SIEM pomůže zabránit úniku citlivých informací z firmy

Peter Mikeska | 30.12.2013 | Bezpečnost | Žádné komentáře

Většina IT manažerů dokáže bez problémů odpovídat na otázky typu jaká je propustnost firemní sítě, jaký je dostupný úložný prostor, kolik dat se archivuje a pod. Ale na otázky jaká je bezpečnost firmy, jaká je shoda s požadavky legislativy, s ISO 27000, PCI – DSS, HIPAA či jaká je bezpečnost hlavních prvků firmy v určitém časovém horizontu, přichází většinou odpověď ve formě seznamu „krabiček“, které jsou nasazeny na různá místa ve firemní infrastruktuře, případně seznam incidentů, které příslušná krabička zaregistrovala.

Co je podezřelé na následující situaci? Ráno přišel řadový zaměstnanec (říkejme mu Jan) do práce, přihlásil se do sítě, zkopíroval si pár obrázků, s nimiž běžně pracoval, a poslal pár mailů. Předpokládejme, že Jan nedělal nic proti předpisům, pracoval se soubory, které mu patřily v rámci přístupů a pravomocí. Která ze krabiček nahlásí něco podezřelého? A je vůbec něco podezřelého?

Všechny události jsou v podstatě jen informačního charakteru, Jan nic neporušil a vy vlastně tuto událost prakticky ani nezaregistrujete. Dodejme však k tomu kontext a tehdy se už něco začne rýsovat. Jan přišel do práce v neděli, tedy v den, kdy nikdy do práce nechodí. Soubory, které si stáhl na lokální PC, mu sice patřily, ale byly to kritické dokumenty, jejichž únik má značný dopad na firmu a e-maily, které posílal, mířily na adresy konkurence nebo médií.

Zeptám se znovu, je teď něco podezřelého? Samozřejmě že ano, ale vidíte to jen v situaci, kdy jste měli k dispozici i další souvislosti.

Co dokáže technologie SIEM?

Správa bezpečnosti a ochrana informací potřebuje systémy, které dokáží poskytnout kontext a souvislosti mezi různými událostmi v čase napříč celým spektrem zařízení a systémy, dokáží jejich zachytit, zpracovat, korelovat a reagovat. Právě toto poskytují technologie SIEM.

Technologie SIEM (Security Information and Event Management) je definována podle Gartneru jako technologie poskytující detekci hrozeb a reakci na bezpečnostní incidenty pomocí real-time sběru logů a historické analýzy bezpečnostních událostí ze širokého spektra zdrojů logů a kontextuálních dat. Poskytuje reportování shody (compliance), vyšetřování incidentů přes analýzu historických dat z těchto zdrojů. Primární schopnosti technologií SIEM poskytují široké možnosti sběru událostí a funkce na korelaci a analýzu událostí napříč různorodými zdroji.

Současný způsob správy bezpečnosti ve firmách čelí problémům, jako jsou enormní množství dat, na které je nasazeno obrovské množství různých “ řešení “ od různých dodavatelů. Proč potom tak mnoho firem selhává při detekci hrozeb? Není to proto, že firmy nenasadily bezpečnostní řešení. Problém je v tom, že nasazování nových technologií bylo a je tak rychlé, že není čas udělat je bezpečnými – nasazují se řešení na jednotlivé problémy a oblasti, ale jejich vzájemná integrace a propojení selhává, a proto hodně hrozeb a útoků projde bez toho, aby si to někdo dal do souvislostí. Zpětně se pak zjistí, že potřebné údaje sice existovaly, ale nebyla „inteligence“, která by je spojila.

Technologie SIEM poskytuje schopnosti shromažďovat veškeré údaje z jakéhokoliv systému. Dokáže korelovat systémové události, toky informací, aktivity uživatelů a aplikací a pomůže odpovědět na otázku KDO, CO a KDY ze VŠEHO, co se událo nebo se právě děje ve vaší firmě. Uvidíte vztahy a vazby a dostanete souvislosti, které vám umožní reagovat na vzniklou situaci.

