Security intelligence (SI)

Security intelligence (SI) is de informatie die relevant is voor de bescherming van een organisatie tegen externe en interne bedreigingen, alsmede de processen, beleidslijnen en hulpmiddelen die zijn ontworpen om die informatie te verzamelen en te analyseren.

Intelligence, in deze context, is bruikbare informatie die een organisatie ondersteuning biedt bij de besluitvorming en mogelijk een strategisch voordeel oplevert. SI is een alomvattende aanpak die meerdere processen en praktijken integreert die zijn ontworpen om de organisatie te beschermen.

Elementen van security intelligence zijn:

Log management: De collectieve processen en beleidslijnen die worden gebruikt om het genereren, verzenden, analyseren, opslaan en uiteindelijk verwijderen van de grote hoeveelheden loggegevens die binnen een informatiesysteem worden gecreëerd, te beheren en te vergemakkelijken.

Security information and event management (SIEM): Een benadering van beveiligingsbeheer die streeft naar een holistisch beeld van de beveiliging van de informatietechnologie (IT) van een organisatie. De meeste SIEM-systemen maken gebruik van meerdere verzamelagenten om beveiligingsgebeurtenissen te verzamelen van eindgebruikersapparaten, servers, netwerkapparatuur en gespecialiseerde beveiligingsapparatuur zoals firewalls, antivirus- of intrusion prevention-systemen. De verzamelaars sturen gebeurtenissen door naar een gecentraliseerde beheerconsole, die inspecties uitvoert en anomalieën signaleert. 

Netwerkgedrag anomaliedetectie (NBAD): Het continu monitoren van een netwerk op ongebruikelijke gebeurtenissen of trends. Een NBAD-programma volgt kritische netwerkkenmerken in realtime en genereert een alarm als een vreemde gebeurtenis of trend wordt gedetecteerd die zou kunnen wijzen op de aanwezigheid van een bedreiging. NBAD is een integraal onderdeel van netwerkgedragsanalyse (NBA).

Risicomanagement: Het proces van identificeren, beoordelen en beheersen van bedreigingen voor het kapitaal en de winst van een organisatie. Dergelijke bedreigingen omvatten financiële onzekerheid, juridische aansprakelijkheden, strategische managementfouten, ongelukken, natuurrampen en informatietechnologie (IT) veiligheidsbedreigingen.

Netwerk forensisch onderzoek: Het vastleggen, registreren en analyseren van netwerkgebeurtenissen met als doel de bron van beveiligingsaanvallen of andere probleemincidenten te achterhalen. "Catch-it-as-you-can"-systemen leggen alle pakketten vast die een bepaald verkeerspunt passeren, slaan de gegevens op en voeren vervolgens analyses uit in batchmodus.  "Stop, look and listen"-systemen voeren een rudimentaire analyse uit in het geheugen en slaan alleen bepaalde gegevens op voor toekomstige analyse.