6 лучших инструментов управления безопасностью ITIL в 2021 году

ITIL - это относительно широко распространенная и очень тщательная структура для управления ИТ-услугами. Первоначально из Великобритании и предназначенный для обслуживания как правительства, так и частного бизнеса, он представляет собой набор высоко структурированных процессов, рекомендаций и практик. Он разделен на несколько конкретных областей, причем управление безопасностью является не более чем одним из многих его аспектов. Но поскольку безопасность является такой важной темой - особенно с учетом современной сцены угроз и того, что организации постоянно становятся жертвами недобросовестных хакеров, - мы решили взглянуть на один из лучших инструментов управления безопасностью ITIL.

Мы начнем с более подробного объяснения того, что такое ITIL, прежде чем перейти к конкретной области управления безопасностью ITIL. Далее мы представим концепцию информации о безопасности и управления событиями, опишем, из чего она состоит, и объясним, как она может быть связана с управлением безопасностью ITIL. Наконец, мы перейдем к интересной части и представим краткий обзор некоторых из лучших инструментов управления безопасностью ITIL, описывая лучшие функции и возможности каждого инструмента.

ITIL в двух словах

ITIL, который раньше обозначал библиотеку инфраструктуры информационных технологий, начал свою деятельность еще в 80-х годах как попытка Центрального компьютерного и телекоммуникационного агентства Великобритании (CCTA) разработать набор рекомендаций и стандартных практик для управления ИТ-услугами в правительстве и частный сектор тоже. Изначально он представлял собой сборник книг, каждая из которых посвящена определенной практике управления ИТ-услугами, и была построена на основе представлений о контроле и управлении операциями на основе модели процессов.

Первоначально он состоял из более 30 томов, но позже был несколько упрощен и сгруппированы услуги, уменьшив количество томов до 5. Он все еще находится в постоянной эволюции, и последняя версия книги Foundation была опубликована в феврале прошлого года, ITIL объединяет различные элементы управления ИТ-услугами. в практику, и ITIL Security Management - лишь одна из многих.

Об управлении безопасностью ITIL

Что касается процесса ITIL управления безопасностью, он «описывает структурированную подгонку информационной безопасности в управляющей организации». Он в значительной степени основан на своде правил для системы менеджмента информационной безопасности (СМИБ), ныне известном как ISO / IEC 27001.

Очевидно, что основной целью управления безопасностью является обеспечение адекватной информационной безопасности. И, в свою очередь, основная цель информационной безопасности - защитить информационные активы от рисков, тем самым поддерживая их ценность для организации. Как правило, это выражается в обеспечении его конфиденциальности, целостности и доступности, а также в связанных свойствах или целях, таких как аутентичность, подотчетность, неотказуемость и надежность.

Есть два основных аспекта управления безопасностью. Прежде всего, это требования безопасности, которые могут быть определены в соглашениях об уровне обслуживания (SLA) или в других требованиях, указанных в контрактах, законодательстве, а также во внутренних или внешних политиках. Второй аспект - это просто базовая безопасность, которая гарантирует непрерывность управления и обслуживания. Это в некоторой степени связано с первым аспектом, поскольку необходимо добиться упрощенного управления уровнем обслуживания для информационной безопасности.

Хотя управление безопасностью ITIL - это широкое понятие, оно несколько более ограничено в контексте программных инструментов. Говоря об инструментах управления безопасностью, можно вспомнить несколько типов инструментов. Однако один тип кажется более интересным, чем другие: инструменты безопасности информации и управления событиями (SIEM).

Введение в управление информацией о безопасности и событиями (SIEM)

В своей простейшей форме Управление информацией о безопасности и событиями - это процесс управления информацией и событиями безопасности. Конкретно, SIEM-система не обеспечивает реальной защиты. Это отличается, например, от антивирусного программного обеспечения, которое активно предотвращает заражение вирусов защищенными системами. Основная цель SIEM - облегчить жизнь администраторам сети и безопасности. Типичная SIEM-система просто собирает информацию из различных систем, включая сетевые устройства и другие системы обнаружения и защиты. Затем он сопоставляет всю эту информацию, собирая связанные события, и по-разному реагирует на значимые события. Системы SIEM также включают в себя некоторую форму отчетности и, что более важно, информационные панели и подсистемы оповещения.

Что в системе SIEM

Системы SIEM сильно различаются от поставщика к поставщику. Однако в них есть определенное количество компонентов, которые, кажется, присутствуют во многих из них. Не все они будут включать в себя все эти компоненты, и, если они есть, они могут работать по-разному. Давайте рассмотрим некоторые из наиболее важных - и наиболее распространенных - компонентов SIEM-систем более подробно.

