הגנה Cyber: AlienVault OSSIM, הנפוץ ביותר SIEM קוד פתוח בעולם

(של אלסנדרו רוגלו)
19 / 04 / 17

כך לפחות אומר AlienVault, חברת פיתוח תוכנה אמריקאית פרטית שממוקמת בסן מטאו, קליפורניה, עמק הסיליקון ומשרדים במדינות רבות ברחבי העולם.

אבל קודם כל, מה זה SIEM?

SIEM מייצג מידע אבטחה וניהול אירועים או אבטחת מידע וניהול אירועים.
לפיכך, OSSIM הוא SIEM עם קוד פתוח, כפי שאומר ראשי התיבות: מידע פתוח ואבטחת קוד פתוח בנושא ניהול אירועים... מערכת.

אם מפנים את ראשי התיבות ומדברים להבנה, SIEM אינו אלא מערכת מידע המאפשרת לבצע ניתוחי אבטחה ולנהל אירועים באמצעות איסוף מידע על אירועי אבטחה, נורמליזציה של הנתונים שנאספו והתאם שלהם. 
כדי להשיג את המטרה שלשמה נוצר OSSIM, התוכנה משתמשת בכמה פונקציות בהן היא מצוידת, וביניהן העיקריות הן:  
- גילוי נכסים, או החיפוש האוטומטי אחר משאבי ה- IT של ארגון;
- הערכת פגיעותכלומר שליטה בפגיעויות של מערכת המידע;
- גילוי פריצה, או חיפוש אחר פעילויות זדוניות שמתבצעות על ידי משתמשים או תוכנות לא מורשים;
- ניטור התנהגותיכלומר, השליטה ההתנהגותית של המשתמשים במערכת;
- SIEM, פונקציונליות ניהול אירועי האבטחה האמיתיים.

כמובן, מכיוון שהשוק מקפיד לומר לנו שהדברים החופשיים לא תמיד תלויים במה שמשולם ... אבל האם זה יהיה נכון?
עובדה שבשוק ישנם יצרנים רבים העוסקים ב- SIEM, ביניהם IBM, CorreLog, RSA, Splunk, Symantec, בכדי להזכיר רק כמה. כמובן שלכל אחד מהם, לדבריהם, תמיד יש משהו יותר או יותר טוב מהמתחרים. יש המומחים יותר בניתוח יומנים, מי שמומחים יותר באיסוף מידע, כאלו הטוענים שהם הטובים ביותר בתאם נתונים וכדומה.
כל המוצרים האלה, יהיו קוד פתוח או המסופקים תחת רישיון בתשלום, הם עושים שימוש בארגון המסוגל לספק ולאסוף מידע, להתאים את התוכנה לצרכים העסקיים או לספק שירותי אבטחה בתשלום, בסופו של דבר, מה שחשוב באמת הם האנשים שעומדים מאחוריה וה יכולת הניתוח והרשת שלהם.
אתה יכול להבין זאת כאשר אתה מנסה להגדיר מערכת כלשהי בעצמך. לעתים קרובות אתה זקוק לידע הנדסי כל כך מונע שאתה לא יכול לשלב הרבה בעצמך. ואז אנו פונים לקהילות, קבוצות של תומכים, שלעתים קרובות נותנות את תרומתם בחינם, מתוך תשוקה.
עם זאת, לא תמיד חכם ליצור קשר עם קהילה, בפרט לא תמיד מתאים לעשות זאת בתחום האבטחה וזה אפילו פחות מתאים כאשר מידע על מבנה ארגוני מונח על כף המאזניים.

אז איך אתה מתנהג?
השקיעו כסף רב על רישוי ותמיכה או חסכו כסף באמצעות מוצרים קוד פתוח?

אני באופן אישי מאמין שיש איפשהו בין לבין.
השתמש במוצרים קוד פתוח יתכן ובתנאי שהארגון המעסיק אותם משקיע בצוות פנימי שעליו להיות מסוגל להבין את תפקוד התוכנה ואת השימוש בה, אולי להשתתף באופן אישי בקהילות הפיתוח. 
אז מה שבאמת עושה את ההבדל בעולם ה- Cyber ​​Defense הוא לא תוכנה אלא היכולת של המהנדסים להגדיר תוכנה לפי מצבים שונים והיכולת של אנליסטים "לקרוא" את המידע שמסתתר מאחורי כמויות הנתונים האדירות. שנאספו, הודות לניסיון והידע שלהם בארגון בו הם עובדים.
הם אלה שעושים את ההבדל כיום: גברים עם הידע שלהם, הכישורים שלהם וההמצאה שלהם.

מקורות:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-product...
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYA...
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage...
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-....