SIEM Que faire ensuite?

Au cours de la dernière décennie, nous avons vu l'évolution de SIEM de la simple gestion des journaux à la nouvelle génération SIEM. Au cours de cette évolution, les OEM ont inventé et utilisé de nombreux mots à la mode comme SIM, SIEM, SOC-in-the-box, NexGen SIEM, etc.

Rappelez-vous ces jours où la génération de rapports mensuels simples était cauchemardesque. Nous avons également vu une base de données SIEM commençant de structuré à non structuré et utilisant actuellement de grandes plateformes de données .

What Next ….

Il y a prolifération de nouveaux vecteurs de menaces . Avec ce changement, la technologie doit évoluer et résoudre les problèmes. Pour résoudre ces problèmes, l'outil SIEM devra disposer de données plus importantes provenant de l'ensemble des technologies. Comme le volume et la vitesse des entrées de données augmenteront, les plates-formes de gros volumes de données seront utilisées dans la plupart des endroits.

Les plates-formes SIEM existantes peuvent recevoir une nouvelle couche pour répondre aux besoins de sécurité croissants. Ces couches comprendront l'apprentissage automatique, l'analyse comportementale, la détection des anomalies l'orchestration de la sécurité, les IoT's et l'automatisation des menaces personnalisées et ciblées. Nous pouvons voir des robots de discussion utilisés pour collecter des informations à partir de systèmes. Par exemple, un analyste peut demander au robot de messagerie de récupérer le niveau de correctif du système ou de se connecter aux utilisateurs. Les fournisseurs / OEM / fournisseurs de services collaboreront à ces technologies dans un cadre de travail.

L'apprentissage des machines peut être utilisé pour apprendre les réponses typiques des analystes aux modèles spécifiques observés sur le réseau et fournir des alertes / alarmes au fur et à mesure. Les outils peuvent essayer d'avoir une visibilité sur le trafic réseau et de capturer des métadonnées pour une détection plus granulaire.

Je peux prévoir que les analystes au niveau L1 pourraient être remplacés par des outils d'automatisation. Les outils d'automatisation seront utilisés pour identifier et répondre à la majorité des déclencheurs générés automatiquement. Par exemple, un adressage IP de liste noire connu essayant de sonder mon réseau, l'automatisation entre en jeu et bloque sur le périphérique de périmètre. Avec l'automatisation des possibilités d'utilisation, l'équipe SOC & IR va aimer cette méthode plus rapide de réponse aux incidents.

L'équipe d'analyste L1 peut être remplacée mais vous pouvez voir l'émergence de l'équipe Hunt, de l'analyste de logiciels malveillants et des équipes médico-légales. analyse après violation. Il y a pénurie de personnes ayant ces compétences. Les personnes / équipes existantes du SOC devraient mieux commencer à développer des compétences dans ces domaines et être prêtes pour le marché.

Voici quelques questions que CISO, responsables de SOC, CIO ou direction doivent répondre pour voir le COS plus mûr.

Quels sont les lacunes identifiées et le plan de remédiation?

Quels sont les objectifs que le SOC doit atteindre pour résoudre les problèmes actuels?

Quels sont vos objectifs à court terme et votre vision à long terme? ] Comment votre posture de risque s'aligne-t-elle avec les objectifs et la vision de l'entreprise?

De quoi (personnes, processus, technologie, gouvernance, etc.) avez-vous besoin pour atteindre les objectifs?

Quel est l'investissement initial requis, les coûts permanents de fonctionnement / développement / maturation d'un SOC?

Comment allez-vous prouver la valeur du SOC?

devenir plus mature avec de nombreuses équations tactiques ipment intégré ensemble. Il est temps pour l'orchestration de la sécurité, l'automatisation et la réponse.

Source link