Сбор и управление журналами

Сбор журналов и управление ими, без сомнения, является наиболее важным компонентом SIEM-системы. Без него нет SIEM. Первое, что должна сделать SIEM-система, - это получить данные журнала из множества различных источников. Он может либо вытащить его, например, используя локально установленный агент, либо различные устройства и системы могут передать его в инструмент SIEM.

Поскольку каждая система имеет свой собственный способ категоризации и записи данных, следующая задача инструмента SIEM - нормализовать данные и сделать их единообразными, независимо от того, из какого источника они поступают. То, как выполняется этот шаг, зависит в основном от исходного формата полученных данных.

После нормализации зарегистрированные данные часто будут сравниваться с известными шаблонами атак в попытке распознать вредоносное поведение как можно раньше. Данные также можно сравнивать с ранее собранными данными, тем самым помогая построить базовый уровень, который еще больше улучшит обнаружение аномальной активности.

Ответ на событие

Одно дело обнаруживать событие, но, как только событие обнаружено, должен быть запущен некоторый процесс ответа. Это и есть модуль реакции на события инструмента SIEM. Реакция на событие может принимать разные формы. В самой базовой реализации предупреждающее сообщение будет сгенерировано на панели инструментов системы. Оповещения по электронной почте или SMS также могут быть сгенерированы в качестве основного ответа.

Однако лучшие SIEM-системы идут еще дальше и обычно могут инициировать какой-то процесс исправления. Опять же, это то, что может принимать разные формы. Лучшие системы имеют полную систему рабочего процесса реагирования на инциденты, которую можно настроить, обеспечивая именно тот тип реагирования, который вам нужен. Реакция на инциденты не должна быть единообразной, и разные события - или разные типы событий - могут запускать разные процессы. Лучшие инструменты SIEM могут дать вам полный контроль над рабочим процессом реагирования на инциденты.

Составление отчетов

Одно дело иметь сбор журналов и управление ими, а также наличие системы реагирования на события, но вам также нужен еще один важный элемент: отчетность. Даже если вы еще этого не знаете, вам потребуются отчеты; легко и просто. Руководителям вашей организации они понадобятся, чтобы убедиться, что их вложения в SIEM-систему окупаются. Но это еще не все, вам также могут потребоваться отчеты для целей соответствия. Соблюдение таких стандартов, как PCI DSS, HIPAA или SOX, намного проще, если ваша SIEM-система может создавать отчеты о соответствии.

Отчеты не могут быть ядром каждой SIEM-системы, но они по-прежнему являются одним из их важнейших компонентов. Фактически, отчетность - один из основных факторов, отличающих конкурирующие системы. Отчеты подобны конфетам: их никогда не бывает много. При оценке систем посмотрите, какие отчеты доступны и как они выглядят, и помните, что лучшие системы позволят вам создавать собственные отчеты.

Приборная доска

Последний важный компонент большинства инструментов SIEM - это приборная панель. Это важно, поскольку это ваше окно в состояние вашей SIEM-системы и, как следствие, в безопасность вашей ИТ-среды. Мы могли бы назвать панели мониторинга - с буквой S - точно так же, как в некоторых системах могло бы быть несколько панелей мониторинга. У разных людей разные приоритеты и интересы, и идеальная панель управления для сетевого администратора будет отличаться от панели администратора безопасности. Точно так же руководителю понадобится совершенно другая панель инструментов.

Хотя мы не можем оценивать SIEM-системы только по количеству предлагаемых ими панелей мониторинга, вам нужно выбрать ту, у которой есть нужные вам панели. Об этом определенно стоит помнить при оценке поставщиков. Как и в случае с отчетами, лучшие инструменты позволяют создавать настраиваемые информационные панели по своему вкусу.

Использование SIEM в качестве инструмента управления безопасностью ITIL

Неважно, насколько сложной может быть концепция управления безопасностью в контексте структуры ITIL. Фактически он сводится к одной основной цели: обеспечению безопасности данных. И хотя вся парадигма управления ИТ-безопасностью имеет несколько различных аспектов, когда дело доходит до программных инструментов, которые вы можете использовать, кажется, что не существует программного пакета для управления безопасностью ITIL. С другой стороны, различные издатели программного обеспечения предлагают бесчисленное множество инструментов, направленных на обеспечение безопасности ваших данных.

