Cyber ​​Defense: AlienVault OSSIM, das weltweit am häufigsten eingesetzte Open-Source-SIEM

(Di Alessandro Rugolo)
19 / 04 / 17

Zumindest sagt dies AlienVault, ein privates amerikanisches Softwareentwicklungsunternehmen mit Sitz in San Mateo, Kalifornien, im Silicon Valley und Niederlassungen in vielen Ländern der Welt.

Was ist ein SIEM?

SIEM steht für Sicherheitsinformationen und Event Management oder Informationssicherheit und Ereignisverwaltung.
OSSIM ist daher ein Open Source SIEM, wie das Akronym sagt: Open Source Sicherheitsinformationen und Event Management... System.

Abgesehen von den Akronymen und dem Verstehen von Gesprächen ist ein SIEM nichts anderes als ein Informationssystem, das eine Sicherheitsanalyse und ein Ereignismanagement durch das Sammeln von Informationen über Sicherheitsereignisse, die Normalisierung der gesammelten Daten und deren Korrelation ermöglicht.
Um den Zweck zu erreichen, für den OSSIM erstellt wurde, verwendet die Software einige Funktionen, mit denen sie ausgestattet ist, darunter die folgenden:
- Asset-Entdeckungoder die automatische Suche nach den IT-Ressourcen einer Organisation;
- Schwachstellenanalyse, dh die Kontrolle von Schwachstellen des Informationssystems;
- Intrusion Detectionoder die Suche nach schädlichen Aktivitäten, die von nicht autorisierten Benutzern oder Software ausgeführt werden;
- Verhaltensüberwachung, das ist die Verhaltenskontrolle der Benutzer eines Systems;
- SIEM, das echte Sicherheitsereignis-Management.

Natürlich, da der Markt darauf bedacht ist, uns freie Dinge zu erzählen, sind sie nicht immer abhängig von dem, was bezahlt wird ... aber wird es wahr sein?
Tatsache ist, dass es auf dem Markt viele Hersteller gibt, die sich mit SIEM befassen, darunter IBM, CorreLog, RSA, Splunk und Symantec, um nur einige zu nennen. Natürlich hat jeder von ihnen, um sie zu hören, immer etwas mehr oder besseres als seine Mitbewerber. Es gibt diejenigen, die sich besser mit der Analyse von Protokollen auskennen, diejenigen, die sich mit dem Sammeln von Informationen auskennen, diejenigen, die behaupten, die besten Datenkorrelationen zu haben und so weiter.
All diese Produkte, sei es Open Source Englisch: www.germnews.de/archive/dn/1996/03/22.html Sie nutzen eine Organisation, die in der Lage ist, Informationen bereitzustellen und zu sammeln, Software an die Geschäftsanforderungen anzupassen oder kostenpflichtige Sicherheitsdienste bereitzustellen. Letztendlich sind die Menschen dahinter und die Verantwortlichen von entscheidender Bedeutung ihre Fähigkeit zu analysieren und "Netzwerk" zu tun.
Sie können dies feststellen, wenn Sie versuchen, ein System jeder Art selbst zu konfigurieren. Wir brauchen oft Ingenieurwissen, das so stark ist, dass wir nicht viel alleine machen können. Dann wenden wir uns an die Gemeinschaften, Gruppen von Unterstützern, die ihren Beitrag oft aus Leidenschaft kostenlos leisten.
Es ist jedoch nicht immer ratsam, sich an eine Community zu wenden, insbesondere ist dies im Bereich der Sicherheit nicht immer ratsam, und noch weniger, wenn Informationen über eine Organisationsstruktur auf dem Spiel stehen.

Aber wie sollen wir uns dann verhalten?
Geben Sie viel Geld für Lizenzen und Unterstützung aus oder sparen Sie mit Produkten Open Source?

Ich persönlich glaube, dass es einen Mittelweg gibt.
Produkte beschäftigen Open-Source- Solange die Organisation, die sie beschäftigt, in das interne Personal investiert, das in der Lage sein muss, die Funktionsweise und Verwendung der Software zu verstehen, und möglicherweise an der Entwicklungsgemeinschaft beteiligt ist, ist dies möglich.
Was also den Unterschied in der Welt von Cyber ​​Defense ausmacht, ist nicht die Software, sondern die Fähigkeit der Ingenieure, Software gemäß den unterschiedlichen Situationen zu konfigurieren, und die Fähigkeit der Analysten, die Informationen zu "lesen", die sich hinter den riesigen Datenmengen verbergen gesammelt, dank ihrer Erfahrung und Kenntnisse der Organisation, für die sie arbeiten.
Sie sind es, die bis heute den Unterschied ausmachen: Männer mit ihrem Wissen, ihren Fähigkeiten und ihrem Einfallsreichtum.

Quellen:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-product...
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYA...
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage...
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-....