CEO ve Başkan Michael DeCesare tarafından,
Dijital ekonomi büyüdükçe, kuruluşlar siber saldırılara karşı giderek daha duyarlı hale geldi. Rakipler, BT sistemleri, uygulamaları veya donanımları içindeki boşluklardan yararlanmak için aktif olarak fırsatlar arar ve bu da her yıl trilyonlarca dolar değerinde hasara neden olur. Sonuç olarak, güvenlik ekipleri, güvenlik tehditlerini gerçek zamanlı olarak tanımlamaya ve yanıtlamaya yardımcı olmak için Güvenlik Bilgileri ve Olay Yönetimi (SIEM) yazılımı biçimindeki güvenlik özelliklerinden yararlanıyor.
SIEM, güvenlik ekiplerinin tehditleri algılamasına ve bunlara yanıt vermesine, olay yanıtını yönetmesine ve riskleri en aza indirmesine olanak tanır. Son 20 yılı aşkın süredir, SIEM pazarı teknoloji endüstrisinde önemli bir büyüme sağladı.
Bugün SIEM, toplam siber güvenlik harcamalarının yaklaşık bir kısmını oluşturuyor ve 2027 yılına kadar küresel olarak milyara ulaşması bekleniyor. SIEM, veri hacmi ve uyarı sayısı arttıkça artan siber güvenlik verileri için veri deposuna dönüştüğü için bunu anlamak kolaydır. katlanarak büyüyor.
Ponemon Institute’a göre, bir şirketin kullandığı ortalama siber güvenlik ürünü sayısı . Bazı satıcılar, Fortune 2000 şirketlerinin her birinin hem günlük dosyaları hem de uyarılar ürettiği . Ancak SIEM pazarının buradan nereye gittiğine girmeden önce, önce SIEM’in nasıl geliştiğine bir göz atalım.
Aşama 1: İlk SIEM’ler verileri aldı ve uyarılar sundu
Yüzyılın başlarında, SIEM satıcılarının ilk dalgası ArcSight (artık Micro Focus’a aittir) ve QRadar (şimdi IBM’e aittir) gibi şirketlerdi. Bu ilk SIEM’ler hem günlük dosyaları (ham veriler) hem de güvenlik uyarıları (özetlenmiş olaylar) ile birleştirildi. O zamanlar, çoğunlukla ana bilgisayar ve ağ tabanlı saldırı tespit cihazları (ISS ve diğerleri), ağ araçları ve güvenlik duvarları (Check Point, Cisco, vb.) ve diğerleri). Uç nokta ve anti-virüs yazılımı biraz sonra gelirdi.
Bir SIEM’in o zamanlar yapabileceği şeylerin çoğu, verileri almak, toplamak ve güvenlik ekiplerine uyarı göndermekti. Ayrıca veri saklama ve uyumluluk için de kullanıldılar.
En yaygın birinci ve ikinci nesil SIEM’ler, aynı zamanda, o zaman yapmayı bildikleri en iyi şey olan çok temel korelasyon motorlarıyla geldi. Korelasyon kuralları oluşturabilir ve “X, Y ve Z görürsem, biletleme sistemimizde bir vaka açın ve güvenlik ekibine bir uyarı gönderin” diyebilirler.
Ancak, “yapılandırılmamış” verilere karşı şirket içi işlem gücü hala oldukça yavaştı, bu nedenle, esasen ham verilerinizi sorgulamak ve bir uyarının, güvenlik olayının veya başka bir şeyin temel nedeni hakkında herhangi bir yanıta benzer bir yanıt almak çok uzun zaman alabilirdi.
Sonra veriler büyüdü
Hala bugün olduğu kadar çok veri yoktu. O zamanlar oluşturulanlar, bir veritabanına –– genellikle Oracle veya DB2 – – ve perde arkasına kolayca park edildi. Zamanla, kuruluşlar dijital yolculuklarına devam etti ve veriler hacim olarak patlamaya başladı – ancak bu verilerin tümü hala katı veritabanlarının içinde zorlanıyordu.
Sonunda, yapılandırılmış veritabanları, BT veya güvenlik ekiplerinin ihtiyaçlarına ayak uyduramadı. Kendilerine gelen verilerin hacmine, çeşitliliğine veya hızına ayak uyduramadılar.
İlk SIEM satıcıları da yapılandırılmış veritabanları uyum sağlayamadığı için ayak uyduramadı ve yeni günlük kaynaklarını almak için yeni ayrıştırıcılar yazmak haftalar veya aylar aldı.
2. Aşama: Splunk pazara girerek arama ve erişimi kolaylaştırdı
Splunk, büyük veri için esasen ilk esnek ve güçlü mağaza ve arama motoru olarak 2003 yılında kuruldu. Yapılandırılmıştan yapılandırılmamışa kadar her türlü ham veriyi arayabilen ve verileri hızla aranabilir olaylara dönüştüren indekslemeyi tanıttı.
Şirketin teknolojisi bir atılımdı çünkü kuruluşların büyüyen verilerini almalarını, aramalarını, depolamalarını, görselleştirmelerini ve içgörüler elde etmelerini çok daha kolay hale getirdi.
Daha sonra SIEM pazarına girdiklerinde, orijinal SIEM satıcıları için oyun değişti. SIEM için Gartner MQ’da Lider olarak ilk kez 2012’de ortaya çıktı. Şirketin ekmek ve tereyağı, o zamana kadar çoğunlukla BT operasyonları kullanım durumları iken, bir SIEM tanıttıklarında, indeksleme ve “okuma şeması” yetenekleri güvenliğe izin verdi. ekiplerin çok daha hızlı SOC yanıtları almak için verilerini çok daha verimli bir şekilde depolaması, araması ve ayrıntılarına inmesi.
