IT & systémy | IT bezpečnosť

Ako zabrániť úniku citlivých informácií zvnútra firmy?

Technológia SIEM poskytuje detekciu hrozieb a reakciu na bezpečnostné incidenty pomocou real-time zberu logov a historickej analýzy bezpečnostných udalostí zo širokého spektra zdrojov logov a kontextuálnych dát

29.12.2013 | Zdroj: Infoware

Peter Mikeska, Solution Architect: Security and Risk Assessment, HP Slovensko 

Článok bol pôvodne publikovaný na portáli Infoware.

Väč­ši­na IT ma­na­žé­rov do­ká­že od­po­ve­dať na otáz­ky, aká je prie­pus­tnosť sie­te, aký je dos­tup­ný sto­ra­ge, koľ­ko úda­jov sa ar­chi­vu­je a pod. Ale na otáz­ky, aká je bez­peč­nosť fir­my, aká je zho­da s po­žia­dav­ka­mi le­gis­la­tí­vy, s ISO 27000, PCI-DSS, HI­PAA, aká je bez­peč­nosť kľú­čo­vých pr­vkov fir­my v ča­se, pri­chá­dza väč­ši­nou od­po­veď vo for­me zoz­na­mu „ška­tu­liek", kto­ré sú na­sa­de­né na rôz­ne mies­ta vo fi­rem­nej infra­štruk­tú­re, prí­pad­ne zoz­na­mu in­ci­den­tov, kto­ré prís­luš­ná ška­tuľ­ka za­re­gis­tro­va­la.

Čo je po­doz­ri­vé na nas­le­du­jú­cej si­tuá­cii? Rá­no pri­šiel ra­do­vý za­mes­tna­nec (vo­laj­me ho Jan­ko) do prá­ce, prih­lá­sil sa do sie­te, sko­pí­ro­val si pár sú­bo­rov, s kto­rý­mi bež­ne pra­co­val, a pos­lal pár mai­lov. Pred­pok­la­daj­me, že Jan­ko ne­ro­bil nič pro­ti pred­pi­som, pra­co­val so sú­bor­mi, kto­ré mu pat­ri­li v rám­ci prís­tu­pov a prá­vo­mo­cí. Kto­rá zo ška­tu­liek nah­lá­si nie­čo po­doz­ri­vé? A je vô­bec nie­čo po­doz­ri­vé?

Všet­ky uda­los­ti sú v pod­sta­te len in­for­mač­né­ho cha­rak­te­ru, Jan­ko nič ne­po­ru­šil a vy vlas­tne tú­to uda­losť prak­tic­ky ani ne­za­re­gis­tru­je­te. Do­daj­me však k to­mu kon­text a vte­dy sa nie­čo za­čne čr­tať. Jan­ko pri­šiel do prá­ce v ne­de­ľu, v deň, keď on nik­dy do prá­ce ne­cho­dí. Sú­bo­ry, kto­ré si stia­hol na lo­kál­ny PC, mu sí­ce pat­ri­li, ale bo­li to kri­tic­ké do­ku­men­ty, kto­rých únik má znač­ný do­sah na fir­mu, a mai­ly, kto­ré po­sie­lal, mie­ri­li na ad­re­sy kon­ku­ren­cie ale­bo mé­dií.

Spý­tam sa zno­va, je te­raz nie­čo po­doz­ri­vé? Chý­ba­li vám sú­vis­los­ti?

Sprá­va bez­peč­nos­ti a ochra­na in­for­má­cií pot­re­bu­je sys­té­my, kto­ré do­ká­žu pos­kyt­núť kon­text a sú­vis­los­ti me­dzi rôz­ny­mi uda­los­ťa­mi v ča­se na­prieč ce­lým spek­trom za­ria­de­ní a sys­té­mov, do­ká­žu ich za­chy­tiť, spra­co­vať, ko­re­lo­vať a rea­go­vať. Prá­ve to­to pos­ky­tu­jú tech­no­ló­gie SIEM.

Tech­no­ló­gia SIEM (Se­cu­ri­ty In­for­ma­tion and Event Ma­na­ge­ment) je de­fi­no­va­ná pod­ľa Gar­tne­ru ako tech­no­ló­gia pos­ky­tu­jú­ca de­tek­ciu hro­zieb a reak­ciu na bez­peč­nos­tné in­ci­den­ty po­mo­cou real-ti­me zbe­ru lo­gov a his­to­ric­kej ana­lý­zy bez­peč­nos­tných uda­los­tí zo ši­ro­ké­ho spek­tra zdro­jov lo­gov a kon­textuál­nych dát. Pos­ky­tu­je re­por­to­va­nie zho­dy (com­plian­ce), vy­šet­ro­va­nie in­ci­den­tov cez ana­lý­zu his­to­ric­kých úda­jov z tých­to zdro­jov. Pri­már­ne schop­nos­ti tech­no­ló­gií SIEM pos­ky­tu­jú ši­ro­ké mož­nos­ti zbe­ru uda­los­tí a fun­kcie na ko­re­lá­ciu a ana­lý­zu uda­los­tí na­prieč rôz­no­ro­dý­mi zdroj­mi.

