Co je správce událostí zabezpečení?
Security Event Manager (SEM) je softwarový program, který se používá k analýze protokolů událostí v počítačové síti za účelem nalezení akcí, které mohou představovat bezpečnostní riziko. Tyto akce jsou odděleny od ostatních událostí a poté jsou zpřístupněny odborníkům v oblasti bezpečnosti, aby mohli náležitě jednat. Použití tohoto typu softwaru umožňuje odborníkům v oblasti informačních technologií (IT) rychleji identifikovat potenciální hrozby v síti a reagovat na ně. Existuje řada různých programů, které byly vyvinuty jako správce bezpečnostních událostí, i když většina z nich funguje docela podobným způsobem.
Tyto programy, které se někdy nazývají bezpečnostní informace nebo bezpečnostní informace a správce událostí, jsou obvykle automatizované systémy, které lze použít mnoha různými způsoby. Obecně je správce bezpečnostních událostí nainstalován do počítačového systému, například do sítě, a sleduje aktivity v tomto systému. Tyto programy konkrétně monitorují protokoly vytvořené na základě událostí, ke kterým dochází během základního provozu sítě. Protokol je záznam aktivity v systému a akce, jako například přihlášení uživatele do systému, uživatel poskytující nesprávné heslo a přijímaná data, mohou v tomto záznamu vytvořit události.
Software správce událostí zabezpečení sleduje data shromážděná těmito protokoly a hledá konkrétní typy událostí. Ty jsou poté zaznamenány manažerem a zaslány správcům a informačním technologiím nebo odborníkům v oblasti IT bezpečnosti oprávněným k přístupu do systému. To někomu umožňuje vidět informace o potenciálních bezpečnostních hrozbách proti síti mnohem rychleji, spíše než prohlížet všechny informace zaznamenané v protokolech aktivit. Použití správce událostí zabezpečení není pro zabezpečenou síť nezbytně vyžadováno, ale určitě může výrazně usnadnit detekci potenciálních útoků nebo interních problémů.
Jednou z hlavních nedostatků správce událostí zabezpečení v rámci zabezpečení sítě je však to, že dokáže detekovat útoky nebo neobvyklou aktivitu až poté, co k nim dojde. To znamená, že takové programy nejsou obvykle účinné jako odstrašující prostředky nebo jako způsoby ochrany systému před útokem. Většina odborníků v oblasti IT používá metody, jako jsou brány firewall a průběžné testování penetrace sítě, k hledání slabých stránek, které by někdo mohl použít k útoku na tento systém. To jim umožňuje zajistit bezpečnou síť a zároveň pomocí správce událostí zabezpečení hledat nedostatky, které možná zmeškali, nebo najít možné kompromisy v systému. Tyto programy SEM však musí být pravidelně aktualizovány, protože hackeři mohou být schopni vyvinout nové formy útoku, které detekci obejdou.