Hệ thống quản lý thông tin bảo mật và sự kiện (SIEM) cung cấp phân tích thời gian thực về cảnh báo bảo mật do các ứng dụng và phần cứng mạng tạo ra. Những sản phẩm này cũng được sử dụng để ghi lại dữ liệu bảo mật và tạo báo cáo vì mục đích tuân thủ. Stephen Gailey, Trưởng phòng Kiến trúc Giải pháp tại Exabeam, thảo luận về sự tiến hóa của SIEM từ công nghệ bảo mật cách mạng đến tiêu chuẩn công nghiệp hiện đại. Để hiểu rõ hơn về vị trí của chúng ta...
Ngày 19 tháng 1 năm 2020 Stephen Gailey, Exabeam
Hệ thống quản lý thông tin bảo mật và sự kiện (SIEM) cung cấp phân tích thời gian thực về cảnh báo bảo mật do các ứng dụng và phần cứng mạng tạo ra. Những sản phẩm này cũng được sử dụng để ghi lại dữ liệu bảo mật và tạo báo cáo vì mục đích tuân thủ. Stephen Gailey, Trưởng phòng Kiến trúc Giải pháp tại Exabeam, thảo luận về sự phát triển của SIEM từ công nghệ bảo mật cách mạng sang tiêu chuẩn công nghiệp hiện đại.
Để hiểu rõ vị trí hiện tại của chúng ta với thông tin bảo mật và quản lý sự kiện (SIEM), điều quan trọng là trước tiên phải hiểu chính xác chúng ta đã đến đây như thế nào. Giống như nhiều công nghệ bảo mật hiện đại khác, lịch sử của SIEM không phải là một lịch sử lâu dài. Trên thực tế, các sản phẩm SIEM thương mại đầu tiên được giới thiệu cách đây chưa đầy hai mươi năm, vào khoảng đầu thế kỷ này.
Sự khởi đầu cá nhân của tôi vào SIEM bắt đầu vào khoảng năm 1999, khi tôi và nhóm của mình tại Deutsche Bank cố gắng xây dựng một công cụ giống SIEM của riêng mình từ đầu. Ngay từ năm 2006 đến nay, tôi đã tìm thấy mình ở Barclays Capital với ngân sách phải chi tiêu và chỉ có một số ít nhà cung cấp SIEM để lựa chọn. Ngay cả khi có thông tin hạn chế mà tôi có vào thời điểm đó, tôi vẫn biết đủ để dựa vào khả năng mở rộng quy mô của nền tảng SIEM một cách hiệu quả, điều này vẫn còn quan trọng cho đến ngày nay.
SIEM 1.0 vào khoảng năm 2006 - Một cách tiếp cận mới mang tính cách mạng đối với an ninh
Sự xuất hiện của thế hệ nền tảng SIEM đầu tiên đã báo hiệu một bình minh mới trong ngành công nghiệp bảo mật dữ liệu, lần đầu tiên kết hợp quản lý sự kiện bảo mật với quản lý thông tin bảo mật. Tuy nhiên, những nền tảng SIEM 1.0 đầu tiên này có điểm yếu là chúng chỉ mở rộng theo chiều dọc, điều này nhanh chóng trở thành một yếu tố hạn chế lớn. Khi cần phần cứng lớn hơn và lớn hơn để xử lý yêu cầu ngày càng tăng, cuối cùng nó đã bị ràng buộc bởi I/O, lúc đó việc mở rộng quy mô đã kết thúc.
Tại Barclays Capital, chúng tôi đã thiết kế lại và tái phát triển nền tảng nhiều lần trước khi nhận ra rằng chúng tôi không còn nơi nào khác để đi. Chúng tôi đã đạt được mức triển khai SIEM lớn nhất thế giới vào thời điểm đó với hơn 650 triệu sự kiện mỗi ngày. Mặc dù điều đó giờ đây có vẻ buồn cười, nhưng chúng tôi khá tự hào về điều đó vào thời điểm đó.
Khả năng mở rộng cũng không phải là yếu tố hạn chế duy nhất. Việc lấy dữ liệu vào và ra khỏi SIEM là một thách thức lớn, bảng điều khiển/báo cáo là cơ bản, và cảnh báo có bản chất đơn giản, với rất ít khả năng tương quan nguồn cấp dữ liệu hoặc làm phong phú.
SIEM 2.0 vào khoảng năm 2011 – Một sự cải tiến đáng kể, nhưng vẫn còn thiếu sót
Thế hệ thứ hai của SIEM đã đến đúng lúc. Có lẽ không có gì ngạc nhiên khi sự khác biệt chính so với SIEM 1.0 nằm ở cách nó mở rộng quy mô, loại bỏ cơ sở dữ liệu tập trung và thay vào đó sử dụng dữ liệu lớn để cho phép mở rộng quy mô theo chiều ngang.
