Renkamės SIEM sprendimą

Renkamės SIEM sprendimą

2018-04-27

Didėjant įsilaužimų į organizacijų informacines sistemas skaičiui, klausimas, ar programišiai nusitaikys į mano tinklą, virsta klausimu, kada tai nutiks. Tik baziniai saugumo įrankiai nebėra pilnai pajėgūs aptikti ir įspėti apie galimus pavojus be nemenkų specialistų ir piniginių resursų. Kybančios saugumo spragos gali atrakinti duris didelio masto chaosui, todėl svarbiausiais greito veikimo faktoriais tampa laikas ir reikiama informacija, matoma viename lange.

Be tiesioginių atakų grėsmės ir visiško sistemų paralyžiavimo, organizacijoms tampa aktualūs ir teisiniai aspektai. Šiuo metu ypač didelis dėmesys sutelktas į asmens duomenų apsaugą, todėl kiekviena privalo peržiūrėti savo procesus ir juos kontroliuoti taip, kad asmens duomenų praradimo rizika būtų valdoma. Pagal Europos Sąjungos patvirtintą Bendrąjį duomenų apsaugos reglamentą (BDAR), vienas iš reikalaujamų įsipareigojimų – apie galimai įvykusį asmens duomenų pažeidimą ar nesankcionuotą prieigą prie asmens duomenų turi būti pranešta per 72 valandas nuo jo atsiradimo. Todėl aptikti ir operatyviai reaguoti į galimus saugumo įvykius tampa būtina užduotimi kiekvienos organizacijos IT padaliniui, nesvarbu, ar tai būtų valstybinė įstaiga, ar komercinis bankas.

Saugumo sprendimų ekosistemos ašis

Armandas Kenstavičius, „ATEA“ Saugumo sprendimų vadovas, pasakoja, kad reaguoti laiku ir pastebėti galimus saugumo incidentus leidžia SIEM (angl. Security information and event management) sprendimai. Jie nepakeičia bazinių, higieninių saugumo priemonių, tokių kaip ugniasienės, antivirusinės, elektroninio pašto bei interneto šliuzai, tačiau jau yra kitos, aukštesnės, saugumo pakopos produktai, kuriuose surenkama ir analizuojama informacija iš minėtų įrenginių. Klientai, naudodami bazines saugumo priemones, geba stebėti savo IT infrastruktūrą labai siauru, konkretaus saugumo įrankio aspektu, tokiu būdu nėra matomas pilnas IT saugumo paveikslas, nes šių sprendimų informacija nėra tarpusavyje susiejama.

 

„Stebėdamas tinklo srautą, SIEM įrenginys surenka žurnalinius įrašus (angl. logs) iš visų komponentų (saugumo įrenginių, pagrindinių tinklo komponentų, centrinių maršrutizatorių, komutatorių, vartotojų direktorijos ir kt.) ir visus juos normalizuoja į vieną kalbą. Įrankis atlieka analizę ir, naudodamas koreliacijos taisykles, geba įžvelgti saugumo incidentus. Pavyzdžiui, registruodamasis vartotojas keletą kartų iš eilės neteisingai įveda savo prisijungimo duomenis – galima, vadinamoji, brute-force ataka,“ – žiniomis dalinasi A. Kenstavičius.

Išsirinkti tinkamą SIEM įrankį, anot A. Kenstavičiaus, taip pat nėra paprasta – rinkoje rasime net kelis rimtus konkurentus, besiskiriančius pritaikomumu, funkcionalumu ir kainomis.

 

Vieno nugalėtojo nėra

Pasaulyje garsėjančios tyrimų ir konsultacijų įmonės „Gartner“ sudarytame 2017 metų SIEM sprendimo lyderių kvadrante randame IBM „QRadar“, „Splunk“, „LogRythm“ ir „McAfee“ produktus.

