6 Alat Pengurusan Keselamatan ITIL Terbaik pada 2021

ITIL ialah rangka kerja yang agak meluas dan sangat teliti untuk pengurusan perkhidmatan IT. Berasal dari UK dan direka untuk berkhidmat kepada perniagaan kerajaan dan swasta, ia merupakan satu set proses, pengesyoran dan amalan yang sangat berstruktur. Ia dipisahkan kepada beberapa kawasan khusus dengan pengurusan keselamatan tidak lebih daripada satu daripada banyak aspeknya. Tetapi memandangkan keselamatan adalah topik yang sangat penting—terutama apabila mempertimbangkan adegan ancaman moden dan cara organisasi sentiasa disasarkan oleh penggodam yang tidak bertanggungjawab—kami telah memutuskan untuk melihat beberapa alat pengurusan keselamatan ITIL yang terbaik.

Kami akan bermula dengan menerangkan dengan lebih terperinci apa itu ITIL sebelum beralih ke kawasan khusus pengurusan keselamatan ITIL. Seterusnya, kami akan memperkenalkan konsep Maklumat Keselamatan dan Pengurusan Acara, menerangkan kandungannya dan menerangkan cara ia boleh dikaitkan dengan pengurusan keselamatan ITIL. Kami akhirnya akan sampai ke bahagian yang menarik dan membentangkan ulasan pantas beberapa alat pengurusan keselamatan ITIL terbaik, menerangkan ciri dan fungsi terbaik setiap alat.

ITIL Secara Ringkasnya

ITIL, yang dahulunya bermaksud Perpustakaan Infrastruktur Teknologi Maklumat, bermula sejak tahun 80-an sebagai usaha daripada Agensi Komputer dan Telekomunikasi Pusat (CCTA) Kerajaan UK untuk membangunkan satu set cadangan dan amalan standard untuk pengurusan perkhidmatan IT dalam kerajaan dan sektor swasta juga. Ia berasal sebagai koleksi buku, masing-masing merangkumi amalan khusus dalam pengurusan perkhidmatan IT dan dibina berdasarkan pandangan berasaskan model proses untuk mengawal dan mengurus operasi.

Pada mulanya terdiri daripada lebih 30 jilid, ia kemudiannya dipermudahkan dan perkhidmatan dikumpulkan, mengurangkan bilangan jilid kepada 5. Ia masih dalam evolusi berterusan dan buku Asas versi terkini diterbitkan pada Februari lalu, ITIL mengumpulkan pelbagai elemen pengurusan perkhidmatan IT menjadi amalan, dengan Pengurusan Keselamatan ITIL hanyalah satu daripada banyak.

Mengenai Pengurusan Keselamatan ITIL

Bagi proses ITIL Pengurusan Keselamatan, ia "menghuraikan pemasangan berstruktur keselamatan maklumat dalam organisasi pengurusan." Ia sebahagian besarnya berdasarkan kod amalan untuk sistem pengurusan keselamatan maklumat (ISMS) yang kini dikenali sebagai ISO/IEC 27001.

Matlamat utama pengurusan keselamatan adalah, jelas sekali, untuk memastikan keselamatan maklumat yang mencukupi. Dan seterusnya, matlamat utama keselamatan maklumat adalah untuk melindungi aset maklumat daripada risiko, Dengan itu mengekalkan nilainya kepada organisasi. Biasanya, ini dinyatakan dari segi memastikan kerahsiaan, integriti dan ketersediaannya, tetapi juga dengan sifat atau matlamat yang berkaitan seperti ketulenan, akauntabiliti, bukan penolakan dan kebolehpercayaan.

