Centrální sběr a vyhodnocování bezpečnostních událostí

Zveřejněno:

Technologii pro centrální sběr a vyhodnocování bezpečnostních událostí (Security Information and Event Management – SIEM) vnímáme jako centrální nástroj, který nám pomáhá zachytit veškeré události, které by pro naši interní bezpečnost mohly mít jakýkoliv význam z pohledu narušení integrity, důvěrnosti a dostupnosti dat. SIEM je tedy technologie, která umožňuje sbírat, ukládat a efektivně vyhodnocovat bezpečnostní události z IT systémů. Hlavním přínosem nasazení SIEM systému není pouhý sběr bezpečnostních událostí, ale především korelace – tedy automatizované vyhodnocování souvislostí – mezi událostmi z jednoho nebo i více systémů.

V posledních letech je patrný trend, kdy většina společností využívá množství systémů k detekci různých typů útoků, jako jsou systémy FW, IPS/IDS, DLP, NBA atd., ale opomíjí tyto události dávat do širších souvislostí – třeba kvůli tomu, že nemají ten správný nástroj. Dalším důležitým aspektem je opomíjení základní myšlenky řízení bezpečnosti, a to jak na takové útoky reagovat, jak s událostmi pracovat, komu je hlásit a jaká opatření přijmout, abychom v budoucnu, byť ne na 100 %, mohli riziku výskytu podobných hrozeb předcházet.

Pro bližší představu o tom, jak vlastně takovýto systém pracuje a jaké jsou jeho výhody, si pojďme povědět více. SIEM primárně musí posbírat potřebné auditní události, aby s nimi dále mohl pracovat. Většina nástrojů disponuje sadou předpřipravených konektorů, které nám pomáhají poměrně jednoduše zaintegrovat defacto jakýkoliv koncový systém od síťových zařízení počínaje, přes operační systémy, komerční aplikace až po inhouse vyvíjené aplikace. To, zdali technologicky provádíme sběr událostí z koncových systémů pomocí agentů, či bez nich, není až tak důležité a čistě záleží na zákazníkově preferenci. Finální podoba návrhu sběru událostí je většinou předmětem detailní analýzy, která je součástí komplexního projektu nasazení technologie SIEM.

Data, data a zase jen data

Jsme v situaci, kdy máme k dispozici data a je potřeba s nimi začít pracovat. Jako první úroveň zpracování se nabízí data normalizovat. A to tak, aby ve společné databázi bylo zajištěno, že se do příslušných databázových polí budou ukládat odpovídající položky typu kdo, kdy a co udělal, odkud událost přišla a hlavně jaký systém byl cílem této události.

Poté, co máme normalizovaná data k dispozici v jednotném formátu v centrální databázi, co s nimi provést? Budeme (ne my, ale SIEM) tyto události korelovat, tedy zaměříme se na to, co je pro nás důležité. V případě, že korelační pravidla jsou správně nastavena, můžeme z miliónů nezajímavých informací získat právě tu, která je pro nás důležitá. V rámci korelací SIEM obohacujeme události o kontextové informace, které nám umožňují vidět události lépe, a rychleji na detekované hrozby reagovat. Taková kontextová informace je například KDO (identita uživatele), KDE (kontextová analýza), CO (hodnota aktiv) a KDY.

Univerzální hlídač sítě

SIEM na základě výše uvedeného považujeme za komplexní technologický nástroj pro zajištění vašeho byznysu. Poskytuje kompletní viditelnost na každou aktivitu napříč IT infrastrukturou: externí hrozby, jako je malware, aktivita hackerů, interní hrozby v podobě úniku citlivých informací, rizika z chyb aplikací a změn konfigurace či tlak na splnění shody pro úspěšný audit.

Na závěr je potřeba si uvědomit, že samotné zavedení SIEMu není spásné a je zapotřebí tyto systémy s ohledem na rychlý vývoj technologií, nasazovaní nových systémů a čím dál tím více sofistikovaných útoků pravidelně udržovat a rozvíjet. Pokud se rozhodnete nasadit takovýto systém pouze z důvodu splnění regulatorních požadavků či na základě nálezu v auditní zprávě a nadále tento systém nebudete rozvíjet, jsou tyto nemalé investice typickým příkladem neefektivnosti využití vynaložených finančních prostředků. Na druhou stranu je zapotřebí říci, a společnost Dimension Data si to jako dodavatel plně uvědomuje, že zaměstnanci IT oddělení jsou dnes značně přetíženi a nemají možnost alokovat potřebné kapacity pro správu těchto systémů.

Společnost Dimension Data má v oblasti začlenění SIEMu do interního procesu řízení bezpečnosti potřebné znalosti a dlouholeté zkušenosti, a to jak s implementací, tak i následnou podporou. O tom svědčí řada zákazníků, pro které jsme strategickým a důvěryhodným partnerem.

Zákon o kybernetické bezpečnosti

Důležitým milníkem bude datum 1. 1. 2015, kdy vstupuje v platnost zákon o kybernetické bezpečnosti, který se bude primárně týkat subjektů provozujících významný informační systém veřejné správy a informační systémy důležité pro fungování kritické infrastruktury státu. Tento zákon specifikuje řadu organizačních a technických opatření, mezi které mimo jiné spadá povinnost dotčených subjektů používat nástroje pro zaznamenávání činností, které zajistí sběr informací o provozních a bezpečnostních událostech. Jelikož na tato technická opatření navazují i organizační opatření, které vycházejí víceméně ze standardu ISO 27 000, je právě využití SIEM technologie tím nejvhodnějším způsobem jak požadavky zákona naplnit.


Milan Janoušek

Solution Manager OSS/BSS
Dimension Data

Téma aktuálního čísla

CUSTOMER EXPERIENCE

Kontakt

Dimension Data Czech Republic s.r.o.
Na Hřebenech II 10
140 00 Praha 4
Tel: +420 255 770 111
Email: info.cz@dimensiondata.com
www.dimensiondata.com