Komplexní systémy řízení bezpečnosti (SIEM)

SIEM (Security Information and Event Management) je bezpečnostní nástroj konsolidující informace o bezpečnostních událostech a incidentech z mnoha různých zdrojů tzv. LES (Log Event Sources) a PES (Packet Event Sources), rozmístěných napříč celou infrastrukturou do jednoho centrálního místa. Tyto informace ukládá v nezměněné podobě (raw logy) a vytváří nad nimi logické vazby (detekční a korelační pravidla) za účelem odlišit reálné hrozby od falešných poplachů, přičemž jednotlivé informace ihned dává do souvislostí, aby odlišilo reálné hrozby od falešných poplachů.

Srdcem tohoto produktu je vysoce škálovatelná databáze navržená pro zachycování logů událostí a dat o provozu v infrastruktuře v reálném čase. SIEM poskytuje kontextový a analytický dohled nad celou IT infrastrukturou a pomáhá tak detekovat a eliminovat hrozby, které by jiná bezpečnostní řešení často přehlédla.

Tyto hrozby mohou zahrnovat neobvyklé využití aplikací, útoky zevnitř, i pokročilé „pomalé“ hrozby, ztracené v „šumu“ milionů událostí a další. Veškeré informace jsou dostupné z intuitivního uživatelského rozhraní, které pomáhá pracovníkům SOC týmu rychle identifikovat a odvrátit vznikající útoky dle jejich závažnosti a shrnout stovky upozornění na vznikající anomální aktivity do výrazně menšího počtu potenciálních útoků, které si žádají podrobnější šetření. 

• Bezpečnostní události – události z firewallů, virtuálních privátních sítí, intrusion detection systémů, intrusion prevention systémů a dalších (Syslog UDP/TCP/TLS, SNMP, JDBS, SDEE)
• Síťové události – události z přepínačů, směrovačů, serverů, koncových stanic a dalších (Flowlog files, NetFlow, J-Flow, sFlow, and Packeteer)
• Kontext síťových aktivit – data aplikací na 7. vrstvě získané ze síťového provozu
• Uživatelský kontext a kontext zařízení v síti - kontextová data z uživatelských identit, přístupů a skenerů zranitelností
• Informace z operačních systmů – jméno výrobce, číslo verze specifické pro jednotlivé součásti sítě
• Logy aplikací – ERP, systémy pro správu workflow, databáze, administrační nástroje a další 

• Sběr dat – shromažďuje bezpečnostní události a data z různých zdrojů.
• Filtrování dat – umožňuje filtrování neužitečných dat z hlediska bezpečnostního monitoringu.
• Indexace – umožňuje provést parsování a normalizaci vstupujících dat pro efektivnější správu.
• Analýza událostí – hodnotí data a detekuje potenciální bezpečnostní hrozby.
• Korelace událostí – spojuje události pro identifikaci složitějších hrozeb.
• Generování upozornění – vytváří varování na základě nalezených hrozeb.
• Ukládání surových a indexovaných dat – uchovává data pro pozdější analýzu a audit.
• Vytváření reportů – generuje zprávy a reporty o bezpečnostních událostech.
• Integrace s externími zdroji – propojuje se s dalšími bezpečnostními informačními zdroji.

SIEM řešení zaznamenávají významné incidenty a hrozby a vytváří podpůrná data a související informace. Detaily jako cíle útoku, přesný čas, hodnota zasažených aktiv, stav zranitelností, identita útočících uživatelů, profily útočníků, aktivní hrozby a záznamy předchozích útoků – to vše pomáhá poskytovat bezpečnostním týmům informace, které potřebují pro realizaci příslušných opatření.

Prohledávání historie událostí a datových toků v reálném čase s využitím lokalizačních dat pro podrobnější analýzu a zajištění stop může významně zlepšit schopnosti firmy v oblasti řešení incidentů. Se snadno použitelným řídícím panelem, časovými pohledy, detailním vyhledáváním, s přehledy obsahu až na úroveň jednotlivých paketů a se stovkami předdefinovaných vyhledávacích dotazů mohou uživatelé rychle získat data potřebná pro shrnutí a identifikaci anomálií.

SIEM řešení pomáhají odpovídat na otázky: 

• Kdo útočí? 
• Na co se útočí? 
• Kde máme začít s vyšetřováním útoku? 
• Jaké důkazy máme k dispozici? 
• Jaká část infrastruktury je poškozená? 
• Jaký je vliv útoku na chod organizace? 
• Jaká nápravná opatření mám přijmout pro eliminaci útoku? 

