Сигурност

Информационното претоварване застрашава сигурността

CIO Media

Екипите, които следят сигурността в компаниите, често се хвалят колко много информация събират всеки ден или колко системи за сторидж си купуват.  Понякога обаче по-малкото количество данни води до по-добри резултати.

В миналото повечето организации не събираха лог информация. В резултат на това те бяха хаквани и дълго време дори не успяваха да разберат за пробивите в своята сигурност. Ако съответните данни бяха събирани, то много от кибератаките можеха да бъдат предотвратени или поне техния ефект да бъде намален.

Поради тази причина повечето регулаторни изисквания налагат да се пазят и анализират всички лог файлове. За съжаление, компаниите преминаха от една крайност, в която не събираха никаква информация, към друга – да съхраняват абсолютно всичко, което могат. В крайна сметка вече те събират толкова много данни, че забавят работата на мрежите си и им се налага да купят дори по-големи системи за съхранение. Днес често се случва данните за пробиви в защитите да бъдат изгубени в хаоса на милиарди или трилиони съобщения за събития.

Анализирайте само това, което трябва да бъде анализирано

Не всяка лог информация трябва да бъде събрана и анализирана. Компаниите трябва да анализират единствено онези съобщения, които всъщност могат да са индикация за пробив в сигурността. Ако едно съобщение алармира за проблем, а екипът в компанията не може да потвърди това, то съответните данни не трябва да се съхраняват.

Например, всеки компютър с Microsoft Windows е пълен с лог съобщения, които посочват нормални, ежедневни събития като обновяване на часа. Разбира се, това може да е знак за наличие на хакерска атака. Проблемът е, че всеки компютър с Windows има десетки подобни събития всеки ден и повече всъщност не са опит за пробив на защитите.

Повечето центрове за компютърна сигурност събират тези събития, заедно с десетки хиляди други, които не са свързани със зловреден софтуер. Всеки ден те натрупват още повече съобщения, които е „възможно“ да са индикация за пробив в сигурността. Крайният резултат е милиарди подобни файлове, които са групирани и трябва да бъдат разследвани.


Информационното претоварване застрашава сигурността

© CIO Media, Cio.bg

Истинските хакерски атаки

Специалистите съветват да се събира информация и да се алармира само за лог съобщения, които могат да доведат до незабавен отговор. Останалите милиарди събития, които няма да доведат до незабавен отговор, трябва да бъдат оставени. Мерките изискват устройствата да генерират голямо количество данни. Специалистите съветват обаче избирателно да се посочва кои от тях да продължат нататък в системата и да бъдат подложени на допълнителен анализ.

Изберете правилния SIEM доставчики

Повечето компании купуват SIEM (Управление на събитията и информационна сигурност) продукти и услуги, които вместо тях събират и анализират данните. Най-добрите SIEM доставчици разбират, че по-лесно се работи с по-малко информация, отколкото с повече.

Данните, необходими за управлението сигурността на една модерна фирмена инфраструктура, трябва да бъдат свързани, оценени, анализирани, разследвани, приоритизирани и поправени достатъчно бързо, за да се защитят операциите. Единственият начин да се извлече полза от цялата информация е като фокусът се насочи върху няколко специфични случая, които са наистина важни.

Затова компаниите трябва да избират SIEM доставчици, които вместо да се хвалят колко много събития събират на ден, да кажат колко успешни са при откриването пробиви в сигурността на фона на количеството трафик. Няма значение обема на данните, тъй като всъщност по-важна е точността.


X