоматизацију радних токова, безбедносну оркестрацију и безбедносни садржај вођен у заједници. Тхе АрцСигхт Ентерприсе Сецурити Манагер се такође интегрише са осталим АрцСигхт производи као што су АрцСигхт платформа података и Евент Брокер или АрцСигхт Инвестигате. Ово је још један производ за предузећа и такав податак о ценама није лако доступан. Захтеваће да контактирате контакт АрцСигхт продајни тим да бисте добили прилагођену цену.

5. Менаџер МцАфее Ентерприсе Сецурити-а

МцАфее је дефинитивно још једно име домаћинства у безбедносној индустрији. Међутим, познатија је по линији производа за заштиту од вируса. За разлику од других производа на овој листи, МцАфее Ентерприсе Ссигурност Манагер није само софтвер, то је уређај који можете добити било као део хардвера или у виртуелном облику.

У погледу својих аналитичких могућности Менаџер МцАфее Ентерприсе Сецурити-а многи сматрају једним од најбољих алата СИЕМ-а. Систем прикупља евиденције на широком распону уређаја, а његове могућности нормализације нису друге. Корелацијски механизам лако саставља различите изворе података, што олакшава откривање сигурносних догађаја како се догађају.

Али да будемо истинити, има тога више МцАфее решење него само његово Ентерприсе Сецурити Манагер. Да бисте добили комплетно СИЕМ решење такође вам је потребно Ентерприсе Лог Манагер и Рецеивер за догађаје. Срећом, сви производи се могу упаковати у један апарат. За оне од вас који ће можда желети испробати производ пре него што га купите, на располагању је бесплатна пробна верзија.

6. ИБМ КРадар

ИБМ је без сумње једно од најпознатијих имена у ИТ индустрији. Није изненађење што је компанија успела да успостави своје решење за СИЕМ, ИБМ КРадар као један од најбољих производа на тржишту. Алат омогућава аналитичарима безбедности да открију аномалије, открију напредне претње и уклоне лажне позитивне податке у реалном времену.

ИБМ КРадар поседује пакет управљања логом, сакупљањем података, аналитиком и функцијама за откривање упада. Заједно помажу у одржавању и раду мрежне инфраструктуре. Постоји и аналитика за моделирање ризика која може симулирати потенцијалне нападе.

Неки од ИБМ КРадарКључне карактеристике укључују могућност примене решења у локалном окружењу или у облаку. То је модуларно решење и може се брзо и јефтино додати више снаге за складиштење или обраду како расту њихове потребе. Систем користи обавештајну експертизу из ИБМ Кс-Форце и интегрише се са стотинама ИБМ и не-ИБМ производи.

ИБМ биће ИБМипак, можете очекивати да платите премијску цену за његово СИЕМ решење. Али ако вам треба један од најбољих СИЕМ алата на тржишту и алат који има чврста организација, ИБМ КРадар можда заиста вреди улагања.