Nemít přehled? To v IT vadí! Se SIEM budete o hrozbách vědět včas (2.)

Auditor, bezpečnostní manažer, management společnosti, všichni tito lidé chtějí mít přehled o tom, co se děje v bezpečnostním zázemí IT infrastruktury. Každý z nich má jiný úhel pohledu na to, co znamená mít přehled, ale tento zájem je spojuje, stejně jako zkratka SIEM.

Nemít přehled? To v IT vadí! Se SIEM budete o hrozbách vědět včas (2.)


←Předchozí díl

Klíčové korelace

Jednou z prvních věcí, kterou by měl kvalitní SIEM disponovat, jsou korelace jednotlivých událostí. Zaměřit byste se měli především na dva typy korelací. Korelace vyhodnocující specifickou sadu událostí, které se uskuteční v definovaném časovém okně v předem specifikovaném množství. Tímto způsobem se detekují především známé útoky, pro které je obvykle k dispozici předdefinovaná sada těchto korelačních pravidel. Ve většině případů se však jedná pouze o různé nežádoucí síťové aktivity typu zkoušení hesel, skenování sítě nebo provozní záležitosti, kterou je třeba nedokončené zálohování serveru. Další pravidla je nutné vytvářet dle požadavků vaší společnosti.

Druhým důležitým typem korelací jsou korelace, které berou v potaz rizikovost události. V tomto případě již nemusíte vytvářet žádná pravidla, pouze „ vhodně" oceníte jednotlivé informace nacházející se v událostech, a to na základě jejich rizikovosti. Příkladem může být vyšší rizikovost privilegovaného uživatele nad neprivilegovaným, kdy při opakování události splňující definovanou
podmínku dochází ke zvyšování rizikovosti až na kritickou úroveň, při které může být generován alarm. Kvalitní SIEM řešení nenabízí pouze staticky definované úrovně rizikovosti, ale především možnost dynamického vyhodnocování na základě údajů ze sond zjišťující zranitelnosti systémů, cloudových reputačních služeb, případně na základě jiných událostí vzniklých v daném systému.

SIEM řešení většinou nabízejí i doplňkové typy korelací, které mohou vhodně doplňovat výše zmíněné korelace. Jedná se například o automatický výpočet množství událostí, které mají v daném čase nastat, automaticky se učící korelační funkce zaznamenávající výskyt hodnot pro specifický klíč, jenž se následně využívá při dalších korelacích. Při hledání vhodného řešení je vhodné si všímat i specializovaných zaměření a funkcí, které SIEM poskytuje. Pokud máme v datovém centru citlivé databáze, hledané řešení by mělo mít sofistikovaný nástroj určený přímo pro analýzu databází.

Aktuální informace

Poté co jsme probrali potřebné funkcionality, je třeba si říci, že i sebelépe zpracované SIEM nebude dosahovat kvalitních výsledků bez aktuálních informací. Ty dodá globální síť, která monitoruje provoz celosvětově. Tato síť je napojena na laboratoře, které veškerý globální provoz vyhodnocují a následně podávají relevantní informace o aktuálních hrozbách a zranitelnostech. S takovými informacemi se řešení stává opravdu robustním a velice efektivním nástrojem.

V úvahu byste samozřejmě měli brát i licenční podmínky – například: pokud je licenční model vystavěn na modelu 1 licence = 1 sledovaný kanál, může případná expanze sítě vést k neúměrnému zvýšení ceny. Proto doporučujeme volit takový SIEM, který má jednoduchý licenční model nezávislý na počtu sledovaných kanálů. To výrazně napomůže omezit náklady na rozvoj infrastruktury. Různá řešení jsou uživateli oceňována pro rozličné vlastnosti. Například uživatelé McAfee SIEM (Enterprise Security Manager) si pochvalují intuitivní GUI, rychlost reakcí celého systému, podobu dashboardů a přehlednou správu řešení.

LogRhythm je chválen díky svým procesům oprav, data drilldownu a monitorovacím agentům. Zákazníci společnosti Trustwave oceňují především rozsáhlé možnosti nastavení GUI a administrátoři mohou mít velký vliv na logiku zpracování událostí.

Autoři působí ve společnosti Comguard.


Úvodní foto: © olly - Fotolia.com

Vyšlo v CIO Business World 12/2012
Časopis lze koupit se slevou 20 %

Komentáře