Terdapat dua aspek utama pengurusan keselamatan. Pertama sekali ialah keperluan keselamatan yang boleh ditakrifkan sama ada dalam perjanjian tahap perkhidmatan (SLA) atau keperluan lain yang dinyatakan dalam kontrak, perundangan serta dasar dalaman atau luaran. Aspek kedua ialah keselamatan asas yang menjamin kesinambungan pengurusan dan perkhidmatan. Ia agak berkaitan dengan aspek pertama kerana ia adalah perlu untuk mencapai pengurusan peringkat perkhidmatan yang dipermudahkan untuk keselamatan maklumat.

Walaupun pengurusan keselamatan ITIL adalah konsep yang luas, ia agak terhad dalam konteks alat perisian. Apabila bercakap tentang alat pengurusan keselamatan, beberapa jenis alat boleh terlintas di fikiran. Walau bagaimanapun, satu jenis kelihatan lebih menarik daripada yang lain: Alat Maklumat Keselamatan dan Pengurusan Acara (SIEM).

Memperkenalkan Maklumat Keselamatan dan Pengurusan Acara (SIEM)

Dalam bentuk yang paling mudah, Maklumat Keselamatan dan Pengurusan Acara ialah proses mengurus maklumat dan acara keselamatan. Secara konkrit, sistem SIEM tidak memberikan sebarang perlindungan sebenar. Ini berbeza, contohnya, daripada perisian anti-virus yang secara aktif menghentikan virus daripada menjangkiti sistem yang dilindungi. Tujuan utama SIEM adalah untuk menjadikan kehidupan pentadbir rangkaian dan keselamatan lebih mudah. Sistem SIEM biasa hanya mengumpul maklumat daripada pelbagai sistem—termasuk peranti rangkaian dan sistem pengesanan dan perlindungan lain. Ia kemudiannya mengaitkan semua maklumat ini, memasang acara berkaitan dan bertindak balas kepada peristiwa bermakna dalam pelbagai cara. Sistem SIEM juga termasuk beberapa bentuk pelaporan dan, yang lebih penting, papan pemuka dan subsistem amaran.

Apa yang ada dalam Sistem SIEM

Sistem SIEM sangat berbeza dari vendor ke vendor. Walau bagaimanapun, terdapat beberapa komponen tertentu yang nampaknya terdapat dalam kebanyakan komponen tersebut. Mereka tidak semua akan memasukkan semua komponen tersebut dan, apabila mereka melakukannya, mereka boleh berfungsi secara berbeza. Mari kita semak beberapa komponen sistem SIEM yang paling penting—dan paling biasa—dengan lebih terperinci.

Pengumpulan Dan Pengurusan Log

Pengumpulan dan pengurusan log tidak diragukan lagi merupakan komponen terpenting dalam sistem SIEM. Tanpanya, tiada SIEM. Perkara pertama yang perlu dilakukan oleh sistem SIEM ialah memperoleh data log daripada pelbagai sumber yang berbeza. Ia boleh sama ada menariknya—menggunakan, contohnya, ejen yang dipasang secara tempatan—atau peranti dan sistem yang berbeza boleh menolaknya ke alat SIEM.

Memandangkan setiap sistem mempunyai cara tersendiri untuk mengkategorikan dan merekod data, tugas seterusnya alat SIEM adalah untuk menormalkan data dan menjadikannya seragam, tidak kira dari mana ia datang. Cara langkah itu dilakukan berbeza terutamanya mengikut format asal data yang diterima.

Sebaik sahaja ia dinormalkan, data yang dilog akan sering dibandingkan dengan corak serangan yang diketahui dalam usaha untuk mengenali tingkah laku berniat jahat seawal mungkin. Data juga boleh dibandingkan dengan data yang dikumpul sebelum ini, dengan itu membantu membina garis dasar yang akan meningkatkan lagi pengesanan aktiviti yang tidak normal.

Sambutan Acara

Ia adalah satu perkara untuk mengesan peristiwa tetapi, setelah peristiwa dikesan, beberapa proses tindak balas mesti dimulakan. Inilah maksud modul tindak balas acara alat SIEM. Sambutan acara boleh mengambil pelbagai bentuk. Dalam pelaksanaannya yang paling asas, mesej amaran akan dijana pada papan pemuka sistem. Makluman e-mel atau SMS juga boleh dijana sebagai respons utama.

