Как инструменты SIEM вписываются в стратегию безопасности медицинской организации

Для Кауфмана, управляемые услуги предлагают первую линию защиты. Поставщик может обеспечить круглосуточный мониторинг и иметь возможность устранять угрозы, не разбудив сотрудников службы безопасности Amedisys посреди ночи.

Наряду с немедленным реагированием на инциденты безопасности, отношения с поставщиком управляемых услуг может дать организациям преимущество в подборе персонала, говорит Кауфманн.

«Вы не просто набираете людей для укомплектования оперативного центра безопасности», — говорит он. «Вы можете инвестировать в сотрудников более высокого уровня. Вы можете нанять продвинутых инженеров. Вы можете нанять специалиста по разработке стратегии безопасности в масштабе предприятия».

Как SIEM помогает обнаружить кибератаки?

Руководство от IRS предлагает организациям, оценивающим SIEM-системы, искать автоматизированный анализ данных, оповещения практически в реальном времени, полезную информацию и быстрый ввод в эксплуатацию, требующий небольшого обучения.

Эти возможности имеют значение, учитывая растущую изощренность кибератак, говорит Грегори. Если раньше для получения доступа с помощью брутфорс-атак, которые было относительно легко обнаружить, требовались месяцы, то сегодняшние злоумышленники могут взломать личность за считанные секунды. «Они собирают разведданные и взламывают нужные учетные записи, чтобы получить привилегии», — добавляет он.

Эти атаки часто охватывают несколько ресурсов, говорит Элли Меллен, главный аналитик Forrester. Например, злоумышленник может нацелиться на облачное приложение, получить доступ к идентификатору сотрудника, получить доступ к конечной точке, связанной с этим идентификатором, а затем перемещаться по сети.

ИССЛЕДОВАТЬ: Пентестер рассказывает, где можно улучшить безопасность здравоохранения.

«Это предполагает множество мер контроля. Вам нужна целостная картина, а не оповещения об отдельных действиях», — говорит Меллен. С этой целью организации также получают выгоду от анализа поведения пользователей, который создает профили сотрудников или устройств, взаимодействующих с сетью, чтобы выявить необычное поведение, которое может указывать на атаку.

Чтобы получить такую ​​информацию, SIEM-системам необходима тесная интеграция с инструментами безопасности. В конце концов, говорит Абрахам, платформа SIEM может отправлять оповещения только в отношении данных, которые она получает. Если эти подключения не существуют в стандартной комплектации, провайдер SIEM может добавить их по запросу или группы безопасности могут создать их самостоятельно.