Kada je reč o bezbednosti poslovnih sistema, ranijih godina bilo je dovoljno voditi računa o prevenciji spoljašnjih napada. Danas se fokus sa prevencije eksternih pomera na detekciju potencijalnih internih pretnji i brzu reakciju na njih.
Među važnijim stvarima koje jedna organizacija treba da razmotri svakako je uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova već omogućavaju prikaz sistemskih informacija i podataka u realnom vremenu, rizika sa kojima se suočava IT infrastruktura jedne kompanije, kao i svih preduzetih aktivnosti.
Ranijih godina bilo je dovoljno obratiti pažnju na prevenciju malicioznog ponašanja, sa ciljem sprečavanja zaraze ili upada u sistem. Danas se, ipak, preporučuje praktikovanje tzv. zero-trust modela, koji podrazumeva ideju da se pretnja već može nalaziti unutar infrastrukture jedne kompanije i da se ne treba potpuno pouzdati u interne sisteme. Samim tim, fokus se sa prevencije premešta na detekciju pretnje i reakciju na nju.
Optimizacija SIEM rešenja
Kada je reč o sakupljanju logova, najteže je definisati šta od informacija sakupljati i šta alarmirati. Iako je najlakše sakupljati sve logove, ovaj princip često dovodi do toga da prikupljene informacije niko ne pregleda, pa se tako nepotrebno troši storidž prostor i povećava cena SIEM rešenja, na koju utiče i broj događaja u sekundi. Pošto ne postoji univerzalno pravilo o sakupljanju logova, da bi se rad SIEM rešenja optimizovao u svakoj kompaniji bi pre implementacije trebalo razmisliti o tome koje informacije vredi sakupljati i kakve izveštaje očekivati. Neki mogući načini primene odnosili bi se na sledeće informacije:
- Autentifikacija korisnika (administratora): Ovi logovi pomogli bi u identifikaciji kompromitovanog naloga i mogla bi da se povuče paralela čemu je sve ovaj nalog pristupao.
- Detekcija malicioznih paketa: Sa različitih NGFW, IPS, AV, Netflow i sličnih uređaja može se ispratiti zaraza mašine i detektovati da li se malver lateralno širio i na ostale sisteme.
- Izmene na domenu: Promene koje se tiču kreiranja novih korisnika ili njihovo učlanjenje u privilegovane grupe mogu biti indikator unutrašnje pretnje.
- Izmene u sistemu: Zajedno sa autentifikacijom, ovi podaci mogu pomoći u detektovanju kompromitovanog administratorskog naloga i pravljenju plana aktivnosti za ukljanjanje pretnje iz sistema.
- Sistemske informacije: Praćenje informacija poput konstantnog opterećenja sistema, zauzeća dodeljenog diska, isticanja licence, opterećenja internet linka itd. omogućava pravovremeno reagovanje administratora i sprečava nedostupnost servisa.
Na kraju, postavlja se pitanje kako na najbolji način definisati alarme i automatizovati što veći broj događaja koji inače zahtevaju intervenciju administratora. Zbog prevelikog broja e-mail notifikacija koje im pristižu administratori često ne stižu da ih obrade i na kraju ih tretiraju kao „pozadinski šum“. Na ovaj način gubi se smisao implementacije SIEM rešenja, s obzirom da prave pretnje prolaze nedetektovane.
Jedno od mogućih podešavanja na većini SIEM rešenja je definisanje uslova u kojima će se alarm aktivirati. Na primer, sistem administrator uglavnom neće želeti da dobija e-mail notifikacije o pogrešnim logovanjima svakog zaposlenog, ali bi mu zato bilo veoma korisno obaveštenje da je došlo do učestalih pokušaja logovanja u kratkom periodu, što bi moglo da ukazuje na brute force napad. Još jedna od često korišćenih karakteristika alarma je podešavanje slanja notifikacija ukoliko je primećeno da se neki događaj odvija u netipično vreme. Jedna od mogućih primena je slanje notifikacija kada se privilegovani nalog koristi po završetku radnog vremena ili tokom praznika.
SIEM as a Service
Imajući u vidu navedene probleme, uvođenje SIEM rešenja često predstavlja izazov, u smislu dugotrajne, kompleksne implementacije i skupih investicija. Veći problem od tehnologije predstavljaju iskustvo i stručnost inženjera, jer sama tehnologija bez adekvatnog osoblja ne može dati maksimalne rezultate. Prepoznajući ove probleme kod velikog broja korisnika, COMING – Computer Engineering je u procesu izrade SIEM-a kao servisa u cloud-u.
COMING će uskoro svojim korisnicima ponuditi upravo outsourcing celog sistema, što će im omogućiti da svoju energiju usmere na core biznis, a da zadatke visoke vrednosti koji podižu sigurnost celokupne kompanije prepuste iskusnim inženjerima. Prema relevantnim globalnim podacima, korisnik na taj način može da uštedi oko 28% vremena, koje onda može da usmeri na obavljanje svog primarnog biznisa, a to je ono što mu donosi profit.
Još jedan od značajnih benefita korišćenja SIEM-a u cloud-u je to što ovaj servis ne zahteva inicijalne izdatke za tehnologiju – potrebna je samo dobra internet konekcija. Korisnici ove usluge ne moraju da brinu o infrastrukturnim investicijama ili o zastarelosti opreme. Takođe, značajna prednost je mogućnost planiranja troškova, jer je mesečna naknada za korišćenje SIEM-a kao usluge ista svakog meseca. Pored toga, dobijaju se održavanje, podrška i ažuriranje definisanih polisa, u zavisnosti od ugovora. Sama kompanija smanjuje kapitalne i operativne troškove, dok istovremeno dobija posebnu vrednost koja je od presudnog značaja za sigurnost i poslovanje.
Dobar, kvalifikovan i pouzdan provajder, kakav je COMING, nudi stručnost i funkcionalnost. COMING može da isporuči i obradi više podataka nego što to može sam korisnik. Što je još važnije, COMING može da usmeri pažnju na dosledno i proaktivno poboljšanje ukupne bezbednosti organizacije, brinući se o pretnjama i otklanjanju opasnosti bolje, stručnije i agilnije nego što bi sam korisnik to činio.
SIEM kao usluga u COMING cloud-u
Šta SIEM kao servis u COMING cloud-u može doneti vašem poslovanju?
- Mogućnost da pratite sve resurse data centra.
- Upozorenja o bezbednosnim incidentima u realnom vremenu.
- Outsourcing smanjuje rizik od sukoba interesa između sektora.
- Otkrivanje pretnji u realnom vremenu.
- Ubrzavanje istražnog procesa.
- Precizne bezbednosne informacije operaterima, rukovodiocima i učesnicima u reviziji.
- Omogućava istražiteljima incidenata da odmah odgovore na ključna pitanja (Ko? Šta? Gde? Kada? Kako?) u vezi sa upozorenjima.
- Ne zahteva infrastrukturna ulaganja.
- Smanjuje operativne troškove – automatsko izveštavanje štedi vreme analitičara i revizora.
- Automatizacija omogućava skalabilnost kako se korisnička baza proširuje.
- Analiza bezbednosti zasnovana na riziku.
- Izveštavanje.
- Usklađivanje sa zakonskom regulativom.
- Uvek isti mesečni trošak za kompaniju.
Bez obzira na to koje je pravo rešenje za vas – on-premises ili SIEM as a Service u oblaku, efikasan SIEM alat može biti najefikasniji način da se podaci vaše organizacije održe bezbednim.
Jasna Jović i Andrijana Pešić
0 komentara