IT & systémy | IT bezpečnosť
Ako zabrániť úniku citlivých informácií zvnútra firmy?
Technológia SIEM poskytuje detekciu hrozieb a reakciu na bezpečnostné incidenty pomocou real-time zberu logov a historickej analýzy bezpečnostných udalostí zo širokého spektra zdrojov logov a kontextuálnych dát
29.12.2013 | Zdroj: Infoware
Peter Mikeska, Solution Architect: Security and Risk Assessment, HP Slovensko
Článok bol pôvodne publikovaný na portáli Infoware.
Väčšina IT manažérov dokáže odpovedať na otázky, aká je priepustnosť siete, aký je dostupný storage, koľko údajov sa archivuje a pod. Ale na otázky, aká je bezpečnosť firmy, aká je zhoda s požiadavkami legislatívy, s ISO 27000, PCI-DSS, HIPAA, aká je bezpečnosť kľúčových prvkov firmy v čase, prichádza väčšinou odpoveď vo forme zoznamu „škatuliek", ktoré sú nasadené na rôzne miesta vo firemnej infraštruktúre, prípadne zoznamu incidentov, ktoré príslušná škatuľka zaregistrovala.
Čo je podozrivé na nasledujúcej situácii? Ráno prišiel radový zamestnanec (volajme ho Janko) do práce, prihlásil sa do siete, skopíroval si pár súborov, s ktorými bežne pracoval, a poslal pár mailov. Predpokladajme, že Janko nerobil nič proti predpisom, pracoval so súbormi, ktoré mu patrili v rámci prístupov a právomocí. Ktorá zo škatuliek nahlási niečo podozrivé? A je vôbec niečo podozrivé?
Všetky udalosti sú v podstate len informačného charakteru, Janko nič neporušil a vy vlastne túto udalosť prakticky ani nezaregistrujete. Dodajme však k tomu kontext a vtedy sa niečo začne črtať. Janko prišiel do práce v nedeľu, v deň, keď on nikdy do práce nechodí. Súbory, ktoré si stiahol na lokálny PC, mu síce patrili, ale boli to kritické dokumenty, ktorých únik má značný dosah na firmu, a maily, ktoré posielal, mierili na adresy konkurencie alebo médií.
Spýtam sa znova, je teraz niečo podozrivé? Chýbali vám súvislosti?
Správa bezpečnosti a ochrana informácií potrebuje systémy, ktoré dokážu poskytnúť kontext a súvislosti medzi rôznymi udalosťami v čase naprieč celým spektrom zariadení a systémov, dokážu ich zachytiť, spracovať, korelovať a reagovať. Práve toto poskytujú technológie SIEM.
Technológia SIEM (Security Information and Event Management) je definovaná podľa Gartneru ako technológia poskytujúca detekciu hrozieb a reakciu na bezpečnostné incidenty pomocou real-time zberu logov a historickej analýzy bezpečnostných udalostí zo širokého spektra zdrojov logov a kontextuálnych dát. Poskytuje reportovanie zhody (compliance), vyšetrovanie incidentov cez analýzu historických údajov z týchto zdrojov. Primárne schopnosti technológií SIEM poskytujú široké možnosti zberu udalostí a funkcie na koreláciu a analýzu udalostí naprieč rôznorodými zdrojmi.
Súčasný spôsob správy bezpečnosti vo firmách čelí problémom, ako sú enormné množstvá údajov, na ktoré je nasadené obrovské množstvo rôznych „riešení" od rôznych dodávateľov. Prečo potom tak veľa firiem zlyháva pri detekcii hrozieb? Nie je to preto, že firmy nenasadili bezpečnostné riešenie. Problém je v tom, že nasadzovanie nových technológií bolo a je také rýchle, že nie je čas urobiť ich bezpečnými, nasadzujú sa riešenia na jednotlivé problémy a oblasti, ale ich vzájomná integrácia a prepojenie zlyháva, a preto veľa hrozieb a útokov prejde bez toho, aby si to niekto dal do súvislostí. Spätne sa potom zistí, že tie vlastne údaje existovali, ale nebola „inteligencia", ktorá by ich spojila.
Technológia SIEM poskytuje schopnosti zbierať akékoľvek údaje z akéhokoľvek systému. Dokáže korelovať systémové udalosti, flow informácie, aktivity používateľov a aplikácií a pomôže odpovedať na otázku KTO, ČO a KEDY zo VŠETKÉHO, čo sa udialo alebo sa práve deje vo vašej firme. Uvidíte vzťahy a spojenia a dostanete súvislosti, ktoré vám umožnia reagovať na vzniknutú situáciu.
