Jak efektywnie monitorować infrastrukturę i bezpieczeństwo w Organizacji?
Czytamy na ten temat w porannych wiadomościach, a czasami spotykają nas one bezpośrednio. Prawdopodobnie większość z nas dotknął już mniej lub bardziej dokuczliwy w skutkach incydent bezpieczeństwa dotyczący kradzieży danych osobowych lub haseł z serwisów, z których korzystamy. Takie incydenty zdarzają się nie tylko firmom prywatnym, ale również i urzędom oraz instytucjom państwowym. Plaga kradzieży w coraz większym stopniu dotyka wirtualnego świata, dlatego ważne jest, by jak najlepiej dbać o bezpieczeństwo firmowych danych. W artykule poruszymy tematykę narzędzi do monitorowania infrastruktury i bezpieczeństwa w Organizacji, które pozwalają zapobiegać tym groźnym incydentom.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Na wstępie postawmy ważne pytanie: czy w Państwa firmie monitorowana są zasoby, komputery, działania pracowników, serwery, urządzenia sieciowe oraz bazy danych? W artykule postaramy się odpowiedzieć dlaczego jest to ważne i dlaczego w pierwszej kolejności warto zainwestować w monitorowanie oraz wykrywanie zdarzeń i incydentów korzystając z odpowiednich narzędzi. Jednym z najważniejszych rozwiązań do monitorowania zdarzeń bezpieczeństwa jest SIEM i na tej klasie systemów skupimy się w tej publikacji.
Czym jest SIEM?
Podstawową funkcją systemów SIEM (Security Information and Event Management) jest zbieranie i przetwarzanie logów tworzonych przez inne rozwiązania do postaci czytelnej i pozwalającej na proste przeszukanie oraz prezentację zdarzeń. Dane te zbierane są z urządzeń infrastruktury, systemów, sieci, baz danych, a następnie łączone ze sobą – korelowane. Korelacja to analiza zdarzeń, to zbiór warunków według których zostanie wygenerowany alarm bezpieczeństwa identyfikujący podejrzane zachowania w czasie rzeczywistym i informujący o nich operatora. Nowoczesne systemy SIEM to już nie tylko gromadzenie, przechowywanie, kompresowanie, analiza i korelacja logów, to również takie funkcjonalności jak UBA/UEBA (behawioralna analiza zachowania użytkownika), DNS Analyzer (analiza zapytań DNS), zaimplementowana matryca MITRE ATT&CK oraz integracje z systemami Threat Intelligence. Systemy SIEM stają się centrum przetwarzania zdarzeń systemowych i zdarzeń bezpieczeństwa. Stanowią bazę wykrywającą incydenty bezpieczeństwa, umożliwiającą operatorom SOC/CERT i analitykom bezpieczeństwa ich zbadanie.
Jak działają systemy SIEM i na ile użyteczne są w wykrywaniu incydentów bezpieczeństwa?
Przyjrzyjmy się praktycznym aspektom działania systemów SIEM odpowiadając na pytanie: jakie problemy w Organizacji adresują te systemy? Na początku musimy jednak wyjaśnić z jakimi wyzwaniami mierzą się Administratorzy, Analitycy Bezpieczeństwa oraz Operatorzy SOC/CERT. Ważne jest również to w jakim stopniu SIEM spełniają wymagania ustawodawcy oraz normy bezpieczeństwa, a także w jaki sposób monitorowanie infrastruktury i bezpieczeństwa może pomóc w wykrywaniu i odpowiednim zareagowaniu na najgroźniejsze z ataków – ataki ransomware.
Każdy system, aplikacja, baza danych, czy urządzenie sieciowe generuje logi, które mają rożną formę, formatowania i system kodowania. W efekcie, do odczytania danych, zrozumienia oraz ich poprawnego zinterpretowania konieczne jest posiadanie doświadczenia i wiedzy o każdym z tych licznych rozwiązań. Systemy klasy SIEM unifikują dane i poprawiają czytelność logów, wyłuskują najważniejsze informacje i przekazują je w polach, dzięki czemu ludzkie oko może je od razu wychwycić. Pola te są również wykorzystywane do indeksowania.
Dlatego przeszukiwanie wielkich ilości danych może być dzięki systemom SIEM bardziej efektywne? Każde z rozwiązań SIEM podchodzi w trochę inny sposób do przetwarzania danych, ale wszystkie prowadzą do tego samego celu. Nie oznacza to jednak, że każde rozwiązanie jest równie dobre i oferuje nam te same dodatkowe funkcje identyfikujące incydenty bezpieczeństwa i nowe zagrożenia. SIEM znacząco różnią się od siebie i konieczne jest doświadczenie w wyborze i implementacji systemu dostosowanego do potrzeb Organizacji. Ważne jest również zapewnienie wsparcia ze strony producenta rozwiązania, co zagwarantuje nam jego aktualność. Narzędzia bezpieczeństwa bez aktualizacji stają się bezużyteczne ze względu na coraz to nowe techniki ataków wprowadzane przez cyberprzestępców.
