6 أفضل أدوات إدارة أمان ITIL في عام 2021

ITIL هو إطار واسع الانتشار وشامل نسبيًا لإدارة خدمات تكنولوجيا المعلومات. أصله من المملكة المتحدة ومصمم لخدمة كل من الحكومة والشركات الخاصة ، فهو عبارة عن مجموعة من العمليات والتوصيات والممارسات عالية الهياكل. يتم تقسيمها إلى عدة مجالات محددة مع كون إدارة الأمن ليست أكثر من جانب من جوانب عديدة منها. ولكن نظرًا لأن الأمن يعد موضوعًا مهمًا - خاصة عند النظر في مشهد التهديد الحديث وكيف يتم استهداف المؤسسات باستمرار من قبل قراصنة عديمي الضمير - فقد قررنا إلقاء نظرة على بعض من أفضل أدوات إدارة أمان ITIL.

سنبدأ من خلال شرح بمزيد من التفاصيل ما هو ITIL قبل الانتقال إلى منطقة معينة من إدارة أمن ITIL. بعد ذلك ، سوف نقدم مفهوم المعلومات الأمنية وإدارة الأحداث ، ووصف ما تتكون منه ، وشرح كيف يمكن أن يرتبط بإدارة أمان ITIL. سنصل أخيرًا إلى الجزء المثير للاهتمام ونقدم مراجعة سريعة لبعض أفضل أدوات إدارة أمان ITIL ، مع وصف أفضل ميزات ووظائف كل أداة.

ITIL باختصار

بدأت مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL) ، التي كانت تستخدم لمكتبة البنية التحتية لتكنولوجيا المعلومات ، طريق العودة في الثمانينيات كجهد من وكالة الكمبيوتر والاتصالات المركزية التابعة لحكومة المملكة المتحدة (CCTA) لتطوير مجموعة من التوصيات والممارسات القياسية لإدارة خدمات تكنولوجيا المعلومات في الحكومة و القطاع الخاص كذلك. نشأت كمجموعة من الكتب ، كل منها يغطي ممارسة معينة داخل إدارة خدمات تكنولوجيا المعلومات وتم بناؤه حول عرض قائم على نموذج العملية للتحكم في العمليات وإدارتها.

تتألف في البداية من أكثر من 30 مجلداً ، وتم تبسيطها إلى حد ما فيما بعد وتم تجميع الخدمات ، مما أدى إلى تقليل عدد المجلدات إلى 5. ولا يزال في تطور مستمر وتم نشر أحدث إصدار من كتاب التأسيس في فبراير الماضي ، حيث تضم مجموعة ITIL عناصر مختلفة من إدارة خدمات تكنولوجيا المعلومات في الممارسات ، مع كون إدارة أمان ITIL مجرد واحدة من العديد.

حول إدارة أمن ITIL

أما بالنسبة لعملية ITIL لإدارة الأمن ، فهي "تصف التركيب المنظم لأمن المعلومات في منظمة الإدارة." يعتمد إلى حد كبير على كود الممارسة لنظام إدارة أمن المعلومات (ISMS) المعروف الآن باسم ISO / IEC 27001.

من الواضح أن الهدف الرئيسي لإدارة الأمن هو ضمان أمن المعلومات الكافي. وفي المقابل ، فإن الهدف الأساسي لأمن المعلومات هو حماية أصول المعلومات من المخاطر ، وبالتالي الحفاظ على قيمتها للمؤسسة. عادة ، يتم التعبير عن ذلك من حيث ضمان سريته وسلامته وتوافره ، ولكن أيضًا مع الخصائص أو الأهداف ذات الصلة مثل الموثوقية والمساءلة وعدم التنصل والموثوقية.

هناك جانبان أساسيان لإدارة الأمن. أولاً وقبل كل شيء المتطلبات الأمنية التي يمكن تحديدها إما ضمن اتفاقيات مستوى الخدمة (SLA) أو المتطلبات الأخرى المحددة في العقود والتشريعات وكذلك السياسات الداخلية أو الخارجية. الجانب الثاني منه هو ببساطة الأمان الأساسي الذي يضمن استمرارية الإدارة والخدمة. إنه مرتبط إلى حد ما بالجانب الأول لأنه ضروري لتحقيق إدارة مبسطة على مستوى الخدمة لأمن المعلومات.