Walau bagaimanapun, sistem SIEM terbaik melangkah lebih jauh dan mereka biasanya boleh memulakan beberapa jenis proses pemulihan. Sekali lagi, ini adalah sesuatu yang boleh berlaku dalam pelbagai bentuk. Sistem terbaik mempunyai sistem aliran kerja tindak balas insiden lengkap yang boleh disesuaikan, memberikan jenis respons yang anda perlukan dengan tepat. Tindak balas insiden tidak semestinya seragam dan peristiwa yang berbeza—atau jenis peristiwa yang berbeza—boleh mencetuskan proses yang berbeza. Alat SIEM teratas boleh memberi anda kawalan sepenuhnya ke atas aliran kerja tindak balas insiden.

Pelaporan

Adalah satu perkara untuk mempunyai pengumpulan dan pengurusan log dan untuk menyediakan sistem tindak balas acara, tetapi anda juga memerlukan satu lagi elemen penting: pelaporan. Walaupun anda mungkin belum mengetahuinya, anda memerlukan laporan; jelas dan ringkas. Eksekutif organisasi anda memerlukan mereka untuk melihat sendiri bahawa pelaburan mereka dalam sistem SIEM membuahkan hasil. Tetapi bukan itu sahaja, anda mungkin juga memerlukan laporan untuk tujuan pematuhan. Mematuhi piawaian seperti PCI DSS, HIPAA atau SOX adalah lebih mudah apabila sistem SIEM anda boleh menjana laporan pematuhan.

Laporan mungkin tidak menjadi teras setiap sistem SIEM tetapi ia masih merupakan salah satu komponen pentingnya. Sebenarnya, pelaporan adalah salah satu faktor pembezaan utama antara sistem yang bersaing. Laporan adalah seperti gula-gula, anda tidak boleh mempunyai terlalu banyak. Apabila menilai sistem, lihat laporan yang tersedia dan rupanya dan perlu diingat bahawa sistem terbaik akan membolehkan anda membuat laporan tersuai.

Papan pemuka

Komponen penting terakhir bagi kebanyakan alatan SIEM ialah papan pemuka. Ia adalah penting kerana ia adalah tingkap anda ke dalam status sistem SIEM anda dan, dengan lanjutan, ke dalam keselamatan persekitaran IT anda. Kita boleh mengatakan papan pemuka—dengan S—sama seperti terdapat berbilang papan pemuka tersedia dalam sesetengah sistem. Orang yang berbeza mempunyai keutamaan dan minat yang berbeza dan papan pemuka yang sempurna untuk pentadbir rangkaian akan berbeza daripada pentadbir keselamatan. Begitu juga, seorang eksekutif akan memerlukan papan pemuka yang sama sekali berbeza juga.

Walaupun kami tidak boleh menilai sistem SIEM hanya pada bilangan papan pemuka yang mereka tawarkan, anda perlu memilih satu yang mempunyai papan pemuka yang anda perlukan. Ini sememangnya sesuatu yang anda mahu ingat semasa anda menilai vendor. Dan sama seperti laporan, alatan terbaik membolehkan anda membina papan pemuka tersuai mengikut keinginan anda.

Menggunakan SIEM Sebagai Alat Pengurusan Keselamatan ITIL

Tidak kira betapa rumitnya konsep pengurusan keselamatan dalam konteks rangka kerja ITIL. Ia sebenarnya merumuskan kepada satu matlamat utama: memastikan data selamat. Dan walaupun keseluruhan paradigma pengurusan keselamatan IT mempunyai beberapa aspek yang berbeza, apabila ia berkaitan dengan alatan perisian yang boleh anda gunakan, nampaknya tidak terdapat pakej perisian pengurusan keselamatan ITIL. Sebaliknya, terdapat banyak tawaran daripada pelbagai penerbit perisian alat yang bertujuan untuk memastikan keselamatan data anda.