Zalety SIEM w porównaniu do rozwiązań Open Source
Istotnym wyzwaniem dla Organizacji są duże wolumeny danych pochodzących z logów generowanych przez każdy z wykorzystywanych w niej systemów. Administratorzy mający świadomość problemów wiążących z monitorowaniem zdarzeń bezpieczeństwa i analizą tak dużych zbiorów danych starają się wyjść naprzeciw oczekiwaniom pracowników zajmujących się bezpieczeństwem danych. Nierzadko wspomagają ich pracę poprzez instalację darmowych rozwiązań typu Open Source, służących do zbierania logów. Systemy stworzone przez społeczność wymagają jednak opieki, często posiadają ograniczenia, a z pojawiającymi się podczas użytkowania problemami trzeba sobie radzić samemu. Ich wdrożenie też nie należy do najprostszych. W takich przypadkach klienci dojrzewają do decyzji o zakupie rozwiązania typu SIEM. Przekonują się, że bez specjalistycznego wsparcia i rozwiązania dostosowanego do ich potrzeb analiza logów może zająć zbyt wiele czasu i środków, a efekt nie zawsze jest zadawalający. Jedną z najważniejszych wartości w naszym życiu jest czas, a stosowanie nieefektywnych rozwiązań nie przynosi korzyści, tylko straty. Przy wdrażaniu i eksploatacji systemu należy zatem uwzględnić czasochłonność eksploatacji, wdrażania zmian, generowania raportów, wyszukiwania danych i zakres dostępnych funkcji wykrywających incydenty bezpieczeństwa. Pamiętajmy, że żaden system nie jest bezobsługowy.
SIEM coraz częściej zaliczane są do podstawowych systemów w Organizacji, podobnie użytecznych jak popularny antywirus (lub jak kto woli pakiet ochrony stacji roboczych). Analitycy bezpieczeństwa oraz administratorzy docenili to rozwiązanie ze względu na ułatwienie i optymalizację pracy podczas przeszukiwania logów systemowych, rozwiązywania problemów, awarii czy wykrywania i analizy incydentów bezpieczeństwa. Systemy SIEM z roku na rok są bardziej dostępne i powszechne. Organizacje z zaimplementowanym rozwiązaniem analizy logów do celów bezpieczeństwa doceniają korzyści płynące z takiego wdrożenia. SIEM nie jest już tylko domeną wielkich korporacji z kilka-kilkunastotysięczną liczbą pracowników, ale coraz częściej dociera do średniej wielkości Organizacji.
Co można znaleźć w logach systemów i co może świadczyć o incydencie bezpieczeństwa w Twojej Organizacji?
Ustawiając odpowiedni poziom logowania możemy prześledzić praktycznie całą drogę wykonywanej operacji, dowiadując się o tym jakiej zmiany dokonano w systemie, kto to zrobił oraz kiedy, z jakiego urządzenia i miejsca to wykonał. Właśnie dzięki logom możemy wykrywać incydenty bezpieczeństwa w naszej infrastrukturze, bazując na wbudowanych regułach korelacyjnych lub budując własne scenariusze identyfikujące zagrożenia.
SIEM umożliwia nam reagowanie i analizę incydentów, co przekłada się na znaczne podniesienie poziomu bezpieczeństwa Organizacji. Nie jest to jednak system, który zainstalujemy i o nim zapomnimy. Należy mieć na uwadze, że SIEM nie mogą żyć własnym życiem. Dopiero odpowiednio wdrożony, utrzymany i rozwijany o nowe scenariusze bezpieczeństwa system może chronić nasze zasoby.
SIEM stanowi wysoką wartość nie tylko dla zespołów bezpieczeństwa i administratorów utrzymania systemów i sieci, ale także dla menadżerów i zarządu. Zakres raportowania SIEM pozwala na stworzenie dowolnego raportu na podstawie zebranych danych wspomagając monitorowanie i przyczyniając się do spełnienia istotnych dla Organizacji norm bezpieczeństwa. Równie ważną funkcją jest przechowywanie logów w celach dowodowych. Rozwiązanie SIEM stosuje mechanizmy kompresji i zarządzania retencją danych, co pozwala na oszczędność miejsca. Organizacja stosująca normy i dobre praktyki bezpieczeństwa jest wiarygodnym partnerem w relacjach biznesowych, podmiotem z którym można współpracować bez obaw o dane swoje i klientów.
SIEM – ważne narzędzie do zapobiegania incydentom bezpieczeństwa
W T-Systems stawiamy na rozwój i zapewniamy profesjonalne podejście do wdrażania oferowanych przez nas rozwiązań. Dostarczamy wyłącznie sprawdzone produkty, uznawane przez klientów na całym świecie. Jednak wdrożenie SIEM nie musi kosztować „miliony”. Jeżeli chcesz się dowiedzieć na ile rozwiązania SIEM są w stanie pomóc Twojej firmie lepiej dbać o bezpieczeństwo zapytaj nas, a doradzimy jak optymalnie wdrożyć i wyskalować rozwiązanie. Implementując system wdrażamy w Organizacji procesy lub pomagamy je stworzyć w celu pełnozakresowego monitoringu bezpieczeństwa.
Monitorowanie bezpieczeństwa to proces, który wymaga ciągłego doskonalenia. Dopiero wówczas umożliwia wykrywanie podejrzanych zdarzeń, nieprawidłowości, awarii i incydentów. W efekcie, pozwala znacząco skrócić, zminimalizować, a czasem wyeliminować wycieki danych, ograniczyć ryzyko przejęcia komputera lub serwera, zaszyfrowania danych. Posiadanie systemu SIEM świadczy o tym, że Organizacja z pełną powagą traktuje bezpieczeństwo, ogranicza zagrożenia dla danych. W firmach stosujących to rozwiązanie często nie dochodzi do istotnych incydentów, a zatem także do nałożenia kar przez jednostki nadzorujące.
Obecnie każda Organizacja przetwarza, przechowuje dane firmowe i klientów w systemach informatycznych, które mogą być celem ataku. Pamiętajmy, że im szybciej wykryjemy zagrożenie, tym szybciej możemy zareagować i wdrożyć odpowiednie działania.
Adam Prymek
Cyber Security Competency Consultant T-Systems
Data publikacji: 16.12.2021