في حين أن إدارة أمن ITIL هي مفهوم واسع ، إلا أنها مقيدة إلى حد ما في سياق أدوات البرمجيات. عند الحديث عن أدوات إدارة الأمان ، يمكن أن تتبادر إلى الذهن عدة أنواع من الأدوات. ومع ذلك ، يبدو أن أحد الأنواع أكثر إثارة للاهتمام من الأنواع الأخرى: أدوات المعلومات الأمنية وإدارة الأحداث (SIEM).

تقديم معلومات الأمان وإدارة الأحداث (SIEM)

في أبسط أشكالها ، تعتبر المعلومات الأمنية وإدارة الأحداث هي عملية إدارة المعلومات والأحداث الأمنية. بشكل ملموس ، لا يوفر نظام SIEM أي حماية حقيقية. هذا يختلف ، على سبيل المثال ، عن برامج مكافحة الفيروسات التي تمنع الفيروسات بنشاط من إصابة الأنظمة المحمية. الغرض الأساسي من SIEM هو تسهيل حياة مسؤولي الشبكة والأمن. يقوم نظام SIEM النموذجي بجمع المعلومات ببساطة من أنظمة مختلفة - بما في ذلك أجهزة الشبكة وأنظمة الكشف والحماية الأخرى. ثم يربط كل هذه المعلومات ، ويجمع الأحداث ذات الصلة ، ويتفاعل مع الأحداث ذات المغزى بطرق مختلفة. تتضمن أنظمة SIEM أيضًا شكلاً من أشكال التقارير ، والأهم من ذلك ، لوحات المعلومات وأنظمة التنبيه الفرعية.

ماذا يوجد في نظام SIEM

تختلف أنظمة SIEM بشكل كبير من بائع لآخر. ومع ذلك ، هناك عدد معين من المكونات التي يبدو أنها موجودة في العديد منها. لن تشتمل جميعها على كل هذه المكونات ، وعندما تفعل ذلك ، يمكن أن تعمل بشكل مختلف. دعنا نراجع بعضًا من أهم - والأكثر شيوعًا - مكونات أنظمة SIEM بمزيد من التفصيل.

جمع السجلات وإدارتها

يعد جمع السجلات وإدارتها بلا شك أهم عنصر في نظام SIEM. بدونها ، لا يوجد SIEM. أول شيء يجب على نظام SIEM القيام به هو الحصول على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكنه إما سحبه - باستخدام ، على سبيل المثال ، عامل مثبت محليًا - أو يمكن للأجهزة والأنظمة المختلفة دفعه إلى أداة SIEM.

نظرًا لأن كل نظام له طريقته الخاصة في تصنيف البيانات وتسجيلها ، فإن المهمة التالية لأداة SIEM هي تطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها. تختلف طريقة تنفيذ هذه الخطوة بشكل أساسي وفقًا للتنسيق الأصلي للبيانات المستلمة.

بمجرد أن يتم تطبيعها ، غالبًا ما تتم مقارنة البيانات المسجلة مع أنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. يمكن أيضًا مقارنة البيانات بالبيانات التي تم جمعها مسبقًا ، وبالتالي المساعدة في بناء خط أساس من شأنه تعزيز اكتشاف النشاط غير الطبيعي.

استجابة الحدث

يعد اكتشاف الحدث أمرًا واحدًا ، ولكن بمجرد اكتشاف حدث ما ، يجب بدء بعض عمليات الاستجابة. هذا ما تدور حوله وحدة الاستجابة للحدث في أداة SIEM. يمكن أن تتخذ استجابة الحدث عدة أشكال. في أبسط تطبيق له ، سيتم إنشاء رسالة تنبيه على لوحة معلومات النظام. يمكن أيضًا إنشاء تنبيهات البريد الإلكتروني أو الرسائل القصيرة كاستجابة أولية.

