EFIKASNO REŠENJE ZA BEZBEDNOST KOMPANIJSKIH PODATAKA

Kada je reč o bezbednosti poslovnih sistema, ranijih godina bilo je dovoljno voditi računa o prevenciji spoljašnjih napada. Danas se fokus sa prevencije eksternih pomera na detekciju potencijalnih internih pretnji i brzu reakciju na njih.

Među važnijim stvarima koje jedna organizacija treba da razmotri svakako je uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova već omogućavaju prikaz sistemskih informacija i podataka u realnom vremenu, rizika sa kojima se suočava IT infrastruktura jedne kompanije, kao i svih preduzetih aktivnosti.
Ranijih godina bilo je dovoljno obratiti pažnju na prevenciju malicioznog ponašanja, sa ciljem sprečavanja zaraze ili upada u sistem. Danas se, ipak, preporučuje praktikovanje tzv. zero-trust modela, koji podrazumeva ideju da se pretnja već može nalaziti unutar infrastrukture jedne kompanije i da se ne treba potpuno pouzdati u interne sisteme. Samim tim, fokus se sa prevencije premešta na detekciju pretnje i reakciju na nju.

Optimizacija SIEM rešenja

Kada je reč o sakupljanju logova, najteže je definisati šta od informacija sakupljati i šta alarmirati. Iako je najlakše sakupljati sve logove, ovaj princip često dovodi do toga da prikupljene informacije niko ne pregleda, pa se tako nepotrebno troši storidž prostor i povećava cena SIEM rešenja, na koju utiče i broj događaja u sekundi. Pošto ne postoji univerzalno pravilo o sakupljanju logova, da bi se rad SIEM rešenja optimizovao u svakoj kompaniji bi pre implementacije trebalo razmisliti o tome koje informacije vredi sakupljati i kakve izveštaje očekivati. Neki mogući načini primene odnosili bi se na sledeće informacije:

  • Autentifikacija korisnika (administratora): Ovi logovi pomogli bi u identifikaciji kompromitovanog naloga i mogla bi da se povuče paralela čemu je sve ovaj nalog pristupao.
  • Detekcija malicioznih paketa: Sa različitih NGFW, IPS, AV, Netflow i sličnih uređaja može se ispratiti zaraza mašine i detektovati da li se malver lateralno širio i na ostale sisteme.
  • Izmene na domenu: Promene koje se tiču kreiranja novih korisnika ili njihovo učlanjenje u privilegovane grupe mogu biti indikator unutrašnje pretnje.
  • Izmene u sistemu: Zajedno sa autentifikacijom, ovi podaci mogu pomoći u detektovanju kompromitovanog administratorskog naloga i pravljenju plana aktivnosti za ukljanjanje pretnje iz sistema.
  • Sistemske informacije: Praćenje informacija poput konstantnog opterećenja sistema, zauzeća dodeljenog diska, isticanja licence, opterećenja internet linka itd. omogućava pravovremeno reagovanje administratora i sprečava nedostupnost servisa.

Na kraju, postavlja se pitanje kako na najbolji način definisati alarme i automatizovati što veći broj događaja koji inače zahtevaju intervenciju administratora. Zbog prevelikog broja e-mail notifikacija koje im pristižu administratori često ne stižu da ih obrade i na kraju ih tretiraju kao „pozadinski šum“. Na ovaj način gubi se smisao implementacije SIEM rešenja, s obzirom da prave pretnje prolaze nedetektovane.

Jedno od mogućih podešavanja na većini SIEM rešenja je definisanje uslova u kojima će se alarm aktivirati. Na primer, sistem administrator uglavnom neće želeti da dobija e-mail notifikacije o pogrešnim logovanjima svakog zaposlenog, ali bi mu zato bilo veoma korisno obaveštenje da je došlo do učestalih pokušaja logovanja u kratkom periodu, što bi moglo da ukazuje na brute force napad. Još jedna od često korišćenih karakteristika alarma je podešavanje slanja notifikacija ukoliko je primećeno da se neki događaj odvija u netipično vreme. Jedna od mogućih primena je slanje notifikacija kada se privilegovani nalog koristi po završetku radnog vremena ili tokom praznika.

