Deși există pe piață de mai bine de un deceniu, mulți consideră soluțiile SIEM drept apanajul exclusiv al companiilor mari. Microsoft a schimbat însă radical percepția în piață prin lansarea Azure Sentinel, o soluție SIEM livrată ca serviciu, care se remarcă prin accesibilitate și performanță.
În ultimii ani, depistarea, blocarea și eliminarea amenințărilor informatice a devenit tot mai dificilă. Pe de o parte, din cauza creșterii volumului și a diversității acestora. Pe de altă parte, din cauza eterogenității și complexității sistemelor de securitate, precum și a extinderii suprafeței de atac prin adopția serviciilor Cloud și a lucrului la distanță.
În aceste condiții, departamentele IT trebuie să monitorizeze permanent minimum 5-6 soluții de securitate, provenind de la cel puțin 2-3 vendori diferiți. (În 2017, conform Cisco 2017 Annual Cybersecurity Report 65% dintre companii foloseau mai mult de cinci produse de securitate diferite, iar 55% utilizau soluții de la cel puțin șase vendori).
Diversitatea e utilă și necesară – cel puțin din perspectiva complementarității măsurilor de protecție –, însă duce inevitabil la eterogenitate. Iar când aceasta depășește un anumit nivel, companiile se confruntă cu probleme în deosebirea evenimentelor reale de securitate de alertele false pozitive, precum și în blocarea și eliminarea amenințărilor în timp util.
Nu însă dacă folosesc și soluții de Security Information & Event Management (SIEM), care sunt special concepute pentru a asigura analiza și corelarea datelor despre incidentele de securitate și aplicarea coordonată a măsurilor de remediere. Preferabil însă una de ultima generație – precum Azure Sentinel –, pentru că nu toate sistemele SIEM sunt egale între ele.
De la concept la o piață de miliarde de euro…
… nu a trecut foarte mult.
Termenul SIEM a fost consemnat oficial în 2005, fiind creația analiștilor Gartner Mark Nicolett și Amrit Williams care au prezentat în white paper-ul „Improve IT Security With Vulnerability Management“ avantajele integrării și utilizării împreună a două tipuri de sisteme de protecție:
- Security Information Management (SIM) – prima generație de aplicații de securitate care utilizează colectarea, stocarea și analiza log-urilor pentru a depista potențialele riscuri;
- Security Event Management (SEM) – a doua generație de aplicații de securitate care agregă și corelează informațiile de securitate primite de la diverse soluții de securitate.
În 15 ani, SIEM ajuns să reprezinte o piață de peste 3,4 miliarde de euro și care va atinge în 2025 o valoare de 4,5 miliarde (conform MarketsandMarkets).
În prezent, platformele SIEM tradiționale oferă o serie de funcționalități standard:
- Agregă date provenind nu doar de la alte soluții de securitate, ci și de la echipamentele de rețea, servere, baze de date și aplicații;
- Integrează fluxuri de „Threat intelligence“, care livrează informații actualizate despre vulnerabilități, modele de atac etc.;
- Corelează automat informațiile furnizate de soluțiile de securitate și datele provenind din alte surse;
- Folosesc modele statistice de analiză pentru a identifica anomaliile utilizând datele istorice stocate;
- Emit automat alerte atunci când depistează un potențial factor de risc și permit vizualizarea datelor prin intermediul dashboard-urilor, simplificând identificarea tiparelor de atac și a evoluțiilor;
- Asigură colectarea automată a datelor de conformitate, generând rapoarte care simplifica procesele de auditare și respectarea cerințelor unor standarde precum GDPR, PCI/DSS, HITECH, SOX sau HIPAA;
- Cresc eficiența măsurilor de răspuns prin integrarea cu alte soluții de securitate și posibilitatea definirii de măsuri automate de blocare, atenuare și/sau eliminare a amenințărilor.
Ce inovaţii integrează generaţia SIEM actuală
SIEM este în prezent o tehnologie matură, care evoluează continuu. Cele mai noi și importante îmbunătățiri aduse în ultimii ani sunt funcționalitățile de tipul:
- User Event Behavioral Analysis (UEBA), care permite platformelor SIEM să treacă de nivelul corelărilor și regulilor și să utilizeze algoritmi Deep Learning pentru a crea și analiza modele de comportament uman. Cu ajutorul acestei funcționalități pot fi fi depistate, de exemplu, amenințările din interiorul organizațiilor sau tentativele de fraudă.
- Security Orchestration and Automation (SOAR) care integrează platforma SIEM cu alte sisteme de management și securitate din infrastructura companiei pentru automatizarea măsurilor de răspuns la incidente. Utilizând SOAR, o soluție SIEM poate, de exemplu, să depisteze un atac ransomware și să izoleze automat sistemele compromise, înainte ca datele să fie criptate și amenințarea să se propage în interiorul organizației.
Azure Sentinel este unul dintre cei mai recenți concurenți intrați pe piață SIEM. Deși a fost lansată în urmă cu doar doi ani soluția Microsoft a reușit să se impună pe piață prin faptul că elimină din start o serie din limitările soluțiilor SIEM tradiționale.
Astfel, unul din principalele plusuri cu care vine Azure Sentinel este accesibilitatea – soluția este livrată că serviciu Cloud, ceea ce permite utilizarea ei de către orice companie. Sistemul de tarifare utilizat de Microsoft este flexibil, permite utilizarea serviciului atât în modelul „Capacity Reservations“ (în care se poate alege o capacitate standard de date analizate, beneficiind de discont-uri de 50-60%), cât și în modelul „Pay-As-You-Go“ (în care taxarea se face per GB de date analizate în Sentinel și stocate în Azure Monitor Log Analytics).
Un alt avantaj competitiv propriu este compatibilitatea extinsă, serviciul Azure permițând integrarea facilă cu mai multe soluții de securitate, networking și sisteme de operare rulate on-premises, dar și cu servicii livrate de alți furnizori Cloud. Este un avantaj major față de alți producători de soluții SIEM care avansează cu pași mici către monitorizarea și controlul mediilor multi-Cloud.
Nu în ultimul rând, tehnologiile avansate de Machine Learning și AI integrate, precum și modelele de răspuns automate și alertele predefinite fac din Sentinel una din cele mai competitive și accesibile oferte disponibile pe piață la momentul actual, ale cărui beneficii le vom detalia într-o postare viitoare.
Până atunci însă, dacă doriți mai multe detalii despre avantajele competitive ale Azure Sentinel, specialiștii Dendrio vă stau la dispoziție.