Мы также видели, как инструменты SIEM преследуют аналогичную цель по сохранению безопасности данных. На наш взгляд, эта общая цель делает их одними из лучших инструментов для управления ИТ-безопасностью. Однако имейте в виду, что практика управления безопасностью ITIL выходит далеко за рамки SIEM, и, хотя они являются хорошей отправной точкой, они являются лишь частью решения, хотя и важной.

Лучшие инструменты управления безопасностью ITIL

Поскольку мы установили, что лучшие инструменты управления безопасностью ITIL действительно являются инструментами SIEM, мы искали на рынке лучшие из них. Мы нашли множество инструментов от самых известных организаций. Все инструменты в нашем списке обладают всеми основными функциями, которые вы ожидаете от инструмента управления безопасностью. Выбор лучшего для ваших нужд часто является делом личного вкуса. Или, возможно, у одного из инструментов есть уникальная функция, которая вам нравится.

1. Менеджер событий безопасности SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

SolarWinds - распространенное имя в мире сетевого мониторинга. Его флагманский продукт, называемый Network Performance Monitor, является одним из лучших доступных инструментов мониторинга SNMP. Компания также известна своими многочисленными бесплатные инструменты , такие как его Advanced Subnet Calculator или его Free SFTP S ERVER .

Что касается SIEM, SolarWinds предлагает менеджер событий безопасности SolarWinds . Этот инструмент, ранее называвшийся SolarWinds Log & Event Manager , лучше всего описать как инструмент SIEM начального уровня. Однако это одна из лучших систем начального уровня на рынке. В этом инструменте есть почти все, что вы можете ожидать от SIEM-системы. Это включает в себя отличные функции управления журналами и корреляции, а также впечатляющий механизм отчетов.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Security Event Manager
• Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

Инструмент также может похвастаться отличными функциями реагирования на события, которые не оставляют желать ничего лучшего. Например, подробная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. А поскольку он основан на поведении, а не на сигнатуре, вы защищены от неизвестных или будущих угроз и атак нулевого дня.

Помимо впечатляющего набора функций, панель управления SolarWinds Security Event Manager, возможно, является его лучшим активом. Благодаря простому дизайну у вас не будет проблем со знакомством с инструментом и быстрым обнаружением аномалий. Инструмент более чем доступен по цене от 4 500 долларов. А если вы хотите попробовать его и посмотреть, как он работает в вашей среде, вы можете загрузить бесплатную полнофункциональную 30-дневную пробную версию .

2. Безопасность предприятия Splunk

Splunk Enterprise Security - или , как его часто называют, Splunk ES - возможно, одна из самых популярных систем SIEM. Он особенно известен своими аналитическими возможностями. Splunk ES отслеживает данные вашей системы в режиме реального времени, выявляя уязвимости и признаки аномальной и / или вредоносной активности.

Помимо отличного мониторинга, ответные меры безопасности - еще одна сильная сторона Splunk ES . Система использует то, что Splunk называет Adaptive Response Framework ( ARF ), которая интегрируется с оборудованием более чем 55 поставщиков средств безопасности. ARF выполнить автоматический ответ, ускоряя вручную задачи. Это позволит вам быстро одержать верх. Добавьте к этому простой и лаконичный пользовательский интерфейс, и вы получите выигрышное решение. Другие интересные функции включают функцию Notables, которая показывает настраиваемые пользователем предупреждения, и Asset Investigator для выявления вредоносных действий и предотвращения дальнейших проблем.

Splunk ES действительно является продуктом корпоративного уровня, а это означает, что он поставляется по цене корпоративного уровня. К сожалению, информация о ценах недоступна на веб-сайте Splunk . Вам нужно будет связаться с отделом продаж, чтобы узнать расценки. Обращение к Splunk также позволит вам воспользоваться бесплатной пробной версией, если вы захотите попробовать продукт.

3. RSA NetWitness

С 2016 года NetWitness фокусируется на продуктах, поддерживающих « глубокую ситуационную осведомленность в сети в реальном времени и быстрое сетевое реагирование ». После приобретения компанией EMC, которая затем объединилась с Dell , торговая марка Ne tW itness теперь является частью подразделения RSA корпорации. Это хорошая новость, поскольку RSA - очень уважаемое имя в сфере ИТ-безопасности.