ومع ذلك ، فإن أفضل أنظمة SIEM تذهب إلى أبعد من ذلك ويمكنها عادةً بدء نوع من العمليات العلاجية. مرة أخرى ، هذا شيء يمكن أن يتخذ عدة أشكال. تحتوي أفضل الأنظمة على نظام سير عمل كامل للاستجابة للحوادث يمكن تخصيصه ، مما يوفر نوع الاستجابة التي تحتاجها بالضبط. لا يجب أن تكون الاستجابة للحادث موحدة ويمكن أن تؤدي الأحداث المختلفة - أو أنواع الأحداث المختلفة - إلى عمليات مختلفة. يمكن أن تمنحك أدوات SIEM العليا تحكمًا كاملاً في سير عمل الاستجابة للحوادث.

الإبلاغ

يعد جمع السجلات وإدارتها أمرًا واحدًا وأن يكون لديك نظام استجابة للأحداث ، ولكنك تحتاج أيضًا إلى عنصر مهم آخر: إعداد التقارير. على الرغم من أنك قد لا تعرف ذلك حتى الآن ، فستحتاج إلى تقارير ؛ واضح وبسيط. سيحتاج المسؤولون التنفيذيون في مؤسستك إلى أن يروا بأنفسهم أن استثمارهم في نظام إدارة معلومات الاستثمار يؤتي ثماره. ولكن هذا ليس كل شيء ، فقد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يكون الامتثال لمعايير مثل PCI DSS أو HIPAA أو SOX أسهل كثيرًا عندما يتمكن نظام SIEM الخاص بك من إنشاء تقارير المطابقة.

قد لا تكون التقارير في صميم كل نظام SIEM لكنها لا تزال أحد مكوناتها الأساسية. في الواقع ، يعد إعداد التقارير أحد العوامل الرئيسية التي تميز الأنظمة المتنافسة. التقارير مثل الحلوى ، لا يمكن أن يكون لديك الكثير منها. عند تقييم الأنظمة ، انظر إلى التقارير المتاحة وكيف تبدو وتذكر أن أفضل الأنظمة ستتيح لك إنشاء تقارير مخصصة.

لوحة القيادة

آخر عنصر مهم في معظم أدوات SIEM هو لوحة القيادة. إنه مهم لأنه نافذتك إلى حالة نظام SIEM الخاص بك ، وبالتالي ، في أمان بيئة تكنولوجيا المعلومات لديك. كان من الممكن أن نقول إن لوحات المعلومات - مع S - تمامًا كما يمكن أن تكون هناك لوحات معلومات متعددة متوفرة في بعض الأنظمة. تختلف أولويات واهتمامات الأشخاص المختلفين ، وستكون لوحة المعلومات المثالية لمسؤول الشبكة مختلفة عن تلك الخاصة بمسؤول الأمان. وبالمثل ، سيحتاج المدير التنفيذي إلى لوحة تحكم مختلفة تمامًا أيضًا.

بينما لا يمكننا تقييم أنظمة SIEM فقط من خلال عدد لوحات المعلومات التي تقدمها ، تحتاج إلى اختيار واحد يحتوي على لوحة (لوحات) القيادة التي تحتاجها. هذا بالتأكيد شيء تريد أن تضعه في اعتبارك أثناء تقييم البائعين. ومثلما هو الحال مع التقارير ، تتيح لك أفضل الأدوات إنشاء لوحات معلومات مخصصة حسب رغبتك.

استخدام SIEM كأداة إدارة أمان ITIL

بغض النظر عن مدى تعقيد مفهوم إدارة الأمن يمكن أن يكون في سياق إطار عمل ITIL. إنه يلخص في الواقع هدفًا أساسيًا واحدًا: ضمان أمان البيانات. وعلى الرغم من أن نموذج إدارة أمن تكنولوجيا المعلومات بأكمله له العديد من الجوانب المختلفة ، عندما يتعلق الأمر بأدوات البرامج التي يمكنك استخدامها ، لا يبدو أن هناك حزمة برامج إدارة أمان ITIL. من ناحية أخرى ، هناك عروض لا حصر لها من ناشري برامج مختلفين للأدوات التي تهدف إلى ضمان أمان بياناتك.

