Sono uno studente che lavora al mio progetto semestrale e riguarda lo sviluppo di una soluzione SIEM con strumenti Big Data da utilizzare in un SOC (centro operativo di sicurezza) e so che è possibile utilizzare i registri di raccolta per analisi, controllo o conformità . Cercando la differenza tra conformità e audit, mi sembra ancora piuttosto vago.
Il modo in cui mi è stato spiegato a un livello molto semplice è il seguente:
Controllo si riferisce al vedere chi ha fatto cosa, quando dove, questo potrebbe includere sistemi e persone. Probabilmente sentirai i termini "log di controllo" che si riferiscono a una serie di log che indicano chi ha lavorato su un sistema, quando e cosa hanno fatto.
Conformità si riferisce al ticchettare (o meno) una serie di caselle dopo aver effettuato la verifica. Pensa alla conformità come alla seguente domanda "Le mie azioni segnano tutte le caselle?" Per esempio. L'accesso ai dati dei tuoi clienti è limitato ai soli utenti privilegiati? Quindi esegui un "audit" (investiga i log di accesso) e se nessun utente non autorizzato può interrogare i dati, allora sei conforme, quindi tu passi qualche Compliance.
Come li colleghi in un SIEM? A seconda dei dati acquisiti e degli standard di conformità, è possibile interrogare semplicemente i dati e quindi avviare caselle di spunta per verificare la conformità.
Questa è una spiegazione molto semplice a livello tecnico. La conformità e il controllo sono leggermente diversi quando si parla di revisione legale, controllo finanziario e conformità.
@Florin Coada ha una buona spiegazione. Mi piace pensarlo così:
La conformità riguarda lo stato delle cose. Il controllo riguarda le azioni intraprese su cose.
La conformità guarda avanti, l'auditing guarda indietro.
Supponiamo che ci sia un problema di sicurezza: l'account di un dipendente terminato non viene cancellato in tempo e vi si accede. I dati sono trapelati.
La conformità guarderebbe a questo e direbbe: "Abbiamo processi in atto per impedirlo? Quali sono questi processi? Riempiono questo elenco di requisiti? I nostri requisiti sono accurati?"
L'auditing guarderebbe questo e dirà: "Il processo è stato seguito? Qual è stato il risultato di questo? Chi era responsabile per l'azione X ed è stato fatto in modo tempestivo?"
Un altro modo di pensare a questo, non dal punto di vista dell'incidente di sicurezza, è dire che la Compliance stabilisce le regole e che Auditing controlla l'aderenza alle regole. Sotto questo, la Compliance direbbe, "La tua documentazione per questo sistema deve essere memorizzata in questo sistema, in questo modo." Il controllo direbbe "La tua documentazione per questo sistema è memorizzata in modi che la Compliance ha richiesto?"
Quando parli di Conformità e Controllo devi sempre definire il rispettivo ambito. Un sistema, un processo o un controllo non possono solo essere conformi . È sempre conforme a qualcosa .
Per citare da Wikipedia :
Regulatory compliance describes the goal that organizations aspire to achieve in their efforts to ensure that they are aware of and take steps to comply with relevant laws, policies, and regulations.
Una delle leggi più significative negli Stati Uniti che è un tipico esempio di come le aziende stabiliscono le politiche interne per Conformità con alcune sezioni della suddetta legge, è Sarbanes-Oxley Act of 2002 . Se cerchi interwebz o questo sito per " conformità sox " troverai molti buoni esempi per come influenza le aziende e in particolare troverai molte raccomandazioni per politiche che aiuteranno a raggiungere la conformità con SOX.
Come può un SIEM essere utile in questo caso? Fornisce i log seguendo le regole specificate - e quindi in qualche modo dimostra - se le politiche di conformità scritte sono effettivamente applicate e quindi se i processi in questione sono effettivamente conformi alla legge o ai regolamenti.
Questo in genere viene verificato con un controllo . Un controllo è un "test" se qualcuno o qualcosa è conforme a qualcosa. Ad esempio, un'azienda desidera ottenere la certificazione ISMS ISO / IEC 27001 . L'implementazione e la conformità con ISO / IEC 27001 mostrano l'impegno di un'azienda verso la sicurezza delle informazioni per clienti e governi e ottiene (preferibilmente) regolarmente controllati da un'altra entità esterna indipendente. < br> Tornando alla tua domanda: un SIEM può fornire dati per un audit del genere. Ciò che è più importante, un SIEM rende più facile determinare se si stanno rispettando le politiche o le leggi che si sta affermando di rispettare . L'auditor può verificare se c'è solo una politica interna che dice "Do X perché la legge Y lo dice". o se è effettivamente fatto.
Perché è più semplice determinare se hai un SIEM? Poiché molti framework ti chiedono di implementare una qualche forma di analisi dei dati automatica e / o la registrazione di ad es. eventi di sicurezza. Un SIEM fa esattamente questo.
TL; DR:
Un SIEM è un sistema che fornisce dati e lo analizza automaticamente con un determinato set di regole. È necessario un controllo per determinare se tutti i prerequisiti per il raggiungimento della conformità sono soddisfatti. Un SIEM può aiutare con tale determinazione, perché rende più facile controllare, se le politiche interne sono effettivamente applicate.
Leggi altre domande sui tag terminology logging siem soc