Vad är en säkerhetshändelseshanterare?
En Security Event Manager (SEM) är ett program som används för att analysera loggar över händelser i ett datornätverk för att hitta åtgärder som kan utgöra en säkerhetsrisk. Dessa åtgärder är separerade från andra händelser och görs sedan tillgängliga för säkerhetspersonal att agera på lämpligt sätt. Användningen av denna typ av programvara gör det möjligt för IT-tekniker att snabbare identifiera och agera på potentiella hot mot ett nätverk. Det finns ett antal olika program som har utvecklats som säkerhetshändelseshanterare, även om de flesta av dem fungerar på ganska liknande sätt.
Ibland kallas säkerhetsinformation eller säkerhetsinformation och evenemangshanterare. Dessa program är vanligtvis automatiserade system som kan användas på ett antal olika sätt. I allmänhet är en säkerhetshändelseshanterare installerad på ett datorsystem, t.ex. ett nätverk, och övervakar aktiviteter på det systemet. Dessa program övervakar specifikt loggar som produceras baserat på händelser som inträffar under grundläggande drift av nätverket. En logg är en aktivitetsregistrering i ett system, och åtgärder som någon loggar in i systemet, en användare som har ett felaktigt lösenord och data som tas emot kan alla skapa händelser i den posten.
Programvaran för säkerhetshändelseshanteraren övervakar data som samlas in i dessa loggar och letar efter specifika typer av händelser. Dessa registreras sedan av chefen och skickas till administratörer och informationsteknologi eller IT-säkerhetspersonal som har behörighet att komma åt systemet. Detta gör att någon kan se information om potentiella säkerhetshot mot ett nätverk mycket snabbare, snarare än att granska all information som finns registrerad i aktivitetsloggar. Användningen av en säkerhetshändelseshanterare krävs inte strikt för ett säkert nätverk, men det kan säkert göra detektering av potentiella attacker eller interna problem mycket enklare.
En av de största bristerna hos en säkerhetshändelseshanterare inom nätverkssäkerhet är dock att den endast kan upptäcka attacker eller ovanlig aktivitet när de har inträffat. Detta innebär att sådana program vanligtvis inte är effektiva som avskräckande medel eller som sätt att skydda ett system mot en attack. De flesta IT-proffs använder metoder som brandväggar och pågående penetrationstest av ett nätverk för att leta efter svagheter som någon kan använda för att attackera det systemet. Detta gör att de kan säkerställa att nätverket är säkert, medan de använder en säkerhetshändelseshanterare för att leta efter brister som de kan ha missat, eller hitta potentiella kompromisser i systemet. Dessa SEM-program måste emellertid uppdateras regelbundet, eftersom hackare kanske kan utveckla nya former av attacker som går förbi detektering.