لقد رأينا أيضًا كيف أن أدوات SIEM لها هدف مماثل للحفاظ على أمان البيانات. ومن وجهة نظرنا ، فإن هذا الهدف المشترك هو الذي يجعلها واحدة من أفضل أنواع الأدوات لإدارة أمن تكنولوجيا المعلومات. ومع ذلك ، ضع في اعتبارك أن ممارسة إدارة أمان ITIL تتجاوز SIEM ، وعلى الرغم من أنها نقطة انطلاق جيدة ، إلا أنها جزء فقط من الحل ، وإن كان هامًا.

أفضل أدوات إدارة أمان ITIL

منذ أن أثبتنا أن أفضل أدوات إدارة أمان ITIL كانت بالفعل أدوات SIEM ، فقد بحثنا في السوق بحثًا عن أفضلها. وجدنا مجموعة كبيرة ومتنوعة من الأدوات من بعض أفضل المنظمات المعروفة. تحتوي جميع الأدوات الموجودة في قائمتنا على جميع الميزات الرئيسية التي تتوقعها من أداة إدارة الأمان. غالبًا ما يكون اختيار الأفضل لاحتياجاتك الخاصة مسألة ذوق شخصي. أو ربما تتمتع إحدى الأدوات بميزة فريدة تروق لك.

1. مدير حدث أمان SolarWinds (إصدار تجريبي مجاني)

SolarWinds هو اسم شائع في عالم مراقبة الشبكة. يعد منتجها الرئيسي ، المسمى Network Performance Monitor ، أحد أفضل أدوات مراقبة SNMP المتاحة. تشتهر الشركة أيضًا بالعديد من الأدوات المجانية مثل حاسبة الشبكة الفرعية المتقدمة أو خادم SFTP S المجاني .

عندما يتعلق الأمر بـ SIEM ، فإن عرض SolarWinds هو مدير حدث أمان SolarWinds . الأداة التي كانت تُعرف سابقًا باسم SolarWinds Log & Event Manager ، أفضل وصف للأداة هي أنها أداة SIEM للمبتدئين. ومع ذلك ، فهو أحد أفضل أنظمة الدخول في السوق. تحتوي الأداة تقريبًا على كل ما يمكن أن تتوقعه من نظام SIEM. يتضمن ذلك ميزات إدارة السجل والارتباط الممتازة بالإضافة إلى محرك تقارير مثير للإعجاب.

• تجربة مجانية: مدير حدث أمان SolarWinds
• رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

تتميز الأداة أيضًا بميزات استجابة الحدث الممتازة التي لا تترك شيئًا مرغوبًا فيه. على سبيل المثال ، سيتفاعل نظام الاستجابة التفصيلية في الوقت الفعلي بفاعلية مع كل تهديد. ونظرًا لأنه يعتمد على السلوك بدلاً من التوقيع ، فأنت محمي من التهديدات غير المعروفة أو المستقبلية وهجمات الصفر.

علاوة على مجموعة الميزات الرائعة ، من المحتمل أن تكون لوحة معلومات SolarWinds Security Event Manager هي أفضل أصولها. بفضل تصميمه البسيط ، لن تواجه مشكلة في إيجاد طريقك للتغلب على الأداة وتحديد الحالات الشاذة بسرعة. بدءًا من حوالي 4500 دولار ، تكون الأداة أكثر من معقولة. وإذا كنت ترغب في تجربته ومعرفة كيفية عمله في بيئتك ، يتوفر إصدار تجريبي مجاني كامل الوظائف لمدة 30 يومًا للتنزيل.

2. Splunk Enterprise Security

من المحتمل أن يكون Splunk Enterprise Security - أو Splunk ES ، كما يطلق عليه غالبًا - أحد أكثر أنظمة SIEM شيوعًا. تشتهر بشكل خاص بقدراتها التحليلية. تراقب Splunk ES بيانات نظامك في الوقت الفعلي ، وتبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي و / أو الضار.