Kami juga telah melihat bagaimana alat SIEM mempunyai matlamat yang sama untuk memelihara keselamatan data. Pada pandangan kami, matlamat bersama itulah yang menjadikan mereka salah satu jenis alat terbaik untuk pengurusan keselamatan IT. Walau bagaimanapun, perlu diingat bahawa amalan pengurusan keselamatan ITIL melangkaui SIEM dan, walaupun ia adalah titik permulaan yang baik, ia hanya sebahagian daripada penyelesaian, walaupun penting.

Alat Pengurusan Keselamatan ITIL Terbaik

Memandangkan kami telah menetapkan bahawa alat pengurusan keselamatan ITIL yang terbaik sememangnya alatan SIEM, kami telah mencari pasaran mencari yang terbaik daripadanya. Kami menemui pelbagai jenis alatan daripada beberapa organisasi yang paling terkenal. Semua alat dalam senarai kami mempunyai semua ciri utama yang anda harapkan daripada alat pengurusan keselamatan. Memilih yang terbaik untuk keperluan khusus anda selalunya adalah soal citarasa peribadi. Atau mungkin salah satu alat mempunyai ciri unik yang menarik minat anda.

1. Pengurus Acara Keselamatan SolarWinds (PERCUBAAN PERCUMA)

SolarWinds ialah nama biasa dalam dunia pemantauan rangkaian. Produk utamanya, yang dipanggil Monitor Prestasi Rangkaian ialah salah satu alat pemantauan SNMP terbaik yang tersedia. Syarikat itu juga terkenal dengan banyak alat bebas seperti yang Advanced Subnet Kalkulator atau mana- Percuma SFTP S erver .

Mengenai SIEM, tawaran SolarWinds ialah Pengurus Acara Keselamatan SolarWinds . Dahulunya dipanggil SolarWinds Log & Event Manager , alat ini paling baik digambarkan sebagai alat SIEM peringkat permulaan. Walau bagaimanapun, ia adalah salah satu sistem peringkat permulaan terbaik di pasaran. Alat ini mempunyai hampir semua yang anda boleh jangkakan daripada sistem SIEM. Ini termasuk pengurusan log yang sangat baik dan ciri korelasi serta enjin pelaporan yang mengagumkan.

• PERCUBAAN PERCUMA: Pengurus Acara Keselamatan SolarWinds
• Pautan Muat Turun Rasmi: https://www.solarwinds.com/security-event-manager/registration

Alat ini juga mempunyai ciri tindak balas acara yang sangat baik yang tidak meninggalkan apa-apa yang diingini. Sebagai contoh, sistem respons masa nyata yang terperinci akan bertindak balas secara aktif kepada setiap ancaman. Dan kerana ia berdasarkan tingkah laku dan bukannya tandatangan, anda dilindungi daripada ancaman yang tidak diketahui atau akan datang dan serangan sifar hari.

Di samping set ciri yang mengagumkan , papan pemuka Pengurus Acara Keselamatan SolarWinds mungkin merupakan aset terbaiknya. Dengan reka bentuknya yang ringkas, anda tidak akan menghadapi masalah mencari jalan keluar dari alat tersebut dan mengenal pasti anomali dengan cepat. Bermula pada sekitar $4 500, alat ini lebih mampu milik. Dan jika anda ingin mencubanya dan melihat cara ia berfungsi dalam persekitaran anda, versi percubaan 30 hari yang berfungsi sepenuhnya percuma tersedia untuk dimuat turun.

2. Keselamatan Perusahaan Splunk

Splunk Enterprise Security —atau Splunk ES , seperti yang sering dipanggil—mungkin merupakan salah satu sistem SIEM yang paling popular. Ia terkenal terutamanya dengan keupayaan analisisnya. Splunk ES memantau data sistem anda dalam masa nyata, mencari kelemahan dan tanda-tanda aktiviti tidak normal dan/atau berniat jahat.