Analýza a návrh architektury SIEM řešení: 

• Identifikace cílů a požadavků na bezpečnost v rámci organizace 
• Analýza právní úpravy a vztahujících se požadavků na bezpečnostní monitoring
• Analýza stávající infrastruktury, klíčových procesů a aktiv v rámci organizace
• Vytvoření návrhu architektury pro SIEM řešení 

Výběr a implementace SIEM: 

• Výběr vhodného SIEM produktu
• Navržení na míru dle odhadnutých EPS (Events Per Second) pro maximálně efektivní využití HW
• Kompletní konfigurace a instalace SIEM platformy 
• Integrace SIEM s existujícími systémy a zařízeními (LES a PES)

Sběr dat napříč celou infrastrukturou: 

• Konfigurace sběru dat z různých zdrojů, jako jsou firewally, antivirové programy, IDS/IPS systémy, servery, a další
• Napojení unikátních technologií defaultně nepodporovaných SIEM
• Tvorba parserů a indexace dat
• Filtrování dat pro analýzu
• Nastavení monitoringu zdrojů logů
• Zavedení automatických reportů a vyhodnocení chodících dat

Pokročilá analýza dat: 

• Konfigurace pravidel a prahových hodnot pro detekci bezpečnostních incidentů
• Real-time analýza událostí a dat
• Korelace událostí pro identifikaci pokročilých hrozeb
• Kontrola správnosti parsování a automatická detekce nerozpoznaných logů
• Shluková analýza chodících dat a navržení způsobů efektivního využití EPS licencí

Investigace, alterování a reagování: 

• Konfigurace systému pro generování bezpečnostních upozornění (alertů) na potenciální incidenty
• Poskytování unikátní znalostní bází v podobě korelačních pravidel a postupů investigace 
• Pravidelné informování o nových technikách útoků a proaktivní vytvoření detekčních pravidel
• Definování procesů pro reakci na bezpečnostní incidenty a jejich řešení 
• Provedení pravidelného vyhodnocení základních alertů (triage služba)

Správa a údržba: 

• Monitorování výkonu SIEM systému
• Aktualizace a patchování SIEM komponent
• Správa uživatelů a jejich přístupových práv 
• Archivace a uchovávání dat pro účely auditu a analýzy dlouhodobých trendů 
• Napojení SIEM na externí ticketovací systémy (JIRA, D365 apod.)
• Nastavení politik provozního monitoringu SIEM
• Tvorba DRP plánů
• Konfigurace interního anebo externího zálohování  
• Integrace SIEM do procesů SOC týmu

Vzdělávání a školení: 

• Školení pro tým spravující SIEM systém a SOC
• Seznámení uživatelů s postupy pro nahlášení incidentů
• Informování o nových verzích SIEM a představení nových funkcionalit SIEM

Dokumentace: 

• Vytvoření dokumentace pro konfiguraci, provoz a reakci na incidenty

Audit a plánování kapacity: 

• Pravidelné profilaxe SIEM systému pro zajištění jeho efektivity
• Plánování kapacity pro růst dat a zátěže

Jedna z největších bank v ČR nebyla spokojená s monitoringem a reporty v oblasti své bezpečnosti. Stávající SIEM (systém pro monitorování a správu bezpečnostních událostí) generoval spíše falešné události a reporty z něj se využívaly jen pro potřeby ČNB. Banka vypsala výběrové řízení na převzetí každodenní údržby stávajícího systému. Součástí spolupráce mělo být také zajištění přechodu SIEM na novou verzi.
 
Odstranili jsme základní systémové problémy a provedli aktualizaci na novou verzi. Vedle toho jsme společně s IT oddělením banky připravili koncept rozvoje SIEM na následující období. Každodenní prací společného týmu na připojení heterogenních platforem IS, hlášením správných událostí a výrazným zlepšením reportingu a procesů, začal být SIEM silným nástrojem pro monitoring informační bezpečnosti banky. 
 
Dnes je toto řešení centrálním bodem sběru agregovaných reportů v síti a poskytuje informace o skutečném stavu bezpečnosti provozu. SIEM tak nevyužívá již jen IT oddělení banky, ale díky srozumitelnosti reportů začal s jeho výstupy pracovat i management.