بالإضافة إلى المراقبة الرائعة ، تعد الاستجابة الأمنية إحدى بدلات Splunk ES القوية. يستخدم النظام ما تسميه Splunk بإطار الاستجابة التكيفية ( ARF ) الذي يتكامل مع المعدات من أكثر من 55 بائعي الأمان. يقوم ARF بإجراء استجابة تلقائية ، مما يؤدي إلى تسريع المهام اليدوية. سيسمح لك هذا بالحصول على اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة وستحصل على حل ناجح. تشمل الميزات الأخرى المثيرة للاهتمام وظيفة Notables التي تعرض تنبيهات قابلة للتخصيص من قبل المستخدم ومحقق الأصول للإبلاغ عن الأنشطة الضارة ومنع المزيد من المشاكل.

يعد Splunk ES حقًا منتجًا على مستوى المؤسسات وهذا يعني أنه يأتي بعلامة سعر بحجم المؤسسة. معلومات التسعير غير متاحة بسهولة للأسف من موقع ويب Splunk . ستحتاج إلى الاتصال بقسم المبيعات للحصول على عرض أسعار. سيسمح لك الاتصال بـ Splunk أيضًا بالاستفادة من الإصدار التجريبي المجاني ، إذا كنت ترغب في تجربة المنتج.

3. RSA NetWitness

منذ عام 2016 ، ركزت NetWitness على المنتجات التي تدعم " الوعي العميق بأوضاع الشبكة في الوقت الفعلي والاستجابة السريعة للشبكة ". بعد أن حصل عليها EMC التي اندمجت بعد ذلك مع ديل ، و ني TW itness العلامة التجارية هي الآن جزء من RSA فرع للشركة. هذه أخبار جيدة لأن RSA هو اسم يحظى باحترام كبير في مجال أمن تكنولوجيا المعلومات.

يعد RSA NetWitness مثاليًا للمؤسسات التي تسعى إلى حل كامل لتحليلات الشبكة. تدمج الأداة معلومات حول مؤسستك والتي تستخدمها للمساعدة في تحديد أولويات التنبيهات. وفقًا لـ RSA ، فإن النظام " يجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديدات أكثر من حلول SIEM الأخرى ". تتميز الأداة أيضًا باكتشاف التهديدات المتقدمة الذي يجمع بين التحليل السلوكي وتقنيات علوم البيانات وذكاء التهديدات. وأخيرًا ، يتميز نظام الاستجابة المتقدم بقدرات التنسيق والأتمتة للمساعدة في التخلص من التهديدات قبل أن تؤثر على عملك.

أحد العوائق الرئيسية لـ RSA NetWitness كما أفاد بها مجتمع المستخدمين هو أنه ليس أسهل في الإعداد والاستخدام. ومع ذلك ، هناك وثائق شاملة متاحة يمكن أن تساعدك في إعداد واستخدام المنتج. هذا منتج آخر على مستوى المؤسسات ، وكما هو الحال غالبًا ، ستحتاج إلى الاتصال بالمبيعات للحصول على معلومات التسعير.

4. برنامج ArcSight Enterprise Security Manager

يساعد ArcSight Enterprise Security Manager في تحديد تهديدات الأمان وتحديد أولوياتها ، وتنظيم أنشطة الاستجابة للحوادث وتتبعها ، وتبسيط أنشطة التدقيق والامتثال. كان يُباع تحت العلامة التجارية HP ولكن تم دمج ArcSight الآن في Micro Focus ، وهي شركة تابعة أخرى لـ HP .

نظرًا لوجوده منذ أكثر من خمسة عشر عامًا ، يعد ArcSight Enterprise Security Manager من أدوات SIEM الشائعة للغاية. يقوم بتجميع بيانات السجل من مصادر مختلفة وإجراء تحليل شامل للبيانات ، بحثًا عن علامات النشاط الضار. لتسهيل التعرف على التهديدات بسرعة ، تتيح لك الأداة عرض نتائج التحليل في الوقت الفعلي.