Splunk’ın mimarisi eski satıcılardan çok daha etkiliydi ve şirket uzun yıllardır pazar lideri konumundaydı.
Aşama 3: SIEM, UEBA ile tanıştı, yani anormallik tespiti
Bu noktada, dünya daha fazla sıfır gün saldırıları görmeye başlıyordu: bilgisayar yazılımı açıkları, düşmanlar bulup yararlanana kadar daha önce bilinmiyordu. SIEM endüstrisi, depolanan verileri daha da anlamlandırmaya çalışarak ayak uydurmak zorundaydı. Sonunda, bu soruna daha fazla siber istihbarat uygulamak için Kullanıcı ve Varlık Davranış Analitiği (UEBA) oluşturuldu.
Çoğu satıcı hala bir tür UEBA’yı SIEM’lerinin üzerine yerleştirmeye çalışıyordu, ancak UEBA’nın anormallik tespiti için en iyi durumda olması için, şirketlerin oluşturduğu tüm siber veri göllerinden veri çekebilmesi gerekiyor.
Exabeam, 2014 yılında bir Splunk.conf Kullanıcı konferansında Partners Pavilion’da UEBA ürünümüzü duyurdu.
O sıralarda, çoğu CISO ve güvenlik ekibi, çoğu işlem yapılamaz olan çok sayıda güvenlik uyarısının eşlik ettiği bir veri denizinde boğuluyordu. UEBA ve uyarı triyaj araçları önemli ölçüde yardımcı oldu, ancak bu, günümüzde hala eski SIEM’lerde bir sorundur.
Günümüzün SIEM’leri çok pahalı
2022’ye hızlı bir şekilde ilerleyin ve elimizde, ya hala şirket içinde olan ya da “kaldırma ve değiştirme” olarak buluta taşınan ve bakımı çok pahalı olan bir dizi eski teknoloji yığını var. Siber verilerin patlamakta olduğu gerçeğiyle birleştiğinde, çok pahalıya mal olan SIEM’lerle sonuçlanıyoruz.
Büyük kuruluşların eski ve yeni nesil günlük yönetimi ve SIEM çözümlerine yılda 10 milyon dolardan fazla harcama yaptığını görmek alışılmadık bir durum değil.
Bazı erken SIEM oyuncuları, buluttan çok daha maliyetli olan, SIEM’lerini şirket içinde çalıştıran müşteri kurulum tabanlarının yaklaşık %50’sine sahiptir. Ancak daha fazla müşteri buluta geçtiğinde bile, SIEM maliyetlerinin kontrolden çıktığı gerçeğini fark ettiler.
Peki SIEM buradan nereye gidiyor?
Bulutta yerel teknolojinin SIEM için yapabileceklerinin en iyisini sunmanın zamanı geldi. Bulut süper hızlıdır, ucuz depolama ve anında arama sunar ve şu anda geçerli kimlik bilgileriyle içeri giren çoğunluk da dahil olmak üzere kötü aktörleri yakalayabilen bir tehdit algılama motorunu entegre edebilir. Ayrıca, uygun düzenleme, hızlandırılmış sonuçlar için fırsatlar sunar.
tarafından yürütülen araştırmaya göre, yüksek düzeyde düzenlemeye tabi sektörler, düşük düzenlemeye sahip sektörlere göre buluta dört kat daha hızlı taşınıyor. Sonuç olarak, bulut, yüksek düzeyde düzenlenmiş pazarlarda pazara nüfuz etme fırsatları sunar ve kuruluşların siber riske katkıda bulunan karmaşık veri akışlarında gezinmeleri için önemli bir farklılaştırıcı görevi görür.
Daha yakın yıllarda, güvenlikle ilgili pazarlar, paralel süreçlerin kombinasyonunu basitleştirmek için tüm orkestrasyon oyuncuları kategorilerini geliştirdi. Bulut entegrasyonu ile orkestrasyon, iş akışlarını koordine edebilir ve kurumsal altyapılar, veri merkezleri ve daha fazla verimlilik ve iyileştirilmiş risk yönetimi için fırsatlar sunan genel ve özel bulut dahil olmak üzere birden çok ortamda verileri yönetebilir.
SIEM endüstrisi bir süredir ileriye dönük evrim için olgunlaşmıştır. Siber saldırıların artmasıyla, kuruluşları, satıcıların istedikleri kullanım durumlarına göre uyarlayabilecekleri ve ölçeklendirilebilecek kadar esnek olan üretken ürün ve hizmet kombinasyonlarını kullanmaya şiddetle teşvik ediyoruz. Bunu yapmak, tüm pazar segmentlerinde SIEM penetrasyonunu artırmak için gerekli ivmeyi kolaylaştıracaktır; aynı anda siber riskleri azaltır.
CEO Michael DeCesare hakkında,
Michael DeCesare, Exabeam’in CEO’su ve Başkanıdır. Exabeam’den önce DeCesare, ForeScout Technologies’in CEO’su ve Başkanı olarak görev yaptı ve Enterprise of Things güvenliğinde bu lider ile yönetim kurulu üyesi olarak hizmet vermeye devam ediyor. ForeScout’tan önce DeCesare, siber güvenlik devi McAfee’de sekiz yıl geçirdi ve dört yıl Başkan ve dört yıl Dünya Çapında Satış ve Operasyonlardan Sorumlu Kıdemli Başkan Yardımcısı olarak görev yaptı. DeCesare, siber güvenlik kariyeri boyunca Documentum, EMC ve Oracle’da Kıdemli Başkan Yardımcısı ve dünya çapında satış liderliği rollerinde de görev yaptı. Villanova Üniversitesi’nden İletişim alanında lisans derecesine sahiptir.
reklam