RSA NetWitness идеально подходит для организаций, которым требуется комплексное решение для сетевой аналитики. Инструмент объединяет информацию о вашей организации, которую он использует для определения приоритетов предупреждений. Согласно RSA , система « собирает данные по большему количеству точек захвата, вычислительных платформ и источников информации об угрозах, чем другие решения SIEM ». Инструмент также имеет расширенное обнаружение угроз, которое соче��ает в себе поведенческий анализ, методы анализа данных и анализ угроз. И, наконец, расширенная система реагирования может похвастаться возможностями оркестровки и автоматизации, чтобы помочь избавиться от угроз до того, как они повлияют на ваш бизнес.

Один из основных недостатков RSA NetWitness, о котором сообщает сообщество пользователей, заключается в том, что его не так просто настроить и использовать. Однако доступна исчерпывающая документация, которая может помочь вам в настройке и использовании продукта. Это еще один продукт корпоративного уровня, и, как это часто бывает, вам нужно связаться с отделом продаж, чтобы получить информацию о ценах.

4. ArcSight Enterprise Security Manager.

ArcSight Enterprise Security Manager помогает выявлять и приоритизировать угрозы безопасности, организовывать и отслеживать действия по реагированию на инциденты, а также упростить аудит и выполнение нормативных требований. Раньше он продавался под брендом HP, но теперь ArcSight был объединен с Micro Focus , еще одной дочерней компанией HP .

ArcSight Enterprise Security Manager существует уже более пятнадцати лет и является еще одним чрезвычайно популярным инструментом SIEM. Он собирает данные журналов из различных источников и выполняет обширный анализ данных, выявляя признаки злонамеренной активности. Чтобы упростить быстрое выявление угроз, инструмент позволяет просматривать результаты анализа в режиме реального времени.

Что касается характеристик продукта, то он оставляет желать лучшего. Он имеет мощную распределенную корреляцию данных в реальном времени, автоматизацию рабочих процессов, оркестровку безопасности и контент безопасности, управляемый сообществом. ArcSight Manager Enterprise Security интегрируется с другими ArcSight продуктов , таких как ArcSight Data Platform и Event Broker или ArcSight расследованию . Это еще один продукт корпоративного уровня, поэтому информация о ценах недоступна. Вам потребуется связаться с отделом продаж ArcSight, чтобы получить индивидуальное предложение.

5. McAfee Enterprise Security Manager.

McAfee - определенно еще одно нарицательное имя в индустрии безопасности. Однако она более известна своей линейкой продуктов для защиты от вирусов. В отличие от других продуктов в этом списке, McAfee Enterprise S ecurity M anager это не просто программное обеспечение, это устройство , которое вы можете получить либо как часть аппаратного или в виртуальной форме.

Что касается аналитических возможностей, McAfee Enterprise Security Manager многими считается одним из лучших инструментов SIEM. Система собирает журналы с самых разных устройств, а ее возможности нормализации не имеют себе равных. Механизм корреляции легко компилирует разрозненные источники данных, облегчая обнаружение событий безопасности по мере их возникновения.

Но, честно говоря, это решение McAfee - это не только его Enterprise Security Manager . Чтобы получить полное решение SIEM, вам также потребуются Enterprise Log Manager и Event Receiver . К счастью, все продукты можно упаковать в одном устройстве. А для тех из вас, кто может захотеть опробовать продукт перед его покупкой, доступна бесплатная пробная версия.

6. IBM QRadar

IBM, без сомнения, одно из самых известных имен в ИТ-индустрии. Неудивительно, что компании удалось сделать свое SIEM-решение, IBM QRadar, одним из лучших продуктов на рынке. Этот инструмент позволяет аналитикам безопасности обнаруживать аномалии, выявлять сложные угрозы и удалять ложные срабатывания в режиме реального времени.

IBM QRadar может похвастаться набором функций управления журналами , сбора данных, аналитики и обнаружения вторжений. Вместе они помогают поддерживать вашу сетевую инфраструктуру в рабочем состоянии. Существует также аналитика моделирования рисков, которая может моделировать потенциальные атаки.

Некоторые из ключевых функций IBM QRadar включают возможность развертывания решения локально или в облачной среде. Это модульное решение, и можно быстро и недорого добавить дополнительную память или вычислительную мощность по мере роста их потребностей. Система использует интеллект специалистов из IBM X-Force и интегрируется с сотнями IBM и не - IBM продуктов.

IBM, будучи IBM , однако, вы можете рассчитывать на высокую цену за ее решение SIEM. Но если вам нужен один из лучших инструментов SIEM на рынке и инструмент, поддерживаемый солидной организацией, IBM QRadar вполне может стоить вложенных средств.