EFIKASNO REŠENJE ZA BEZBEDNOST KOMPANIJSKIH PODATAKA

Kada je reč o bezbednosti poslovnih sistema, ranijih godina bilo je dovoljno voditi računa o prevenciji spoljašnjih napada. Danas se fokus sa prevencije eksternih pomera na detekciju potencijalnih internih pretnji i brzu reakciju na njih.

Među važnijim stvarima koje jedna organizacija treba da razmotri svakako je uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova već omogućavaju prikaz sistemskih informacija i podataka u realnom vremenu, rizika sa kojima se suočava IT infrastruktura jedne kompanije, kao i svih preduzetih aktivnosti.
Ranijih godina bilo je dovoljno obratiti pažnju na prevenciju malicioznog ponašanja, sa ciljem sprečavanja zaraze ili upada u sistem. Danas se, ipak, preporučuje praktikovanje tzv. zero-trust modela, koji podrazumeva ideju da se pretnja već može nalaziti unutar infrastrukture jedne kompanije i da se ne treba potpuno pouzdati u interne sisteme. Samim tim, fokus se sa prevencije premešta na detekciju pretnje i reakciju na nju.

Optimizacija SIEM rešenja

Kada je reč o sakupljanju logova, najteže je definisati šta od informacija sakupljati i šta alarmirati. Iako je najlakše sakupljati sve logove, ovaj princip često dovodi do toga da prikupljene informacije niko ne pregleda, pa se tako nepotrebno troši storidž prostor i povećava cena SIEM rešenja, na koju utiče i broj događaja u sekundi. Pošto ne postoji univerzalno pravilo o sakupljanju logova, da bi se rad SIEM rešenja optimizovao u svakoj kompaniji bi pre implementacije trebalo razmisliti o tome koje informacije vredi sakupljati i kakve izveštaje očekivati. Neki mogući načini primene odnosili bi se na sledeće informacije:

  • Autentifikacija korisnika (administratora): Ovi logovi pomogli bi u identifikaciji kompromitovanog naloga i mogla bi da se povuče paralela čemu je sve ovaj nalog pristupao.
  • Detekcija malicioznih paketa: Sa različitih NGFW, IPS, AV, Netflow i sličnih uređaja može se ispratiti zaraza mašine i detektovati da li se malver lateralno širio i na ostale sisteme.
  • Izmene na domenu: Promene koje se tiču kreiranja novih korisnika ili njihovo učlanjenje u privilegovane grupe mogu biti indikator unutrašnje pretnje.
  • Izmene u sistemu: Zajedno sa autentifikacijom, ovi podaci mogu pomoći u detektovanju kompromitovanog administratorskog naloga i pravljenju plana aktivnosti za ukljanjanje pretnje iz sistema.
  • Sistemske informacije: Praćenje informacija poput konstantnog opterećenja sistema, zauzeća dodeljenog diska, isticanja licence, opterećenja internet linka itd. omogućava pravovremeno reagovanje administratora i sprečava nedostupnost servisa.

Na kraju, postavlja se pitanje kako na najbolji način definisati alarme i automatizovati što veći broj događaja koji inače zahtevaju intervenciju administratora. Zbog prevelikog broja e-mail notifikacija koje im pristižu administratori često ne stižu da ih obrade i na kraju ih tretiraju kao „pozadinski šum“. Na ovaj način gubi se smisao implementacije SIEM rešenja, s obzirom da prave pretnje prolaze nedetektovane.

Jedno od mogućih podešavanja na većini SIEM rešenja je definisanje uslova u kojima će se alarm aktivirati. Na primer, sistem administrator uglavnom neće želeti da dobija e-mail notifikacije o pogrešnim logovanjima svakog zaposlenog, ali bi mu zato bilo veoma korisno obaveštenje da je došlo do učestalih pokušaja logovanja u kratkom periodu, što bi moglo da ukazuje na brute force napad. Još jedna od često korišćenih karakteristika alarma je podešavanje slanja notifikacija ukoliko je primećeno da se neki događaj odvija u netipično vreme. Jedna od mogućih primena je slanje notifikacija kada se privilegovani nalog koristi po završetku radnog vremena ili tokom praznika.