Moderní SIEM by měl obsahovat následující ingredience:

Sběr dat – podpora funkcí cenově efektivního získávání, indexování, ukládání a analýzy velkého množství strukturovaných i nestrukturovaných informací a schopnost efektivně v nich vyhledávat a reportovat v reálném číše. Poskytovat předdefinované reporty k okamžitému použití – ať už na sledování obecné IT Governance, nebo sledování specifických požadavků shody, jako je PCI – DSS, SOX, ISO, NIST, jednoduché vytváření ad hoc reportů, možnost připojení externích reportovacích nástrojů. Musí poskytovat možnosti archivace dat podle požadavků na dobu archivace, efektivně je komprimovat a garantovat jejich zabezpečení proti modifikaci.

Sběr údajů ze zařízení a aplikací se musí obejít bez instalování agentů v nejširší možné míře a měl by podporovat distribuované sbírání ze vzdálených poboček. Měl by poskytovat řízení přenosu dat po pomalých linkách, šifrování a inteligentní management pásma pro přenos dat. Samozřejmá musí být i schopnost uchovat události při výpadku spojení.

Moderní technologie SIEM poskytují předem připravené nastavení pro sběr údajů ze stovek zařízení a aplikací přímo out-of-box. Tím se ušetří množství času a financí při provádění a urychlí se nasazení do ostrého provozu. Připojení nových zařízení nebo aplikací by mělo být jednoduché a efektivní pomocí podpůrných softwarových nástrojů pro vytváření vlastních definic formátu zápisu událostí.

Konsolidace – sběr údajů musí poskytovat konsolidaci údajů, jednotný pohled na události (například každé špatné přihlášení generuje odlišné události na různých systémech), ale SIEM musí s nimi zacházet abstraktním jazykem pod jednotnou definicí (např. Failed Authentication) pro snadno pochopitelnou sémantiku pro porozumění vyhledávání. Standardem při komunikaci je používání jednotného formátu zápisu logu, který maximálně zefektivňuje sběr údajů, jako je např. CEF ( Common Event Format). Stále více zařízení a aplikací podporuje nativní logování do formátu CEF, což značně zjednodušuje jejich začlenění do infrastruktury SIEM.

Korelace – právě správná korelace vám umožní odfiltrovat šum a zaměřit se na to, co je důležité. Pokud je korelace udělaná správně, dostanete se z desítek milionů proběhlých událostí k JEDNÉ, která je důležitá.

Klíčem je poznání KDO (identita uživatele), KDE (kontextová analýza), CO (hodnota aktiv) a KDY (v časovém okně). Toto poznání vám pomůže pochopit skutečný dopad a riziko událostí. Pomůže zredukovat falešné poplachy a umožní zaměřit se na skutečné hrozby infrastruktury.

Samozřejmě že systém SIEM musí poskytovat i efektivní možnost grafického ovládání, jednoduchého vizuálního prezentování stavu a poskytnout dynamický a interaktivní obsah pro bezpečnostních analytiků a operátorů. Přes grafické rozhraní z centrálního dashboardu by se jednoduchým způsobem mělo dát dostat až k jednotlivým záznamům událostí.

Specifické nástavby a propojení – SIEM by měl poskytovat i specifické, připravené nástavby a rozšíření pro konkrétní oblasti včetně nástrojů, reportů a konfigurací, například pro PCI – DSS, ISO – IEC 27002, FISMA, HIPAA, JSOX, NERC, správu identit, detekci podvodů u finančních systémech, cloud monitoring, aplikační podporu, integraci do IDS-IPS a podobně, čímž dokáže zabezpečit rychlé a efektivní nasazení do kritických provozů.

Integrace do automatického systému monitoringu hrozeb umožní proaktivně reagovat na probíhající útok a automaticky odpojit zdroj hrozby.

Moderní systém SIEM je komplexní technologický nástroj pro zajištění vašeho byznysu, poskytuje kompletní viditelnost na každou aktivitu napříč IT infrastrukturou: externí hrozby, jako je malware či hackeři, interní hrozby, jako např. únik údajů a podvody, rizika z chyb aplikací a změn konfigurace či tlak na splnění shody pro úspěšný audit.

Autor pracuje jako Solution Architect : Security and Risk Assessment ve společnosti HP.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− dva = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz