Hva er en sikkerhetshendelsesansvarlig?
En Security Event Manager (SEM) er et program som brukes til å analysere logger over hendelser i et datanettverk for å finne handlinger som kan utgjøre en sikkerhetsrisiko. Disse handlingene er atskilt fra andre hendelser, og blir deretter gjort tilgjengelig for fagfolk i sikkerhet for å handle på riktig måte. Bruken av denne typen programvare gjør at IT-fagfolk raskere kan identifisere og handle etter potensielle trusler mot et nettverk. Det er en rekke forskjellige programmer som er utviklet som manager for sikkerhetshendelser, selv om de fleste av dem fungerer på ganske like måter.
Noen ganger kalt en sikkerhetsinformasjon eller sikkerhetsinformasjon og event manager. Disse programmene er vanligvis automatiserte systemer som kan brukes på en rekke forskjellige måter. Generelt sett er en sikkerhetshendelsemanager installert på et datasystem, for eksempel et nettverk, og overvåker aktiviteter på dette systemet. Disse programmene overvåker spesielt logger som er produsert basert på hendelser som oppstår under grunnleggende drift av nettverket. En logg er en registrering av aktivitet i et system, og handlinger som noen logger seg på systemet, en bruker som gir et feil passord, og data som mottas, kan alle opprette hendelser i den posten.
Programvaren for sikkerhetshændelse overvåker dataene som er samlet inn i disse loggene, og ser etter spesifikke typer hendelser. Disse blir deretter registrert av lederen og sendt videre til administratorer og informasjonsteknologi eller IT-sikkerhetsfagfolk som er autorisert til å få tilgang til systemet. Dette gjør at noen kan se informasjon om potensielle sikkerhetstrusler mot et nettverk mye raskere, i stedet for å gjennomgå all informasjonen som er registrert i aktivitetslogger. Bruken av en sikkerhetshendelsesansvarlig er ikke strengt nødvendig for et sikkert nettverk, men det kan absolutt gjøre detektering av potensielle angrep eller interne problemer mye enklere.
En av de største manglene ved en sikkerhetshendelsesansvarlig innen nettverkssikkerhet er imidlertid at den bare kan oppdage angrep eller uvanlig aktivitet når de har skjedd. Dette betyr at slike programmer vanligvis ikke er effektive som avskrekkende midler eller som måter å beskytte et system mot et angrep. De fleste IT-fagfolk bruker metoder som brannmurer og pågående penetrasjonstesting av et nettverk for å se etter svakheter som noen kan bruke for å angripe det systemet. Dette lar dem sikre at nettverket er sikkert, mens de bruker en sikkerhetshendelsesleder for å se etter feil de kan ha gått glipp av, eller for å finne potensielle kompromisser i systemet. Disse SEM-programmene må imidlertid vanligvis oppdateres regelmessig, siden hackere kan være i stand til å utvikle nye former for angrep som omgår deteksjon.