أما بالنسبة لمميزات المنتج ، فهو لا يترك أي شيء يرغب فيه. لديه ارتباط قوي بالبيانات الموزعة في الوقت الفعلي ، وأتمتة سير العمل ، وتنظيم الأمان ، ومحتوى الأمان الذي يحركه المجتمع. و ArcSight إدارة المؤسسة الأمن يدمج أيضا مع غيرها من ArcSight المنتجات مثل منصة البيانات ArcSight والحدث وسيط أو ArcSight التحقيق . هذا منتج آخر على مستوى المؤسسات وعلى هذا النحو ، فإن معلومات التسعير غير متاحة بسهولة. سيتطلب منك الاتصال بفريق مبيعات ArcSight للحصول على عرض أسعار مخصص.

5. McAfee Enterprise Security Manager

مكافي هو بالتأكيد اسم مألوف آخر في صناعة الأمن. ومع ذلك ، فهي معروفة بشكل أفضل بخط منتجاتها للحماية من الفيروسات. على عكس المنتجات الأخرى في هذه القائمة، مكافي المؤسسة S ecurity M anager ليس مجرد برنامج، بل هو الجهاز الذي يمكنك الحصول إما على شكل قطعة من الأجهزة أو في شكل ظاهري.

من حيث قدراته التحليلية ، يعتبر McAfee Enterprise Security Manager واحدًا من أفضل أدوات SIEM من قبل الكثيرين. يجمع النظام السجلات عبر مجموعة واسعة من الأجهزة وإمكانيات التطبيع الخاصة به لا يعلى عليها. يجمع محرك الارتباط بسهولة مصادر بيانات متباينة ، مما يسهل اكتشاف أحداث الأمان فور حدوثها.

ولكن لكي نكون صادقين ، هناك ما هو أكثر من حل McAfee هذا أكثر من مجرد Enterprise Security Manager . للحصول على حل SIEM كامل ، تحتاج أيضًا إلى Enterprise Log Manager و Event Receiver . لحسن الحظ ، يمكن تعبئة جميع المنتجات في جهاز واحد. وبالنسبة لأولئك الذين قد يرغبون في تجربة المنتج قبل شرائه ، تتوفر نسخة تجريبية مجانية.

6. IBM QRadar

تعد شركة IBM بلا شك واحدة من أشهر الأسماء في صناعة تكنولوجيا المعلومات. ليس من المستغرب إذن أن الشركة تمكنت من إنشاء حل SIEM الخاص بها ، وهو IBM QRadar كأحد أفضل المنتجات في السوق. تعمل الأداة على تمكين محللي الأمن من اكتشاف الحالات الشاذة وكشف التهديدات المتقدمة وإزالة الإيجابيات الزائفة في الوقت الفعلي.

يفتخر IBM QRadar بمجموعة من ميزات إدارة السجلات وجمع البيانات والتحليلات وكشف التطفل. معًا ، يساعدون في الحفاظ على البنية التحتية لشبكتك قيد التشغيل. هناك أيضًا تحليلات نمذجة المخاطر التي يمكنها محاكاة الهجمات المحتملة.

تتضمن بعض الميزات الرئيسية لـ IBM QRadar القدرة على نشر الحل محليًا أو في بيئة سحابية. إنه حل معياري ويمكن للمرء إضافة المزيد من التخزين أو قوة المعالجة بسرعة وبتكلفة زهيدة مع نمو احتياجاتهم. ويستخدم هذا النظام بتقديم الخبرات المخابراتية من IBM X-قوة ويدمج بسهولة مع مئات من IBM وغير IBM المنتجات.

لكون شركة IBM هي IBM ، على الرغم من ذلك ، يمكنك أن تتوقع دفع سعر أعلى مقابل حل SIEM الخاص بها. ولكن إذا كنت بحاجة إلى واحدة من أفضل أدوات SIEM في السوق وأداة مدعومة من قبل مؤسسة قوية ، فقد يكون IBM QRadar يستحق الاستثمار.