Selain pemantauan yang hebat, tindak balas keselamatan adalah satu lagi saman kuat Splunk ES . Sistem ini menggunakan apa yang disebut Splunk sebagai Rangka Kerja Respons Adaptif ( ARF ) yang disepadukan dengan peralatan daripada lebih 55 vendor keselamatan. The ARF melaksanakan tindak balas automatik, mempercepatkan tugas-tugas manual. Ini akan membolehkan anda dengan cepat mendapat kelebihan. Tambahkan pada itu antara muka pengguna yang ringkas dan rapi dan anda mempunyai penyelesaian yang menang. Ciri menarik lain termasuk fungsi Notable yang menunjukkan makluman yang boleh disesuaikan pengguna dan Penyiasat Aset untuk membenderakan aktiviti berniat jahat dan mencegah masalah selanjutnya.

Splunk ES benar-benar produk gred perusahaan dan ini bermakna ia disertakan dengan tanda harga bersaiz perusahaan. Maklumat harga malangnya tidak tersedia dari tapak web Splunk . Anda perlu menghubungi bahagian jualan untuk mendapatkan sebut harga. Menghubungi Splunk juga akan membolehkan anda mengambil kesempatan daripada percubaan percuma, sekiranya anda ingin mencuba produk tersebut.

3. RSA NetWitness

Sejak 2016, NetWitness telah memfokuskan pada produk yang menyokong " kesedaran situasi rangkaian masa nyata yang mendalam dan tindak balas rangkaian tangkas ". Selepas diambil alih oleh EMC yang kemudiannya bergabung dengan Dell , yang Ne tw itness jenama sekarang adalah sebahagian daripada RSA cawangan perbadanan itu. Ini adalah berita baik kerana RSA adalah nama yang sangat dihormati dalam keselamatan IT.

RSA NetWitness sesuai untuk organisasi yang mencari penyelesaian analitik rangkaian lengkap. Alat ini menyepadukan maklumat tentang organisasi anda yang digunakan untuk membantu mengutamakan makluman. Menurut RSA , sistem “ mengumpul data merentas lebih banyak titik tangkapan, platform pengkomputeran dan sumber risikan ancaman daripada penyelesaian SIEM yang lain ”. Alat ini juga menampilkan pengesanan ancaman lanjutan yang menggabungkan analisis tingkah laku, teknik sains data dan perisikan ancaman. Akhirnya, sistem tindak balas lanjutan menawarkan keupayaan orkestrasi dan automasi untuk membantu menyingkirkan ancaman sebelum ia memberi kesan kepada perniagaan anda.

Salah satu kelemahan utama RSA NetWitness seperti yang dilaporkan oleh komuniti penggunanya ialah ia bukan yang paling mudah untuk disediakan dan digunakan. Walau bagaimanapun, terdapat dokumentasi komprehensif tersedia yang boleh membantu anda dengan menyediakan dan menggunakan produk. Ini adalah satu lagi produk gred perusahaan dan, seperti yang sering berlaku, anda perlu menghubungi jualan untuk mendapatkan maklumat harga.

4. Pengurus Keselamatan ArcSight Enterprise

Pengurus Keselamatan ArcSight Enterprise membantu mengenal pasti dan mengutamakan ancaman keselamatan, mengatur dan menjejaki aktiviti tindak balas insiden serta memudahkan aktiviti audit dan pematuhan. Ia pernah dijual di bawah jenama HP tetapi ArcSight kini telah digabungkan menjadi Micro Focus , anak syarikat HP yang lain .

Telah wujud selama lebih daripada lima belas tahun, Pengurus Keselamatan Perusahaan ArcSight ialah satu lagi alatan SIEM yang sangat popular. Ia menyusun data log daripada pelbagai sumber dan melakukan analisis data yang meluas, mencari tanda-tanda aktiviti berniat jahat. Untuk memudahkan mengenal pasti ancaman dengan cepat, alat ini membolehkan anda melihat hasil analisis dalam masa nyata.