Sú­čas­ný spô­sob sprá­vy bez­peč­nos­ti vo fir­mách če­lí prob­lé­mom, ako sú enor­mné množ­stvá úda­jov, na kto­ré je na­sa­de­né ob­rov­ské množ­stvo rôz­nych „rie­še­ní" od rôz­nych do­dá­va­te­ľov. Pre­čo po­tom tak ve­ľa fi­riem zly­há­va pri de­tek­cii hro­zieb? Nie je to pre­to, že fir­my ne­na­sa­di­li bez­peč­nos­tné rie­še­nie. Prob­lém je v tom, že na­sa­dzo­va­nie no­vých tech­no­ló­gií bo­lo a je ta­ké rých­le, že nie je čas uro­biť ich bez­peč­ný­mi, na­sa­dzu­jú sa rie­še­nia na jed­not­li­vé prob­lé­my a ob­las­ti, ale ich vzá­jom­ná in­teg­rá­cia a pre­po­je­nie zly­há­va, a pre­to ve­ľa hro­zieb a úto­kov prej­de bez to­ho, aby si to niek­to dal do sú­vis­los­tí. Spät­ne sa po­tom zis­tí, že tie vlas­tne úda­je exis­to­va­li, ale ne­bo­la „in­te­li­gen­cia", kto­rá by ich spo­ji­la.

Tech­no­ló­gia SIEM pos­ky­tu­je schop­nos­ti zbie­rať aké­koľ­vek úda­je z aké­ho­koľ­vek sys­té­mu. Do­ká­že ko­re­lo­vať sys­té­mo­vé uda­los­ti, flow in­for­má­cie, ak­ti­vi­ty pou­ží­va­te­ľov a ap­li­ká­cií a po­mô­že od­po­ve­dať na otáz­ku KTO, ČO a KE­DY zo VŠETKÉHO, čo sa udia­lo ale­bo sa prá­ve de­je vo va­šej fir­me. Uvi­dí­te vzťa­hy a spo­je­nia a dos­ta­ne­te sú­vis­los­ti, kto­ré vám umož­nia rea­go­vať na vznik­nu­tú si­tuáciu.

Mo­der­ný SIEM by mal ob­sa­ho­vať nas­le­du­jú­ce in­gre­dien­cie:

Zber úda­jov- pod­po­ra fun­kcií ce­no­vo efek­tív­ne­ho zhro­maž­ďo­va­nia, in­dexova­nia, uk­la­da­nia a ana­lý­zy veľ­ké­ho množ­stva štruk­tú­ro­va­ných aj neš­truk­tú­ro­va­ných in­for­má­cií a schop­nosť efek­tív­ne v nich vy­hľa­dá­vať a re­por­to­vať v reál­nom ča­še. Pos­ky­to­vať pred­de­fi­no­va­né re­por­ty na okam­ži­té pou­ži­tie - či už na sle­do­va­nie všeo­bec­nej IT Go­ver­nan­ce, ale­bo sle­do­va­nie špe­ci­fic­kých po­žia­da­viek zho­dy, ako je PCI-DSS, SOX, ISO, NIST, jed­no­du­ché vy­tvá­ra­nie ad hoc re­por­tov, mož­nosť pri­po­je­nia exter­ných re­por­to­va­cích nás­tro­jov. Mu­sí pos­ky­to­vať mož­nos­ti ar­chi­vá­cie úda­jov pod­ľa po­žia­da­viek na do­bu ar­chi­vá­cie, efek­tív­ne ich kom­pri­mo­vať a ga­ran­to­vať ich za­bez­pe­če­nie pro­ti mo­di­fi­ko­va­niu.

Zber úda­jov zo za­ria­de­ní, ap­li­ká­cií sa mu­sí za­obísť bez in­šta­lo­va­nia agen­tov v naj­šir­šej mož­nej mie­re, mal by pos­ky­to­vať dis­tri­buo­va­né zbie­ra­nie zo vzdia­le­ných po­bo­čiek. Mal by pos­ky­to­vať ria­de­nie pre­no­su úda­jov po po­ma­lých lin­kách, šif­ro­va­nie a in­te­li­gent­ný ma­naž­ment pás­ma na pre­nos úda­jov. Sa­moz­rej­má mu­sí byť aj schop­nosť ucho­vať uda­los­ti pri vý­pad­ku spo­je­nia.

Mo­der­né tech­no­ló­gie SIEM pos­ky­tu­jú vop­red prip­ra­ve­né nas­ta­ve­nia na zber úda­jov zo sto­viek za­ria­de­ní a ap­li­ká­cií pria­mo out-of-box. Tým sa ušet­rí množ­stvo ča­su a fi­nan­cií pri im­ple­men­tá­cii a urých­li sa na­sa­de­nie do os­trej pre­vádz­ky. Pri­po­je­nie no­vých za­ria­de­ní ale­bo ap­li­ká­cií by ma­lo byť jed­no­du­ché a efek­tív­ne po­mo­cou pod­por­ných sof­tvé­ro­vých nás­tro­jov na vy­tvá­ra­nie vlas­tných de­fi­ní­cií for­má­tu zá­pi­su uda­los­tí.

