Wat is een Security Event Manager?
Een Security Event Manager (SEM) is een softwareprogramma dat wordt gebruikt om logs van gebeurtenissen op een computernetwerk te analyseren om acties te vinden die een beveiligingsrisico kunnen inhouden. Deze acties worden gescheiden van andere evenementen en vervolgens beschikbaar gemaakt voor beveiligingsprofessionals om op passende wijze op te treden. Door het gebruik van dit soort software kunnen IT-professionals (Information Technology) sneller potentiële bedreigingen voor een netwerk identificeren en erop reageren. Er zijn een aantal verschillende programma's ontwikkeld als een beveiligingsgebeurtenismanager, hoewel de meeste op redelijk vergelijkbare manieren werken.
Deze programma's worden soms beveiligingsinformatie of beveiligingsinformatie en gebeurtenisbeheer genoemd en zijn meestal geautomatiseerde systemen die op verschillende manieren kunnen worden gebruikt. Over het algemeen wordt een beveiligingsgebeurtenismanager geïnstalleerd op een computersysteem, zoals een netwerk, en bewaakt activiteiten op dat systeem. Deze programma's controleren specifiek de logs die zijn geproduceerd op basis van gebeurtenissen die plaatsvinden tijdens de basiswerking van het netwerk. Een logboek is een record van activiteit op een systeem, en acties zoals iemand die zich aanmeldt bij het systeem, een gebruiker die een onjuist wachtwoord verstrekt en ontvangen gegevens kunnen allemaal gebeurtenissen in dat record creëren.
De beveiligingsgebeurtenisbeheersoftware controleert de gegevens die door deze logboeken worden verzameld en zoekt naar specifieke soorten gebeurtenissen. Deze worden vervolgens vastgelegd door de manager en meegestuurd naar beheerders en informatietechnologie of IT-beveiligingsprofessionals die geautoriseerd zijn voor toegang tot het systeem. Hierdoor kan iemand sneller informatie over potentiële beveiligingsbedreigingen tegen een netwerk zien, in plaats van alle informatie te bekijken die in activiteitenlogboeken is vastgelegd. Het gebruik van een beveiligingsgebeurtenismanager is niet strikt vereist voor een veilig netwerk, maar het kan zeker het detecteren van potentiële aanvallen of interne problemen veel gemakkelijker maken.
Een van de belangrijkste tekortkomingen van een beveiligingsgebeurtenisbeheerder binnen netwerkbeveiliging is echter dat deze alleen aanvallen of ongebruikelijke activiteiten kan detecteren nadat ze zich hebben voorgedaan. Dit betekent dat dergelijke programma's doorgaans niet effectief zijn als afschrikmiddel of als manier om een systeem tegen een aanval te beschermen. De meeste IT-professionals gebruiken methoden zoals firewalls en voortdurende penetratietests van een netwerk om te zoeken naar zwakke punten die iemand zou kunnen gebruiken om dat systeem aan te vallen. Hiermee kunnen ze ervoor zorgen dat het netwerk veilig is, terwijl ze een beveiligingsgebeurtenismanager gebruiken om te zoeken naar fouten die ze mogelijk hebben gemist, of om mogelijke compromissen binnen het systeem te vinden. Deze SEM-programma's moeten doorgaans echter regelmatig worden bijgewerkt, omdat hackers mogelijk nieuwe vormen van aanvallen kunnen ontwikkelen die detectie omzeilen.