SIEM to skrót od Security Information and Event Management. System ten staje się standardem tam, gdzie potrzebna jest korelacja informacji pochodzących z wielu źródeł. Liczba tych informacji z czasem staje się coraz większa, przytłaczając nawet mniejsze firmy, które dotąd nie interesowały się efektywnym zarządzaniem danymi. Co to jest SIEM? System rozwiązuje opisany powyżej problem skutecznie, zabezpieczając całą organizację.
Wydatki przedsiębiorstw na kwestie związane z bezpieczeństwem sięgają 100 miliardów dolarów rocznie. Z tego ponad dwa i pół przeznaczone jest na systemy SIEM. O ile dla korporacji są one rozwiązaniem dostępnym finansowo, to mniejsze firmy często uważają ich koszty za zbytnie obciążenie dla budżetu. Trzeba zwrócić jednak uwagę, że wykrywanie zagrożeń za pomocą tego systemu jest i tak znacznie tańsze niż przy wykorzystaniu innych metod. Dzieje się tak m.in. dlatego, że jego kompleksowość i szybkość działania ułatwia pracę analitykom. Co więcej, mniej zaawansowane rozwiązania zwyczajnie nie są w stanie dostrzec tylu możliwych zagrożeń co SIEM, zatem zainwestowane środki mogą być niewspółmiernie niskie w stosunku do strat wywołanych ewentualnym atakiem. Wdrożenie SIEM jako części polityki bezpieczeństwa firmy znacząco zmniejsza zagrożenia dla sieci organizacji.
Co to jest SIEM?
Początki SIEM należy upatrywać w systemach SEM (Security Event Management) oraz SIM (Security Information Management). Służyły one do gromadzenia, monitorowania i analizowania danych związanych z bezpieczeństwem. U podstaw systemu leżą też rozwiązania gromadzące i przechowujące logi (LMS).
Działanie SIEM polega na centralnym zarządzaniu logami pochodzącymi z wielu urządzeń oraz ich archiwizacji. Efektem tych akcji, polegających na gromadzeniu, filtrowaniu, normalizacji i korelacji danych pochodzących z różnych źródeł, jest umożliwienie zespołowi analityków dostępu do istotnych zdarzeń, odsianych od informacyjnego szumu. W uproszczeniu zatem system dostarcza raportów i generuje ostrzeżenia dotyczące podejrzanego ruchu w sieci komputerowej.
Po co nam SIEM?
Skoro wiemy już co to jest SIEM, to pytanie do czego go potrzebujemy? Dzięki SIEM monitorujemy zdarzenia w sieci komputerowej organizacji, aby ustrzec ją atakiem z zewnątrz. Trzeba pamiętać, że przez sieć nawet małej i średniej firmy przepływają dziennie dziesiątki gigabajtów danych. Wg ankiet, 90% analityków czuwających nad bezpieczeństwem sieci czuje się przeciążonych ilością informacji wymagających analizy. Nic dziwnego. Jedna organizacja potrafi stać się obiektem nawet 15 000 ataków malware w miesiącu, z czego zaledwie 20% wartych jest uwagi. Przy tej ilości danych analitycy są w stanie zareagować na zaledwie 4% istotnych zagrożeń.
A zatem bez kompleksowego monitoringu działania wszystkich urządzeń sieci połączonego z inteligentnym systemem raportowania, duża część ataków uchodzi uwadze systemów zabezpieczeń i analityków. Ważna jest jednak nie tylko liczba ataków, ale też fakt, że stają się one coraz bardziej wyrafinowane. Według raportu Symantec o zagrożeniach bezpieczeństwa w internecie z roku 2018 atakujący wciąż dopracowują swoje metody oraz skutecznie zacierają za sobą ślady. Możemy się zatem obawiać coraz to nowych uderzeń z niespodziewanych źródeł oraz z wykorzystaniem nieznanych wcześniej rozwiązań. Aby uchronić sieć naszej organizacji, trzeba zatem zaprząc do pracy najbardziej zaawansowane rozwiązania oraz wyspecjalizowanych w ich obsłudze analityków. Nie zawsze wymaga to zatrudnienia i przeszkolenia nowych pracowników. Rozwiązaniem mogą być też usługi typu Managed Services.
Jak to wygląda od kuchni
Działanie systemów SIEM polega między innymi na analizie działań użytkowników, sprawdzaniu poprawności i aktualności systemów operacyjnych, aplikacji, środowisk czy baz danych. Wszystko to służy wykrywaniu zdarzeń nietypowych, jak tych wywołanych np. przez malware, w celu odparcia ewentualnego ataku. Dzięki SIEM wszystkie potrzebne informacje są gromadzone w jednym miejscu, co pozwala na kontrolę całej sieci organizacji.
Dodatkowo system długotrwale przechowuje dane, aby mogły zostać one wykorzystane np. w sprawach sądowych. Upraszcza też analizę kryminalistyczną, pozwalając znaleźć logi przy użyciu precyzyjnych kryteriów wyszukiwania. W innym przypadku poszukiwania takie mogłyby trwać miesiącami.
Obecnie dostawcy rozwiązań SIEM konkurują między sobą w grze o stworzenie jak najszybciej działającego systemu wykrywania zagrożeń. Celem jest umożliwienie reakcji na ataki w czasie rzeczywistym. Dopracowywane są także mechanizmy sztucznej inteligencji systemu, tak, aby ucząc się, poprawiał własną efektywność.
Zakup rozwiązania SIEM nie wystarczy. System nie będzie użyteczny bez zespołu analityków. Posiłkują się oni korelacją danych przy ich dalszej analizie. Analitycy wdrażają procedury oraz identyfikują problemy, sugerując ich rozwiązanie. Wszystko to sprzyja podniesieniu bezpieczeństwa sieci wewnętrznej.
Czym jest korelacja?
Korelacja to związek pomiędzy zdarzeniami mającymi miejsce w sieci. Może to być na przykład konkretna liczba następujących po sobie wywołań z jednego adresu IP w konkretnym okresie.
Znalezienie korelacji jest jednym z podstawowych zadań SIEM. Jest to możliwe dzięki wykorzystaniu scenariuszy korelacyjnych pozwalających wygenerować incydenty lub alerty. Są one częścią składową narzędzia, ale po stronie administratorów systemu jest takie dopracowanie scenariuszy, aby nie zasypały ich fałszywe alarmy. Dopiero tak skonfigurowany system jest w stanie rozwinąć skrzydła.
SIEM a ESKOM
Przeczytaj więcej na temat praktycznego zastosowania systemu SIEM w artykule: Graylog – Czyli jak chronić firmę w dobie gospodarki cyfrowej?
Jeżeli jesteś zainteresowany wdrożeniem systemu SIEM napisz do nas.