Kon­so­li­dá­cia- zber úda­jov mu­sí pos­ky­to­vať kon­so­li­dá­ciu úda­jov, jed­not­ný poh­ľad na uda­los­ti (nap­rík­lad kaž­dé zlé prih­lá­se­nie ge­ne­ru­je od­liš­né uda­los­ti na rôz­nych sys­té­moch), ale SIEM mu­sí na­rá­bať s ni­mi abstrak­tným ja­zy­kom pod jed­not­nou de­fi­ní­ciou (napr. Fai­led Aut­hen­ti­ca­tion) pre ľah­ko po­cho­pi­teľ­nú sé­man­ti­ku na po­ro­zu­me­nie vy­hľa­dá­va­nia. Štan­dar­dom pri ko­mu­ni­ká­cii je pou­ží­va­nie jed­not­né­ho for­má­tu zá­pi­su lo­gu, kto­rý maximál­ne ze­fek­tív­ňu­je zber úda­jov, ako je napr. CEF (Com­mon Event For­mat). Čo­raz viac za­ria­de­ní a ap­li­ká­cií pod­po­ru­je na­tív­ne lo­go­va­nie do for­má­tu CEF, čo znač­ne zjed­no­du­šu­je ich za­čle­ne­nie do infra­štruk­tú­ry SIEM.

Ko­re­lá­cia- dô­vod, pre­čo pot­re­bu­je­te dob­rú ko­re­lá­ciu, je ten, že prá­ve správ­na ko­re­lá­cia vám umož­ní od­filtro­vať šum a za­me­rať sa na to, čo je dô­le­ži­té. Ak je ko­re­lá­cia uro­be­ná správ­ne, dos­ta­ne­te sa zDE­SIA­TOK MI­LIÓNOV uda­los­tí naJED­NU, kto­rá je dô­le­ži­tá.

Kľú­čom je poz­na­nie KTO (iden­ti­ta pou­ží­va­te­ľa), KDE (kon­texto­vá ana­lý­za), ČO (hod­no­ta as­se­tu), KE­DY (v ča­so­vom ok­ne). To­to poz­na­nie vám po­mô­že po­cho­piť sku­toč­ný do­sah a ri­zi­ko uda­los­ti. Po­mô­že zre­du­ko­vať fa­loš­né pop­la­chy a umož­ní za­me­rať sa na sku­toč­né hroz­by infra­štruk­tú­ry.

Sa­moz­rej­me, sys­tém SIEM mu­sí pos­ky­to­vať aj efek­tív­nu mož­nosť gra­fic­ké­ho ov­lá­da­nia, jed­no­du­ché­ho vi­zuál­ne­ho pre­zen­to­va­nia sta­vu a pos­kyt­núť dy­na­mic­ký a inter­ak­tív­ny ob­sah pre bez­peč­nos­tných ana­ly­ti­kov a ope­rá­to­rov. Cez gra­fic­ké roz­hra­nie z cen­trál­ne­ho das­hboar­du by sa jed­no­du­chým spô­so­bom ma­lo dať dos­tať až k jed­not­li­vým zá­zna­mom uda­los­tí.

Špe­ci­fic­ké nad­stav­by a pre­po­je­nia- SIEM by mal pos­ky­to­vať aj špe­ci­fic­ké, prip­ra­ve­né nad­stav­by a roz­ší­re­nia pre kon­krét­ne ob­las­ti vrá­ta­ne nás­tro­jov, re­por­tov a kon­fi­gu­rá­cií, nap­rík­lad pre PCI-DSS, ISO-IEC 27002, FIS­MA, HI­PAA, JSOX, NERC, sprá­vu iden­tít, de­tek­ciu pod­vo­dov pri fi­nan­čných sys­té­moch, cloud mo­ni­to­ring, ap­li­kač­nú pod­po­ru, in­teg­rá­ciu do IDS-IPS a po­dob­ne, čím do­ká­že za­bez­pe­čiť rých­le a efek­tív­ne na­sa­de­nie do kri­tic­kých pre­vá­dzok.

In­teg­rá­cia do auto­ma­tic­ké­ho sys­té­mu mo­ni­to­rin­gu hro­zieb umož­ní proak­tív­ne rea­go­vať na pre­bie­ha­jú­ci útok a auto­ma­tic­ky od­po­jiť zdroj hroz­by.

Mo­der­ný sys­tém SIEM je kom­plex­ný tech­no­lo­gic­ký nás­troj na za­bez­pe­če­nie váš­ho biz­ni­su, pos­ky­tu­je kom­plet­nú vi­di­teľ­nosť na kaž­dú ak­ti­vi­tu na­prieč IT infra­štruk­tú­rou: exter­né hroz­by, ako je mal­vér či hac­ke­ri, inter­né hroz­by, ako napr. únik úda­jov a pod­vo­dy, ri­zi­ká z chýb ap­li­ká­cií a zmien kon­fi­gu­rá­cie, tlak na spl­ne­nie zho­dy pre ús­peš­ný audit.