Tại Barclays, điều này đã giúp chúng tôi nhanh chóng phá vỡ rào cản nuốt phải trước đó và chúng tôi nhanh chóng thấy mình thoải mái xử lý 2,5 tỷ sự kiện mỗi ngày. Hơn nữa, việc mở rộng theo chiều ngang có nghĩa là chúng ta có thể thêm phần cứng thông số thấp hơn vào hệ thống để mở rộng quy mô mà không giới hạn. Tăng gấp đôi số lượng máy chủ có nghĩa là tăng gấp đôi dữ liệu hoặc gấp đôi hiệu suất. SIEM 2.0 cũng cho phép báo cáo và bảng điều khiển tốt hơn, cũng như khả năng truy vấn dữ liệu lịch sử lần đầu tiên. Với SIEM 1.0, thời gian lưu giữ dữ liệu lâu dài là không liên quan vì công nghệ này không thể truy vấn dữ liệu một cách hiệu quả trong hơn vài tuần. Kiến trúc dữ liệu lớn của
SIEM 2.0 có nghĩa là dữ liệu có thể được truy vấn trong thời gian dài hơn và có phản hồi được trả về trong một khoảng thời gian hợp lý.
Tuy nhiên, nếu khả năng mở rộng là món quà lớn nhất của SIEM 2.0 thì cuối cùng nó đã trở thành lời nguyền lớn nhất. Không phải vì nó không hoạt động, mà chỉ đơn giản là nó đã đẩy vấn đề ra xa hơn trong quá trình vận hành. Trước SIEM, các chuyên gia an ninh về cơ bản không thể nhìn thấy rõ ràng những gì đang xảy ra trong môi trường CNTT của họ. Thế hệ đầu tiên của SIEM đã cho họ tầm nhìn nhưng thế hệ thứ hai lại lấy đi nó bằng cách trình bày nhiều dữ liệu hơn mức họ có thể cần. Nó cũng không đổi mới được các khía cạnh cảnh báo của SIEM, khiến các nhóm phải phụ thuộc vào các cảnh báo được cấu hình sẵn, tốt nhất là chỉ tương quan với một số yếu tố.
SIEM 3.0 (khoảng 2015 – Hiện tại) – Cách mạng thay vì sự tiến hóa
Bước vào thế hệ thứ ba của SIEM, một phiên bản triệt để tập trung vào khả năng vận hành hơn là công nghệ. SIEM 3.0 lần đầu tiên đưa phân tích vào hỗn hợp thông qua ứng dụng học máy.
Điều làm cho SIEM 3.0 khác biệt là bước chuyển từ việc cảnh báo được cấu hình sẵn sang cách tiếp cận dựa trên rủi ro hơn. Cảnh báo vẫn còn giá trị khi bạn tìm kiếm những thông tin đơn giản, đã biết trước nhưng trong quản lý an ninh hiện đại, các đội ngũ cũng có khả năng phải đối mặt với những mối đe dọa không có ngày không xác định. Giám sát bảo mật dựa trên phân tích áp dụng các kỹ thuật thống kê cho số lượng dữ liệu để xây dựng các mô hình hoạt động, vốn là cơ sở cho từng người dùng và thực thể trong môi trường của bạn. Kỹ thuật này được Gartner và các công ty khác gọi là phân tích hành vi người dùng và thực thể (UEBA).
Trong hệ thống UEBA, thời kỳ chuẩn hóa cho phép thiết lập 'hành vi bình thường' trong môi trường. Bất kỳ sự lệch lạc nào trong tương lai so với cơ sở này đều quy trách nhiệm rủi ro cho người dùng và hệ thống, cho phép các nhóm bảo mật tập trung vào rủi ro thực tế thay vì báo động sai.
SIEM 3.0 cũng loại bỏ vấn đề về khả năng mở rộng cuối cùng trong SIEM, phần quy trình vận hành. Dĩ nhiên, điều này đòi hỏi các đội ngũ bảo mật phải thực hiện một bước đi thường khó khăn hơn so với việc thay thế một công nghệ bảo mật - thay đổi một quy trình hoạt động hiện có, nhiều trong số đó đã được gắn liền trong nhiều năm. Sự phản kháng chính trị đối với sự thay đổi có thể khiến bước đi cuối cùng này trở nên khó khăn nhất, nhưng rất ít CISO có thể nhìn về phía trước và nhìn thấy một tương lai tươi sáng nếu họ gắn bó với công nghệ SIEM thế hệ thứ hai.
Ngoài việc các hoạt động bảo mật ít có khả năng phát hiện vi phạm an ninh trước khi chuỗi kill hoàn tất, khi dựa vào công nghệ SIEM dựa trên cảnh báo, thực tế là những đội ngũ hoạt động như vậy ngày càng đầy rẫy những nhà phân tích bảo mật làm việc quá sức và được đào tạo kém, chỉ làm được những việc như việc sa thải giả mạo một cách tích cực. Không có công nghệ nào duy trì được những hoạt động kém hiệu quả và kém hiệu quả như vậy có thể tồn tại lâu dài trong một thế giới mà cả vi phạm và phạt tiền đều ngày càng gia tăng mỗi năm. Ai biết được SIEM 4.0 sẽ mang lại điều gì, nhưng cho đến khi nó xuất hiện, SIEM 3.0 chắc chắn là công nghệ hỗ trợ của một trung tâm vận hành an ninh hiệu quả hiện đại (SOC).
Nguồn tham khảo cybersecurity-magazine