SIEM as a Service

Imajući u vidu navedene probleme, uvođenje SIEM rešenja često predstavlja izazov, u smislu dugotrajne, kompleksne implementacije i skupih investicija. Veći problem od tehnologije predstavljaju iskustvo i stručnost inženjera, jer sama tehnologija bez adekvatnog osoblja ne može dati maksimalne rezultate. Prepoznajući ove probleme kod velikog broja korisnika, COMING – Computer Engineering je u procesu izrade SIEM-a kao servisa u cloud-u.

COMING će uskoro svojim korisnicima ponuditi upravo outsourcing celog sistema, što će im omogućiti da svoju energiju usmere na core biznis, a da zadatke visoke vrednosti koji podižu sigurnost celokupne kompanije prepuste iskusnim inženjerima. Prema relevantnim globalnim podacima, korisnik na taj način može da uštedi oko 28% vremena, koje onda može da usmeri na obavljanje svog primarnog biznisa, a to je ono što mu donosi profit.

Još jedan od značajnih benefita korišćenja SIEM-a u cloud-u je to što ovaj servis ne zahteva inicijalne izdatke za tehnologiju – potrebna je samo dobra internet konekcija. Korisnici ove usluge ne moraju da brinu o infrastrukturnim investicijama ili o zastarelosti opreme. Takođe, značajna prednost je mogućnost planiranja troškova, jer je mesečna naknada za korišćenje SIEM-a kao usluge ista svakog meseca. Pored toga, dobijaju se održavanje, podrška i ažuriranje definisanih polisa, u zavisnosti od ugovora. Sama kompanija smanjuje kapitalne i operativne troškove, dok istovremeno dobija posebnu vrednost koja je od presudnog značaja za sigurnost i poslovanje.

Dobar, kvalifikovan i pouzdan provajder, kakav je COMING, nudi stručnost i funkcionalnost. COMING može da isporuči i obradi više podataka nego što to može sam korisnik. Što je još važnije, COMING može da usmeri pažnju na dosledno i proaktivno poboljšanje ukupne bezbednosti organizacije, brinući se o pretnjama i otklanjanju opasnosti bolje, stručnije i agilnije nego što bi sam korisnik to činio.

SIEM kao usluga u COMING cloud-u

Šta SIEM kao servis u COMING cloud-u može doneti vašem poslovanju?

  • Mogućnost da pratite sve resurse data centra.
  • Upozorenja o bezbednosnim incidentima u realnom vremenu.
  • Outsourcing smanjuje rizik od sukoba interesa između sektora.
  • Otkrivanje pretnji u realnom vremenu.
  • Ubrzavanje istražnog procesa.
  • Precizne bezbednosne informacije operaterima, rukovodiocima i učesnicima u reviziji.
  • Omogućava istražiteljima incidenata da odmah odgovore na ključna pitanja (Ko? Šta? Gde? Kada? Kako?) u vezi sa upozorenjima.
  • Ne zahteva infrastrukturna ulaganja.
  • Smanjuje operativne troškove – automatsko izveštavanje štedi vreme analitičara i revizora.
  • Automatizacija omogućava skalabilnost kako se korisnička baza proširuje.
  • Analiza bezbednosti zasnovana na riziku.
  • Izveštavanje.
  • Usklađivanje sa zakonskom regulativom.
  • Uvek isti mesečni trošak za kompaniju.

Bez obzira na to koje je pravo rešenje za vas – on-premises ili SIEM as a Service u oblaku, efikasan SIEM alat može biti najefikasniji način da se podaci vaše organizacije održe bezbednim.

Jasna Jović i Andrijana Pešić

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Veštačka-inteligencija-u-našim-rukama

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Azure-Active-Directory--postaje-Entra-ID

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...