Komplexné systémy správy bezpečnostných informácií (SIEM)

SIEM (Security Information and Event Management) je bezpečnostný nástroj, ktorý konsoliduje informácie o bezpečnostných udalostiach a incidentoch z mnohých rôznych zdrojov, nazývaných LES (Log Event Sources) a PES (Packet Event Sources), distribuovaných v rámci celej infraštruktúry do jedného centrálneho miesta. Ukladá tieto informácie v nezmenenej podobe (raw logy) a vytvára nad nimi logické prepojenia (pravidlá detekcie a korelácie) na rozlíšenie skutočných hrozieb od falošných poplachov, pričom jednotlivé informácie okamžite dáva do súvislostí, aby bolo možné rozlíšiť skutočné hrozby od falošných poplachov.

Srdcom tohto produktu je vysoko škálovateľná databáza určená na zachytávanie protokolov udalostí a dát o prevádzke infraštruktúry v reálnom čase. SIEM poskytuje kontextový a analytický prehľad o celej IT infraštruktúre, ktorý pomáha odhaľovať a eliminovať hrozby, ktoré by iné bezpečnostné riešenia často prehliadli.

Tieto hrozby môžu zahŕňať neobvyklé zneužitia aplikácií, útoky zvnútra, dokonca aj pokročilé "pomalé" hrozby stratené v "šume" miliónov udalostí a ďalšie. Všetky informácie sú dostupné z intuitívneho používateľského rozhrania, ktoré pomáha členom SOC tímu rýchlo identifikovať a odvrátiť vznikajúce útoky na základe závažnosti a agregovať stovky upozornení na vznikajúce anomálne aktivity do podstatne menšieho počtu potenciálnych útokov, ktoré si vyžadujú podrobnejšie vyšetrovanie.

• Bezpečnostné udalosti - udalosti z firewallov, virtuálnych privátnych sietí, systémov detekcie narušenia, systémov prevencie narušenia a ďalších (Syslog UDP/TCP/TLS, SNMP, JDBS, SDEE)
• Sieťové udalosti - udalosti z prepínačov, smerovačov, serverov, koncových staníc a ďalších (súbory Flowlog, NetFlow, J-Flow, sFlow a Packeteer)
• Kontext sieťovej aktivity - aplikačné údaje 7. vrstvy získané zo sieťovej prevádzky
• Kontext používateľov a zariadení v sieti - kontextové údaje z identít používateľov, prístupov a skenerov zraniteľností
• Informácie o operačnom systéme - názov výrobcu, číslo verzie špecifické pre jednotlivé súčasti siete
• Logy aplikácií - ERP, systémy riadenia pracovných postupov, databázy, nástroje na správu atď.

• Zber údajov - zhromažďuje bezpečnostné udalosti a dáta z rôznych zdrojov
• Filtrovanie dát - umožňuje filtrovanie nepotrebných dát z hľadiska monitorovania bezpečnosti
• Indexovanie - umožňuje analyzovať a normalizovať vstupné dáta na efektívnejšiu správu
• Analýza udalostí - vyhodnocuje dáta a zisťuje potenciálne bezpečnostné hrozby
• Korelácia udalostí - spája udalosti s cieľom identifikovať komplexnejšie hrozby
• Generovanie upozornení - generuje upozornenia na základe zistených hrozieb 
• Ukladanie nespracovaných a indexovaných dát - ukladá dáta na neskoršiu analýzu a audit
• Vytváranie reportov - generovanie reportov a správ o bezpečnostných udalostiach
• Integrácia s externými zdrojmi - prepojenie s ďalšími bezpečnostnými informačnými zdrojmi

Riešenia SIEM zaznamenávajú významné incidenty a hrozby a vytvárajú podporné dáta a súvisiace informácie. Podrobnosti, ako sú ciele útoku, presný čas, hodnota zasiahnutých aktív, stav zraniteľností, identita útočiacich používateľov, profily útočníkov, aktívne hrozby a záznamy o predchádzajúcich útokoch, pomáhajú poskytnúť bezpečnostným tímom informácie, ktoré potrebujú na vykonanie príslušných opatrení.

Prehľadávanie histórie udalostí a dátových tokov v reálnom čase s využitím lokalizačných dát na podrobnejšiu analýzu a zabezpečenie sledovania môže výrazne zlepšiť možnosti spoločnosti pri reakcii na incidenty. Vďaka ľahko použiteľnému ovládaciemu panelu, zobrazeniam na základe času, podrobnému vyhľadávaniu, obsahovým správam až na úroveň jednotlivých paketov a stovkám preddefinovaných vyhľadávacích dotazov môžu používatelia rýchlo získať dáta potrebné na sumarizáciu a identifikáciu anomálií.

Riešenia SIEM pomáhajú odpovedať na otázky: 

• Kto útočí? 
• Čo je predmetom útoku? 
• Kde začať vyšetrovať útok? 
• Aké máme dôkazy? 
• Ktorá časť infraštruktúry je ohrozená? 
• Aký je vplyv útoku na fungovanie organizácie? 
• Aké nápravné opatrenia treba prijať na odstránenie útoku? 

