Systemy zabezpieczeń generują coraz większe ilości danych, których analiza może przełożyć się na poprawę bezpieczeństwa. Stąd bierze się rosnąca popularność narzędzi typu SIEM (Security Information & Event Management), które potrafią automatycznie korelować różne zdarzenia i w ten sposób wykrywać symptomy włamania do firmowej infrastruktury IT.

Narzędzia SIEM zadebiutowały na rynku w 1997 r., a ich początkową rolą było ograniczenie plagi fałszywych alarmów (false positive), generowanych przez ówczesne systemy IDS. Były to narzędzia trudne do wdrażania i używania, więc znalazły zastosowanie tylko w dużych przedsiębiorstwach, mających silne zespoły bezpieczeństwa. Wtedy wartość tego rynku szacowano na kilka milionów dolarów. Dzisiaj wartość tawynosi już ok. 1,5 mld USD. Użytkownikami rozwiązań klasy SIEM stały się już nie tylko firmy z listy Fortune 1000, ale także średniej wielkości przedsiębiorstwa. Od pewnego czasu producenci SIEM koncentrują się właśnie na walce o klientów średniej wielkości, więc w tym segmencie obserwujemy najszybszy rozwój produktów.

Podstawowe zastosowanie SIEM

Na wstępie warto dodać, że obok narzędzi SIEM istnieją również rozwiązania do zarządzania logami (log management). Oba oferują zbliżone funkcje. Umożliwiają zbieranie danych z logów, ich analizę i prezentację. Jednak systemy typu SIEM koncentrują się na bezpieczeństwie informacji, sieci oraz zapewnieniu zgodności z wymogami prawa. Natomiast narzędzia do zarządzania logami umożliwiają realizowanie wszystkich zadań związanych z logami, także tych wykraczających poza obszar IT.

Od pewnego czasu widać rosnące zrozumienie dla oddzielnych zadań realizowanych przez SIEM i system zarządzania logami. Obecnie większość producentów SIEM oferuje również te drugie rozwiązania. Obserwuje się też konwergencję pomiędzy działaniami operacyjnymi IT, a zarządzaniem bezpieczeństwem.

Narzędzia SIEM mają kilka typowych zastosowań. Przede wszystkim chodzi o bezpieczeństwo w zakresie wykrywania zagrożeń oraz analizowania zdarzeń. Ten obszar, zwany czasem zarządzaniem zagrożeniami, koncentruje się na wykrywania ataków, infekcji szkodliwym oprogramowaniem czy kradzieży danych i reagowaniu na takie sytuacje. Kolejnym przypadkiem jest konieczność spełnienia norm prawnych, czyli dotrzymanie warunków narzucanych przez różne przepisy.

Systemy SIEM w postaci usług zarządzanych

Na początku listopada 2014 r. firma EiQ Networks opublikowała wyniki badania Security Monitoring and SIEM. Pytano m.in. o zabezpieczenia stosowane w ich organizacjach. Największą popularnością cieszą się tradycyjne zapory sieciowe (81%). Na kolejnych miejscach znalazły się antywirusy (66%), następnie technologie IDS/IPS (60%), zarządzanie logami (60%) oraz właśnie SIEM (44%). Spory odsetek, aż 85% ankietowanych, deklaruje chęć wymiany wykorzystywanych rozwiązań SIEM na ich odpowiedniki oferowane w postaci usług zarządzanych. Skłaniają ich do tego potencjalnie niższe koszty (27%), dostępność najnowszych technologii (21%) oraz kwestie poprawienia wydajności (12%).

Tego typu usługi polegają na monitorowaniu systemów IT klientów z wykorzystaniem rozwiązań SIEM. Gdy dojdzie do wykrycia zagrożeń – lub przypadków naruszenia bezpieczeństwa – klient jest natychmiast o tym informowany. Może to być powiadomienie wskazanych administratorów lub podjęcie innych działań zgodnie z ustalonymi procedurami, np. przejęcie procesu obsługi wykrytych problemów.

Cel: wykryć intruza i zabezpieczyć dane

Wspomniane badanie ujawniło również, że najpoważniejsze obawy specjalistów od bezpieczeństwa (90% pytanych) dotyczą kradzieży danych. Jednocześnie tylko 15% uważa, że jest dobrze przygotowana na taką ewentualność, a 21% jest przekonanych do używanych w ich organizacjach technologii bezpieczeństwa.

Największym zagrożeniem są zaawansowane ataki typu APT (Advanced Persistent Threats). Przeprowadzane przez doświadczone osoby, polegają na stopniowym penetrowaniu atakowanej infrastruktury IT i zwiększaniu uprawnień. Mogą trwać nawet miesiącami, aby gwałtownymi działaniami nie wzbudzić podejrzeń ofiary. Narzędzia SIEM okazują się bardzo wartościowe w walce z APT, ponieważ zbierają dane z różnych źródeł i umożliwiają ich analizę. W ten sposób można znaleźć nawet „igłę w stogu siana”, wskazującą na trwający, udany atak penetracyjny na firmową infrastrukturę IT.

Kontekstowe porównywanie danych z różnych źródeł

Rozwiązania SIEM zbierają dane nie tylko z logów, ale także dane kontekstowe, np. dane identyfikacyjne czy wyniki testów wyszukujących podatności (vulnerability assessment). Następnie dokonują ich konwersji na uniwersalny format, którego można używać wewnątrz narzędzi SIEM. Zdarzenia są również grupowane w takie kategorie, jak „zmiany konfiguracji”, „dostęp do plików” czy „przepełnienie bufora”. Kolejnym krokiem jest korelacja z wykorzystaniem zdefiniowanych reguł, algorytmów i metod statystycznych. W ten sposób buduje się relację między zdarzeniami oraz danymi kontekstowymi. Korelacja może odbywać się w czasie rzeczywistym, ale niektóre narzędzia nie mają takich możliwości i wtedy operują na danych historycznych zebranych w bazie danych.

Narzędzia SIEM są też wyposażone w funkcje powiadamiania, które uaktywniają się w momencie wykrycia podejrzanych zdarzeń. Typowe mechanizmy powiadamiania to e-mail, SMS, a nawet wiadomość SNMP. Ponieważ zdarzenia mają różną rangę, SIEM wyposażono też w funkcje, które eksponują istotne zdarzenia, a mniej ważne umieszczają w dalszej kolejności. Administratorzy IT mogą też korzystać z raportów generowanych w czasie rzeczywistym. Mogą one prezentować zagregowane dane czy wyniki analizy i korelacji zdarzeń. Oprócz tego raporty mogą też zawierać dane historyczne.

Niektóre systemy SIEM wyposażone są w funkcje rozsyłania raportów, np. z użyciem wiadomości e-mail. Na koniec, do dyspozycji administratorów są mechanizmy umożliwiające podjęcie działań zaradczych w przypadku wykrycia zagrożenia. Operacje te mogą być wykonywane w pełni automatycznie lub półautomatycznie. Co więcej, niektóre produkty mają też funkcje pracy grupowej ułatwiające zespołom współdziałania w przypadku poważniejszych incydentów.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn