Han pasado veinte años desde que se lanzó al mercado el primer producto de gestión de registros. SIEM ha experimentado iteraciones continuas, desde la función inicial de gestión simple de registros (SEM-Security Event Management) hasta la incorporación de la función SIM-Security Information Management. Evolucionó gradualmente a SIEM (Gestión de eventos e información de seguridad). Con el uso generalizado de SIEM, los datos que recopila y administra se vuelven cada vez más extensos, y las expectativas al respecto aumentan constantemente. En los últimos años, su rendimiento en tiempo real también se ha convertido en una de las funciones centrales de la promoción y competencia de varios fabricantes.
01Necesidad de tiempo real
SIEM puede recopilar registros de varias fuentes en la red, especialmente registros en tiempo real, como dispositivos de seguridad (firewalls, detección de VPN, software antivirus), sistemas host, dispositivos terminales, dispositivos de red, etc. La recopilación de estos registros en tiempo real puede proporcionar información valiosa en todo el entorno de TI, incluida la visualización de las actividades de la red, pero esta información solo se puede obtener mediante el procesamiento en tiempo real y las medidas de respuesta inmediata, y el análisis de registros se puede integrar directamente en tiempo real. Las actividades de investigación, contención de amenazas y respuesta a incidentes pueden garantizar verdaderamente la seguridad de la empresa u organización. Por el contrario, si no tiene la capacidad de procesar esta información en tiempo real, estos registros en tiempo real no solo se convertirán en un mayor almacenamiento de datos para las investigaciones post mortem, sino que no lograrán la protección de datos y evitarán la fuga de datos. La pregunta es ¿SIEM realmente puede lograr un análisis en tiempo real?
02 Desafíos del análisis en tiempo real
El producto SIEM se originó a partir de la función de recopilación y gestión de registros, y la función de análisis posterior es realizar un análisis fuera de línea de una gran cantidad de datos recopilados, que se utilizan principalmente para la auditoría y la investigación de accidentes, y para cooperar con la investigación manual. Debido a que los datos del registro provienen de diferentes productos, cada registro contiene información relacionada con su producto específico. Todos son subproductos generados para sus propias operaciones y no están especialmente diseñados para las necesidades de SIEM, por lo que la mayoría de ellos Los registros no tienen ningún valor para la seguridad. Para reducir la gran cantidad de falsas alarmas causadas por la "entrada y salida de basura", SIEM normalmente necesita preprocesar o limpiar los grandes datos recopilados, estos procesos hacen del "tiempo real" una brecha insuperable. Por lo tanto, para satisfacer las necesidades de "tiempo real", algunos fabricantes omiten estos enlaces de análisis de correlación necesarios y de preprocesamiento necesarios, y recuperan directamente los registros recopilados y emiten alarmas en tiempo real. Se puede imaginar la tasa de falsas alarmas.
03 ¿Dónde está el camino?
Es una paradoja realizar un análisis significativo en tiempo real basado en big data desordenado y desordenado, que es aún más irreal en el entorno real de empresas o instituciones, porque los recursos informáticos utilizados para el preprocesamiento y la limpieza de datos son imposibles. Es infinito. Aunque los requisitos en tiempo real del personal de operación y mantenimiento de seguridad para el sistema de análisis no se limitan a cientos de milisegundos como los firewalls, al menos deben poder satisfacer las necesidades de respuesta a incidentes en tiempo real. ¿Cómo podemos lograr este tipo de capacidades de análisis SIEM y en tiempo real?
El núcleo de la solución de este problema es obtener metadatos completos, eficientes y limpios en tiempo real para que el sistema de análisis pueda iniciar el análisis de datos necesario de inmediato. Para lograr este objetivo, los datos deben recopilarse de acuerdo con las necesidades del sistema de análisis, es decir, todos los datos son los datos correctos completados para satisfacer las necesidades del sistema de análisis, en lugar de grandes datos desordenados. Es más ideal adelantar una parte de la función de análisis hasta el final de la recopilación de datos y reducir la presión del cálculo centralizado a través de la computación de borde, de modo que el análisis y el cálculo se puedan completar en poco tiempo y se pueda realizar el análisis en tiempo real. Su arquitectura se muestra en la figura siguiente, y los colectores holográficos implementados en cada sucursal tienen en cuenta esta función de computación de borde.
Acerca del control de red holográfica: la tecnología de control de red holográfica integra cuatro tecnologías avanzadas, NG-DLP, UEBA, NG-SIEM y CASB, y combina el aprendizaje automático (inteligencia artificial) para descubrir y reconstruir datos de dispositivos de usuario invisibles en la red en tiempo real "Relación interactiva, lanzamiento de una plataforma de percepción de riesgos de seguridad de la información centrada en el comportamiento de los usuarios, proporcionando un sistema de trazabilidad inteligente sin percepción y puntos ciegos para la gestión de la seguridad de la información empresarial, auditando el pasado de manera eficiente y precisa, monitoreando el presente y previniendo el futuro, mejorando enormemente El personal de operación y mantenimiento de seguridad de TI y el personal de seguridad responden a accidentes, capturan la cadena de evidencia, asumen la responsabilidad y restauran la capacidad y eficiencia de los sistemas de TI.