Balabit, wiodący dostawca kontekstowej technologii bezpieczeństwa (Contextual Security Intelligence – CSI) został określony jako uznany dostawca w raporcie Gartnera zatytułowanym „Przypadki dotyczące zastosowania scentralizowanego zarządzania logami do monitorowania zdarzeń bezpieczeństwa”. Raport koncentruje się na roli scentralizowanego zarządzania logami (CLM, Central Log Management) w poprawie monitorowania i wykrywania zagrożeń. Identyfikuje także wyzwania w
środowiskach zarządzania pofragmentowanymi lub niekompletnymi logami. Prezentuje on również czynniki, mogące hamować wdrożenie systemów klasy SIEM, takie jak brak wykwalifikowanego personelu czy licencjonowanie. Raport bada również przypadki użycia, w których CLM może pomóc organizacjom w maksymalizacji zwrotu z ich inwestycji w narzędzia SIEM.
W odniesieniu do wyzwań związanych z zarządzaniem logami, którym muszą podołać organizacje, raport Gartnera stwierdza:
Przedsiębiorstwa, które rozpoczęły swoją wędrówkę z SIEM, zwykle kończą w jednej z dwóch sytuacji:
- niedoinwestowania w trakcie początkowego wdrożenia i konieczności znalezienia budżetu na zwiększenie pojemności, aby sprostać swoim potrzebom, albo
- posiadania zbyt wielu licencji i konieczności płacenia przez lata dostawcom SIEM zbyt dużych opłat za utrzymanie tej niewykorzystanej pojemności.
Balázs Scheidler, współzałożyciel i CTO Balabitu, komentuje: – Raport zaznacza, uwzględniając konkretne scenariusze, że znaczenie scentralizowanego zarządzania logami do monitorowania zdarzeń bezpieczeństwa przeżywa swój renesans. Jest to podejście wyznawane przez nas od ponad 16 lat. Dla wielu organizacji ograniczenia zasobów połączone z wymogami dotyczącymi budżetu i wiedzy, koniecznymi do pomyślnych wdrożeń SIEM, mogą oznaczać, że nie zawsze spełniają one oczekiwania. Ponadto, często pojawiają się nieznane koszty, które należy uwzględnić szczególnie, gdy koszty SIEM opierają się na ilości przetwarzanych danych.
Wspomniany raport zawiera rekomendacje Gartnera, na które powinni zwrócić uwagę szefowie zarządzający bezpieczeństwem i ryzykiem, odpowiedzialni za monitorowanie bezpieczeństwa i działania z nim związane:
- Wykorzystaj narzędzia CLM, aby zająć się przypadkami użycia dotyczącymi zgodności oraz monitorowania bezpieczeństwa, gdy występują niedostateczne zasoby lub budżet na SIEM czy zewnętrzne usługi zarządzania bezpieczeństwem.
- W średniej wielkości organizacjach, zadbaj o wykorzystanie istniejących narzędzi zarządzania logami systemów operacyjnych i urządzeń sieciowych do gromadzenia i zarządzania rejestrami zdarzeń związanych z bezpieczeństwem.
- Planując wdrożenie SIEM, rozważ wielowarstwowe podejście z wykorzystaniem narzędzi CLM, aby zracjonalizować koszty licencji SIEM.
- Jeśli twoja organizacja posiada już system SIEM a jego rozbudowa nie jest możliwa z powodu ograniczeń budżetowych, wykorzystaj narzędzie CLM do lepszego zarządzania istniejącymi inwestycjami w narzędzia SIEM.
Scheidler dodaje: – Istnieją sposoby optymalizacji inwestycji w SIEM, pozwalające obniżyć całkowite koszty posiadania i poprawić zdolność reagowania na incydenty. Analiza alertów bezpieczeństwa jest tylko tak dobra, jak dobre są informacje otrzymane z logów. Firmy mogą obniżyć koszty swoich inwestycji w SIEM oraz przetwarzania zorganizowanych i niezorganizowanych danych w środowisku informatycznym poprzez filtrowanie nieistotnych danych oraz klasyfikowanie wiadomości zanim zostaną one wprowadzone do rozwiązań SIEM. Dla niektórych naszych klientów ograniczamy koszty licencji SIEM aż o 40%.
Syslog-ng firmy Balabit gromadzi, przetwarza i przekazuje logi z szerokiego spektrum źródeł i bezpiecznie przechowuje dane lub przekazuje je do narzędzi analitycznych takich jak SIEM. Ponad milion użytkowników na całym świecie uwierzyło, że syslog-ng może dostarczać dane logów z ich całych środowisk informatycznych. Syslog-ng, niezależnie od tego, czy wdrożony jako oprogramowanie, czy gotowe urządzenie, wspiera najczęściej zgłaszane Gartnerowi przez klientów przypadki użycia: poprawę fundamentalnych zdolności do zachowania bezpieczeństwa przy braku innych środków, zwiększanie zakresu nowych lub istniejących wdrożeń SIEM lub angażowanych usług.