Для Кауфмана, управляемые услуги предлагают первую линию защиты. Поставщик может обеспечить круглосуточный мониторинг и иметь возможность устранять угрозы, не разбудив сотрудников службы безопасности Amedisys посреди ночи.
Наряду с немедленным реагированием на инциденты безопасности, отношения с поставщиком управляемых услуг может дать организациям преимущество в подборе персонала, говорит Кауфманн.
«Вы не просто набираете людей для укомплектования оперативного центра безопасности», — говорит он. «Вы можете инвестировать в сотрудников более высокого уровня. Вы можете нанять продвинутых инженеров. Вы можете нанять специалиста по разработке стратегии безопасности в масштабе предприятия».
Как SIEM помогает обнаружить кибератаки?
Руководство от IRS предлагает организациям, оценивающим SIEM-системы, искать автоматизированный анализ данных, оповещения практически в реальном времени, полезную информацию и быстрый ввод в эксплуатацию, требующий небольшого обучения.
Эти возможности имеют значение, учитывая растущую изощренность кибератак, говорит Грегори. Если раньше для получения доступа с помощью брутфорс-атак, которые было относительно легко обнаружить, требовались месяцы, то сегодняшние злоумышленники могут взломать личность за считанные секунды. «Они собирают разведданные и взламывают нужные учетные записи, чтобы получить привилегии», — добавляет он.
Эти атаки часто охватывают несколько ресурсов, говорит Элли Меллен, главный аналитик Forrester. Например, злоумышленник может нацелиться на облачное приложение, получить доступ к идентификатору сотрудника, получить доступ к конечной точке, связанной с этим идентификатором, а затем перемещаться по сети.
ИССЛЕДОВАТЬ: Пентестер рассказывает, где можно улучшить безопасность здравоохранения.
«Это предполагает множество мер контроля. Вам нужна целостная картина, а не оповещения об отдельных действиях», — говорит Меллен. С этой целью организации также получают выгоду от анализа поведения пользователей, который создает профили сотрудников или устройств, взаимодействующих с сетью, чтобы выявить необычное поведение, которое может указывать на атаку.
Чтобы получить такую информацию, SIEM-системам необходима тесная интеграция с инструментами безопасности. В конце концов, говорит Абрахам, платформа SIEM может отправлять оповещения только в отношении данных, которые она получает. Если эти подключения не существуют в стандартной комплектации, провайдер SIEM может добавить их по запросу или группы безопасности могут создать их самостоятельно.
2024-02-22 17:57:38
1708996343
#Как #инструменты #SIEM #вписываются #стратегию #безопасности #медицинской #организации