SIEM as a Service

Imajući u vidu navedene probleme, uvođenje SIEM rešenja često predstavlja izazov, u smislu dugotrajne, kompleksne implementacije i skupih investicija. Veći problem od tehnologije predstavljaju iskustvo i stručnost inženjera, jer sama tehnologija bez adekvatnog osoblja ne može dati maksimalne rezultate. Prepoznajući ove probleme kod velikog broja korisnika, COMING – Computer Engineering je u procesu izrade SIEM-a kao servisa u cloud-u.

COMING će uskoro svojim korisnicima ponuditi upravo outsourcing celog sistema, što će im omogućiti da svoju energiju usmere na core biznis, a da zadatke visoke vrednosti koji podižu sigurnost celokupne kompanije prepuste iskusnim inženjerima. Prema relevantnim globalnim podacima, korisnik na taj način može da uštedi oko 28% vremena, koje onda može da usmeri na obavljanje svog primarnog biznisa, a to je ono što mu donosi profit.

Još jedan od značajnih benefita korišćenja SIEM-a u cloud-u je to što ovaj servis ne zahteva inicijalne izdatke za tehnologiju – potrebna je samo dobra internet konekcija. Korisnici ove usluge ne moraju da brinu o infrastrukturnim investicijama ili o zastarelosti opreme. Takođe, značajna prednost je mogućnost planiranja troškova, jer je mesečna naknada za korišćenje SIEM-a kao usluge ista svakog meseca. Pored toga, dobijaju se održavanje, podrška i ažuriranje definisanih polisa, u zavisnosti od ugovora. Sama kompanija smanjuje kapitalne i operativne troškove, dok istovremeno dobija posebnu vrednost koja je od presudnog značaja za sigurnost i poslovanje.

Dobar, kvalifikovan i pouzdan provajder, kakav je COMING, nudi stručnost i funkcionalnost. COMING može da isporuči i obradi više podataka nego što to može sam korisnik. Što je još važnije, COMING može da usmeri pažnju na dosledno i proaktivno poboljšanje ukupne bezbednosti organizacije, brinući se o pretnjama i otklanjanju opasnosti bolje, stručnije i agilnije nego što bi sam korisnik to činio.

SIEM kao usluga u COMING cloud-u

Šta SIEM kao servis u COMING cloud-u može doneti vašem poslovanju?

  • Mogućnost da pratite sve resurse data centra.
  • Upozorenja o bezbednosnim incidentima u realnom vremenu.
  • Outsourcing smanjuje rizik od sukoba interesa između sektora.
  • Otkrivanje pretnji u realnom vremenu.
  • Ubrzavanje istražnog procesa.
  • Precizne bezbednosne informacije operaterima, rukovodiocima i učesnicima u reviziji.
  • Omogućava istražiteljima incidenata da odmah odgovore na ključna pitanja (Ko? Šta? Gde? Kada? Kako?) u vezi sa upozorenjima.
  • Ne zahteva infrastrukturna ulaganja.
  • Smanjuje operativne troškove – automatsko izveštavanje štedi vreme analitičara i revizora.
  • Automatizacija omogućava skalabilnost kako se korisnička baza proširuje.
  • Analiza bezbednosti zasnovana na riziku.
  • Izveštavanje.
  • Usklađivanje sa zakonskom regulativom.
  • Uvek isti mesečni trošak za kompaniju.

Bez obzira na to koje je pravo rešenje za vas – on-premises ili SIEM as a Service u oblaku, efikasan SIEM alat može biti najefikasniji način da se podaci vaše organizacije održe bezbednim.

Jasna Jović i Andrijana Pešić

0 komentara

Najnoviji

Bezbedno otključajte GenAI potencijale

Generative AI revolucija je već stigla. Kakve su njene implikacije? Generativni...

Benefiti uvođenja Business Central

Implementacija Business Central ERP sistema može doneti značajne prednosti...

Najčešće greške pri implementaciji

ERP rešenja mogu značajno unaprediti poslovanje, ali njihovo uvođenje zahteva...

Nova implementacija vs. konverzija

Pri prelasku na novo ERP rešenje pred organizacije se postavlja izbor između...