Pandemijos metu, darbui persikėlus į namus, ekspertai atkreipia dėmesį į dar labiau suaktyvėjusias atakas. Skaičiuojama, kad kibernetinio saugumo incidentai pernai pasauliui kainavo beveik 1 trilijoną dolerių. Specialistai pastebi, jog norint išvengti saugumo pažeidimų, būtina nuolat stebėti aplinką ir analizuoti situaciją.
Reaguoti laiku ir pastebėti galimus saugumo pažeidimus leidžia SIEM (angl. Security information and event management) sprendimai. Vienas tokio tipo sprendimų lyderių – IBM QRadar. Jis įdiegtas ir „Lietuvos geležinkeliuose“.
„Nuolat stipriname kibernetinę ir informacijos saugą bei vykdome jos plėtrą bendrovėje. Valdome ypatingos svarbos informacines infrastruktūras, kurioms taikomi specialūs įstatymų numatyti reikalavimai. QRadar – vienas pagrindinių įrankių, leidžiantis laiku pastebėti ir suvaldyti kylančias grėsmes“, – pasakoja „Lietuvos geležinkelių“ kibernetinio saugumo vadovas Antanas Kedys.
SIEM įrenginys surenka žurnalinius įrašus (angl. logs) iš visų infrastruktūros komponentų – saugumo įrenginių, pagrindinių tinklo komponentų, vartotojų direktorijos ir kt. Paprastai tariant – leidžia surinkti ir valdyti su galimomis grėsmėmis susijusią informaciją centralizuotai.
„Šis sprendimas atlieka dvi esmines funkcijas. Pirmoji – įvykių saugojimas. Kaip žinia, kiekvienas įrenginys generuoja tam tikrus įvykius – prisijungimus, konfigūravimo darbus ir daugybę kitų. Pagal Lietuvoje galiojančias taisykles visi įvykiai turi būti saugojami. Kita funkcija – incidentų stebėjimas. Pavyzdžiui, jei kažkas iš išorės bando nulaužti slaptažodį, SIEM tai pamato ir praneša, kad vyksta ataka. Sistema atvaizduoja įvykių tarpusavio koreliaciją, taigi leidžia matyti pilną infrastruktūros saugumo paveikslą“, – aiškina „Atea“ projektų vadovas Linas Nemanis.
Pasak A. Kedžio, įdiegus SIEM sprendimą pagerėjo tinklo saugos įvykių matomumas, o incidentų, kuriuos pastebėjus laiku pavyksta suvaldyti, pasitaiko nuolat.
„Toks centralizuotas įvykių stebėjimas labai patogus. Nereikia stebėti daugybės skirtingų sistemų, viskas yra vienoje vietoje ir valdoma efektyviai, kas leidžia ženkliai sutaupyti laiko kaštų. Grėsmės išryškinamos ir pateikiamos patogiu būdu. O registruojame ir tiriame bent keletą atvejų kiekvieną savaitę ar mėnesį“, – sako A. Kedys.
Jis pažymi, kad efektyviam sprendimo išnaudojimui būtina IT specialisto priežiūra. Ne mažiau svarbi ir aiški vidinė procesų tvarka, t.y. incidentų valdymo metodika, veiksmų seka užfiksavus grėsmę.
„Tik įrankis be žmogaus nebus vertingas, nes pačių įvykių jis neblokuoja. Per dieną pranešimų apie galimus pažeidimus gali būti 10 tūkst., tačiau iš jų reali grėsmė – viena. Specialisto darbas atskirti tikrus pažeidimus nuo netikrų, todėl reikalingas nuolatinis žinių tobulinimas. Grėsmių daugėja, jos darosi vis pažangesnės, tad sekti tendencijas ir investuoti į komandos mokymus – būtina. Dėl SIEM valdymo nuolat konsultuojamės su „Atea“ specialistais, kurie padeda atsakyti į visus kylančius klausimus. Ateityje planuojame dar labiau plėsti sprendimo panaudojimą“, – sako kibernetinio saugumo vadovas.