Jak porozumět řeči síťových prvků?

Zveřejněno:

McAfee Security Incident and Event Management (SIEM)

Složitost podnikových architektur se neustále zvyšuje a síťová infrastruktura se velmi často skládá z velkého počtu zařízení různých výrobců a typů. Zajistit kvalitní dohled nad velkým množstvím zařízení a především logy a událostmi, které zařízení generují, začíná být pro mnoho firem nesnadným úkolem. Zejména pak s ohledem na schopnost co nejrychlejších reakcí a také na plnění legislativních povinností.

Informace! Více informací!

Pro jakékoli rozhodnutí je důležité mít k dispozici potřebné informace, v ideálním případě v reálném čase. Tedy nejpozději v okamžiku, kdy je vhodné zahájit reakci. Může jít jak o informace týkající se bezpečnosti, tak například o informace související s dostupností či aktuálním stavem používaných zařízení. Samotná včasnost dostupných informací ovšem nestačí, nezbytná je možnost komplexního pohledu na data včetně podpory analytického zpracování.

Nejčastěji je sběr těchto informací navázán na logy, resp. události generované jednotlivými prvky podnikové infrastruktury. Jednotlivé záznamy z každého zařízení jsou pomocí tzv. log managementu, nebo chcete-li správy logů sbírány a ukládány do centrálního úložiště, nad kterým lze provádět požadované operace.

Obtíže souvisí s komplexností

Důležitým aspektem je také skutečnost, že správa logů nemusí být implementována jen v souvislosti s provozními požadavky dané firmy, ale také v důsledku legislativních pravidel. Mnohé společnosti, například z bankovního sektoru, mají za povinnost zákonem, resp. závaznou normou nebo standardem uchovávat vybrané protokoly po stanovenou dobu.

Správa logů bez problémů

Správa logů a událostí je obvykle realizována konkrétním produktem, Dimension Data v této oblasti mj. jako partner společnosti McAfee dodává řešení McAfee Security Incident and Event Management skládající se z několika klíčových částí. Prvním důležitým prvkem je Enterprise Security Manager zpřístupňující jasný globální pohled na události v síti a umožňující snadné provádění auditů i udržování shody se standardy. Druhým prvkem je Enterprise Log Manager, který se stará o zajištění integrity dat a uchování logů po stanovenou dobu. Třetím prvkem celého řešení je Event Receiver, ke kterému se ještě vrátíme. Jednotlivé části tvoří celek patřící do kategorie tzv. SIEM systémů – Security Information and Event Management, tedy systémů pro správu bezpečnostních informací a událostí.

Ve své podstatě představuje Security Incident and Event Management řešení, které umožňuje aktivní sběr či pasivní příjem logů z jednotlivých zařízení s jejich následným uložením do centrálního úložiště. Významnou přidanou hodnotu představuje podpora reportingu, generování hlášení a varování, aktivních činností s využitím skriptování a zejména pak možnost analytického zpracování umožňující komplexní pohled na získaná data a odvození na první pohled skrytých souvislostí. Centrální úložiště umožňuje archivaci jednotlivých záznamů a jejich uložení v souladu s nejdůležitějšími standardy.

Na pozadí jsou moderní technologie

Technicky je řešení správy protokolů realizovatelné jak fyzickými zařízeními (i v podobě ucelených produktů typu vše v jednom), tak i virtuálními prostředky. Základem jsou tzv. receivery, které sbírají informace z jednotlivých zařízení a po jejich základní klasifikaci a normalizaci je předají hlavní řídící jednotce k dalšímu zpracování, příp. logy odešlou do centrálního úložiště k archivaci. V podání McAfee jde o již zmíněný Event Receiver. Hlavní řídící jednotka provede potřebné analýzy a na základě předdefinovaných pravidel zajistí vyvolání konkrétní akce. Reakce může mít podobu jak pasivního varování (SMS zpráva, e-mail, apod.), tak i aktivní činnosti připravené pomocí skriptovacích prostředků.

Zmíněná korelační pravidla jsou definována během analýzy a implementace řešení pro správu logů, v čase se jednotlivá pravidla již příliš nemění. Příkladem korelačního pravidla může být detekce neoprávněného přístupu uživatele, který desetkrát za sebou zadá špatné heslo a na jedenáctý pokus zadá heslo správné. S velkou pravděpodobností jde o pokus získání přístupu k chráněnému zdroji metodou postupného zadávání nejčastějších hesel. Samozřejmě může jít o událost tzv. falešně pozitivní a uživatel si prostě na jedenáctý pokus na správné heslo vzpomněl. Rozhodnutí o falešné pozitivitě může ovšem učinit pouze „živý“ prvek, například bezpečnostní operátor. Síla jednotlivých pravidel proto musí vždy vycházet z reálných požadavků a možností zákazníka.

Situace v ČR

Typická doba nasazení SIEM řešení se pohybuje mezi šesti měsíci a dvěma lety v závislosti na komplexnosti řešení a obvykle zákazníci pochází z bankovního a výrobního sektoru. Rozhodujícím faktorem při návrhu řešení není ani tak počet zařízení, ze kterých se budou logy sbírat, ale hlavně počet logů za vteřinu (tzv. EPS – Event per Second), které zařízení dohromady vygenerují. Příkladem implementace v České republice může být jak nasazení produktu McAfee pro cca desítku zařízení s maximální hodnotou 100 EPS, tak i implementace řešení pro cca 50 zařízení, kde se dosahuje maximální hodnoty kolem 1200 EPS. V obou případech jde o firmy působící ve finančním sektoru a jejich cílem bylo splnit legislativní podmínky související s archivací protokolů.

Důležitým přínosem implementace Security and Event Management řešení je výrazné zjednodušení běžného provozního života každé firmy se složitější infrastrukturou. Jistě, i z Prahy do Brna se dá dojít pěšky, ale autem je to mnohem pohodlnější a rychlejší. Manuální log management lze s vynaložením značného úsilí a financí zvládnout také, ale ruku na srdce – proč chodit pěšky?

Jakub Jež

Jakub Jež

System Engineer
Dimension Data Czech Republic

Do Dimension Data nastoupil v roce od roku 2007 po ukončení studia na vysoké škole. Vypracoval se v respektovaného specialistu na systémy zabezpečování podnikových síťových infrastruktur. Odborně se zaměřuje především na technologie SIEM a Cisco ISE.

Téma aktuálního čísla

ZÁKAZNICKÁ ZKUŠENOST

Kontakt

Dimension Data Czech Republic s.r.o.
Na Hřebenech II 10
140 00 Praha 4
Tel: +420 255 770 111
Email: info.cz@dimensiondata.com
www.dimensiondata.com