Moderný SIEM by mal obsahovať nasledujúce ingrediencie:
Zber údajov- podpora funkcií cenovo efektívneho zhromažďovania, indexovania, ukladania a analýzy veľkého množstva štruktúrovaných aj neštruktúrovaných informácií a schopnosť efektívne v nich vyhľadávať a reportovať v reálnom čaše. Poskytovať preddefinované reporty na okamžité použitie - či už na sledovanie všeobecnej IT Governance, alebo sledovanie špecifických požiadaviek zhody, ako je PCI-DSS, SOX, ISO, NIST, jednoduché vytváranie ad hoc reportov, možnosť pripojenia externých reportovacích nástrojov. Musí poskytovať možnosti archivácie údajov podľa požiadaviek na dobu archivácie, efektívne ich komprimovať a garantovať ich zabezpečenie proti modifikovaniu.
Zber údajov zo zariadení, aplikácií sa musí zaobísť bez inštalovania agentov v najširšej možnej miere, mal by poskytovať distribuované zbieranie zo vzdialených pobočiek. Mal by poskytovať riadenie prenosu údajov po pomalých linkách, šifrovanie a inteligentný manažment pásma na prenos údajov. Samozrejmá musí byť aj schopnosť uchovať udalosti pri výpadku spojenia.
Moderné technológie SIEM poskytujú vopred pripravené nastavenia na zber údajov zo stoviek zariadení a aplikácií priamo out-of-box. Tým sa ušetrí množstvo času a financií pri implementácii a urýchli sa nasadenie do ostrej prevádzky. Pripojenie nových zariadení alebo aplikácií by malo byť jednoduché a efektívne pomocou podporných softvérových nástrojov na vytváranie vlastných definícií formátu zápisu udalostí.
Konsolidácia- zber údajov musí poskytovať konsolidáciu údajov, jednotný pohľad na udalosti (napríklad každé zlé prihlásenie generuje odlišné udalosti na rôznych systémoch), ale SIEM musí narábať s nimi abstraktným jazykom pod jednotnou definíciou (napr. Failed Authentication) pre ľahko pochopiteľnú sémantiku na porozumenie vyhľadávania. Štandardom pri komunikácii je používanie jednotného formátu zápisu logu, ktorý maximálne zefektívňuje zber údajov, ako je napr. CEF (Common Event Format). Čoraz viac zariadení a aplikácií podporuje natívne logovanie do formátu CEF, čo značne zjednodušuje ich začlenenie do infraštruktúry SIEM.
Korelácia- dôvod, prečo potrebujete dobrú koreláciu, je ten, že práve správna korelácia vám umožní odfiltrovať šum a zamerať sa na to, čo je dôležité. Ak je korelácia urobená správne, dostanete sa zDESIATOK MILIÓNOV udalostí naJEDNU, ktorá je dôležitá.
Kľúčom je poznanie KTO (identita používateľa), KDE (kontextová analýza), ČO (hodnota assetu), KEDY (v časovom okne). Toto poznanie vám pomôže pochopiť skutočný dosah a riziko udalosti. Pomôže zredukovať falošné poplachy a umožní zamerať sa na skutočné hrozby infraštruktúry.
Samozrejme, systém SIEM musí poskytovať aj efektívnu možnosť grafického ovládania, jednoduchého vizuálneho prezentovania stavu a poskytnúť dynamický a interaktívny obsah pre bezpečnostných analytikov a operátorov. Cez grafické rozhranie z centrálneho dashboardu by sa jednoduchým spôsobom malo dať dostať až k jednotlivým záznamom udalostí.
Špecifické nadstavby a prepojenia- SIEM by mal poskytovať aj špecifické, pripravené nadstavby a rozšírenia pre konkrétne oblasti vrátane nástrojov, reportov a konfigurácií, napríklad pre PCI-DSS, ISO-IEC 27002, FISMA, HIPAA, JSOX, NERC, správu identít, detekciu podvodov pri finančných systémoch, cloud monitoring, aplikačnú podporu, integráciu do IDS-IPS a podobne, čím dokáže zabezpečiť rýchle a efektívne nasadenie do kritických prevádzok.
Integrácia do automatického systému monitoringu hrozieb umožní proaktívne reagovať na prebiehajúci útok a automaticky odpojiť zdroj hrozby.
Moderný systém SIEM je komplexný technologický nástroj na zabezpečenie vášho biznisu, poskytuje kompletnú viditeľnosť na každú aktivitu naprieč IT infraštruktúrou: externé hrozby, ako je malvér či hackeri, interné hrozby, ako napr. únik údajov a podvody, riziká z chýb aplikácií a zmien konfigurácie, tlak na splnenie zhody pre úspešný audit.
Zvoľte si bezplatné zasielanie newslettera e-mailom alebo RSS správ a zostaňte informovaní o novom obsahu na CFO.sk.
Dajte nám vedieť Vaše pripomienky a podnety k portálu - napíšte nám na cfo@cfo.sk.