Analýza a návrh architektúry SIEM riešenia: 

• Identifikácia cieľov a požiadaviek na bezpečnosť v rámci organizácie 
• Analýza právnych úprav a súvisiacich požiadaviek na monitorovanie bezpečnosti
• Analýza existujúcej infraštruktúry, kľúčových procesov a aktív v rámci organizácie
• Vytvorenie návrhu architektúry pre riešenie SIEM 

Výber a implementácia SIEM: 

• Výber správneho produktu SIEM
• Návrh na mieru podľa odhadovaného EPS (Events Per Second) pre maximálne efektívne využitie HW
• Kompletná konfigurácia a inštalácia platformy SIEM 
• Integrácia SIEM s existujúcimi systémami a zariadeniami (LES a PES)

Zber dát v rámci celej infraštruktúry: 

• Konfigurácia zberu dát z rôznych zdrojov, ako sú firewally, antivírusové programy, systémy IDS/IPS, servery a ďalšie
• Napojenie jedinečných technológií, ktoré SIEM štandardne nepodporuje
• Vytváranie parserov a indexovanie dát
• Filtrovanie dát na účely analýzy
• Nastavenie monitorovania zdrojov logov
• Zavedenie automatizovaných reportov a vyhodnotenie prechádzajúcich dát

Pokročilá analýza dát: 

• Konfigurácia pravidiel a prahových hodnôt na detekciu bezpečnostných incidentov
• Analýza udalostí a údajov v reálnom čase
• Korelácia udalostí na identifikáciu pokročilých hrozieb
• Overovanie rozboru a automatická detekcia nerozpoznaných logov
• Zhluková analýza chodiacich dát a navrhovanie spôsobov efektívneho využívania licencií EPS

Investigácia, alterácia a reakcia: 

• Konfigurácia systému na generovanie bezpečnostných upozornení (alertov) na potenciálne incidenty
• Poskytovanie jedinečnej databázy znalostí vo forme korelačných pravidiel a postupov vyšetrovania 
• Pravidelné informovanie o nových technikách útoku a proaktívne vytváranie pravidiel detekcie
• Definovanie procesov pre reakciu na bezpečnostné incidenty a ich riešenie 
• Vykonávanie pravidelného hodnotenia základných výstrah (triage služba)

Správa a údržba: 

• Monitorovanie výkonu systému SIEM
• Aktualizácia a oprava komponentov SIEM
• Správa používateľov a ich prístupových práv 
• Archivácia a ukladanie dát na účely auditu a dlhodobej analýzy trendov 
• Prepojenie systému SIEM s externými systémami ticketingu (JIRA, D365 atď.)
• Nastavenie politík prevádzkového monitorovania SIEM
• Vytváranie plánov DRP
• Konfigurácia interného alebo externého zálohovania  
• Integrácia systému SIEM do procesov tímu SOC

Vzdelávanie a školenia: 

• Školenia pre tím spravujúci SIEM a SOC
• Oboznámenie používateľov s postupmi hlásenia incidentov
• Informovanie o nových verziách SIEM a predstavenie nových funkcií SIEM

Dokumentácia: 

• Vytvorenie dokumentácie pre konfiguráciu, prevádzku a reakciu na incidenty

Audit a plánovanie kapacity: 

• Pravidelné profilovanie systému SIEM s cieľom zabezpečiť jeho efektívnosť
• Plánovanie kapacity pre rast dát a pracovného zaťaženia

Jedna z najväčších bánk v ČR nebola spokojná so svojím monitorovaním a vykazovaním bezpečnosti. Existujúci systém SIEM (systém monitorovania a správy bezpečnostných udalostí) generoval skôr nepravdivé udalosti a reporty z neho sa používali len pre potreby ČNB. Banka vyhlásila výberové konanie na prevzatie každodennej údržby existujúceho systému. Súčasťou spolupráce bolo aj zabezpečenie migrácie systému SIEM na novú verziu.
 
Odstránili sme základné problémy systému a vykonali upgrade na novú verziu. Okrem toho sme spolu s IT oddelením banky pripravili koncept rozvoja systému SIEM na nasledujúce obdobie. Vďaka každodennej práci spoločného tímu na prepojení heterogénnych platforiem IS, nahlasovaní správnych udalostí a výraznom zlepšení reportingu a procesov sa SIEM začal stávať výkonným nástrojom na monitorovanie informačnej bezpečnosti banky. 
 
Dnes je toto riešenie centrálnym bodom pre zber súhrnných hlásení v celej sieti a poskytuje informácie o skutočnom stave prevádzkovej bezpečnosti. SIEM tak už nevyužíva len IT oddelenie banky, ale vďaka prehľadnosti reportov začal s jeho výstupmi pracovať aj management.