Bagi ciri-ciri produk, ia tidak meninggalkan apa-apa yang diingini. Ia mempunyai korelasi data masa nyata teragih yang berkuasa, automasi aliran kerja, orkestrasi keselamatan dan kandungan keselamatan dipacu komuniti. The ArcSight Manager Enterprise Security juga mengintegrasikan dengan lain ArcSight produk seperti Platform Data ArcSight and Event Broker atau ArcSight Menyiasat . Ini adalah satu lagi produk gred perusahaan dan oleh itu, maklumat harga tidak tersedia. Ia memerlukan anda menghubungi pasukan jualan ArcSight untuk mendapatkan sebut harga tersuai.

5. Pengurus Keselamatan McAfee Enterprise

McAfee sememangnya satu lagi nama isi rumah dalam industri keselamatan. Walau bagaimanapun, ia lebih terkenal dengan barisan produk perlindungan virusnya. Tidak seperti produk lain dalam senarai ini, McAfee Enterprise S ecurity M anager bukan sahaja perisian, ia adalah perkakas yang anda boleh mendapatkan sama ada sebagai sekeping perkakasan atau dalam bentuk maya.

Dari segi keupayaan analitiknya, Pengurus Keselamatan Perusahaan McAfee dianggap sebagai salah satu alat SIEM terbaik oleh ramai orang. Sistem mengumpul log merentasi pelbagai peranti dan keupayaan normalisasinya tiada duanya. Enjin korelasi dengan mudah menyusun sumber data yang berbeza, menjadikannya lebih mudah untuk mengesan peristiwa keselamatan apabila ia berlaku.

Tetapi sebenarnya, penyelesaian McAfee ini lebih banyak daripada sekadar Pengurus Keselamatan Perusahaannya . Untuk mendapatkan penyelesaian SIEM yang lengkap, anda juga memerlukan Pengurus Log Perusahaan dan Penerima Acara . Nasib baik, semua produk boleh dibungkus dalam satu perkakas. Dan bagi anda yang mungkin ingin mencuba produk sebelum anda membelinya, percubaan percuma tersedia.

6. IBM QRadar

IBM tanpa ragu-ragu adalah salah satu nama yang paling terkenal dalam industri IT. Tidak hairanlah syarikat itu telah berjaya mewujudkan penyelesaian SIEMnya , IBM QRadar sebagai salah satu produk terbaik di pasaran. Alat ini memberi kuasa kepada penganalisis keselamatan untuk mengesan anomali, mendedahkan ancaman lanjutan dan mengalih keluar positif palsu dalam masa nyata.

IBM QRadar menawarkan suite pengurusan log, pengumpulan data, analitik dan ciri pengesanan pencerobohan. Bersama-sama, mereka membantu memastikan infrastruktur rangkaian anda berfungsi dan berfungsi. Terdapat juga analisis pemodelan risiko yang boleh mensimulasikan kemungkinan serangan.

Beberapa ciri utama IBM QRadar termasuk keupayaan untuk menggunakan penyelesaian di premis atau dalam persekitaran awan. Ia adalah penyelesaian modular dan seseorang boleh dengan cepat dan murah menambah lebih banyak storan atau kuasa pemprosesan apabila keperluan mereka berkembang. Sistem ini menggunakan kepakaran perisikan daripada IBM X-Force dan disepadukan dengan lancar dengan ratusan produk IBM dan bukan IBM .

IBM sebagai IBM , bagaimanapun, anda boleh mengharapkan untuk membayar harga premium untuk penyelesaian SIEMnya. Tetapi jika anda memerlukan salah satu alat SIEM terbaik di pasaran dan alat yang disokong oleh organisasi yang kukuh, IBM QRadar mungkin sangat berbaloi dengan pelaburan.