„Tyrime žingsneliu priekyje IBM „QRadar“ dėl, mano manymu, gana paprastos priežasties. Šis įrankis nuo pat pradžių buvo gaminamas su mintimi, kad tai bus SIEM platforma. Ir šiandien jis turi labiausiai išvystytą architektūrą, reikalingą SIEM funkcionalumui – aprašomų šaltinių, koreliacijų taisyklių skaičių, integraciją su kitomis programomis ir įrankiais, privilegijuotų vartotojų valdymo sprendimu, kas ypač aktualu valstybinėms įmonėms, kurios turi kritines sistemas ir stebi, kas prie jų jungiasi. Pagrindinis sprendimo pranašumas, lyginant su kitais gamintojais, yra tai, kad po įdiegimo jau per kelias dienas galima matyti, kas vyksta tavo IT infrastruktūros kieme. Taip pat „QRadar“ turi labai galingą Threat Intelligence servisą – visas pasaulis tarpusavyje dalinasi duomenimis apie vykstančius kibernetinio saugumo įvykius. Jei pastebimi galimos atakos pėdsakai, esi iškart perspėjamas, kad ir tavo organizacijoje galima saugumo spraga,“ – IBM sprendimo savybes vardija A. Kenstavičius.

Saugumo sprendimų specialistas pasakoja, kad kito kvadranto lyderio – „Splunk“ įrankis kurtas ne kaip SIEM, bet kaip labai galingas žurnalinių įvykių (angl. log) analizės produktas, kuris geba surinkti ir atpažinti žurnalinius įvykius iš bet kur. Sprendimo lankstumą įrodo jo galimybė apdoroti sudėtingus, didelius ir kreivus įvykius, kurių nėra gamykliniuose aprašymuose. Tiesa, rezultato išgavimui tenka stipriai padirbėti – rašyti savo aplikacijas, aprašyti visus trigerius, kada saugumo incidentas turi būti atvaizduojamas, kada ne. Įrankis skirtas klientams, kurie bitų lygyje norėtų matyti, kas vyksta su žurnaliniais įvykiais, prisidėti papildomų kintamųjų, praturtinti juos ir t.t.

Kitus du lyderių kvadrante atsidūrusius produktus A. Kenstavičius vertina skeptiškai –  abu sprendimai Baltijos šalyse sutinkami retai dėl savo nepatrauklios kainodaros bei kompetentingų specialistų stokos.

„McAfee“ sprendimas labiau orientuotas į duomenų bazių stebėjimą ir savo konkurentams nusileidžia dėl ribotų koreliacijos taisyklių bei nestandartinių šaltinių integravimo galimybių, ne pačia patogiausia vartotojo sąsaja. „LogRythm“ nepasižymi geru našumu, kai analizei apjungiami saugos incidentai ir standartiniai įvykiai (angl. operational events). Sprendimas neturi įsibrovimo aptikimo įrankių, integracija su nestandartinėmis aplikacijomis yra gana sudėtinga,“ – atvirauja specialistas.

Į SIEM sprendimų sąrašą kaip vieną variantų A. Kenstavičius įtrauktų ir „AlienVault“ produktą. Anot jo, įrankis skirtas tiems, kas neturi resursų – tik vieną ar du žmones, kurie rūpinasi IT ūkiu. Su šiuo sprendimu gali aprėpti daug sričių, be to, jo pakankamai patogus valdymas. Jei organizacija nedidelė, neaptinkama daug įvykių – sprendimo taikymas palankus ir kainodaros klausimu. Vis tik, jeigu tektų ieškoti istorinių duomenų – viską ypač apsunkins kebli ir lėta įrankio architektūra.

Galiausiai, SIEM įrankio pasirinkimą visgi lemia ne sprendimo vieta „Gartner“ tyrime, o kliento poreikiai, kompetencija, tikslai (detali žurnalinių įvykių analizė ar paprasta analitika) ir pati organizacijos IT infrastruktūra.

Ypatingas dėmesys – į kritiškai visuomenei svarbius objektus

Anot saugumo sprendimų specialisto, SIEM sprendimo pagalba matoma visa saugumo sprendimų ekosistema taupo darbuotojų laiką ir, tuo pačiu, organizacijos pinigus. Kadangi kiekviena saugumo priemonė turi atskirus prietaisų skydelius (angl. dashboard), juos visus vienu metu sužiūrėti turi arba labai daug, arba vienas viską išmanantis IT specialistas. Kiekviena saugumo įrankio duomenų analizė ir jų koreliacija kainuoja nemažai brangaus, ypač įsilaužimo atveju, laiko, kas ypač svarbu jautriais asmens duomenimis ir valstybės resursais disponuojantiems subjektams. Ne veltui, vertindama kibernetinę aplinką, Krašto apsaugos ministerija valstybinėms informacinėms sistemoms patvirtino reikalavimų sąrašą, kuriame įtvirtintas ir centralizuotas žurnalinių įvykių valdymas, analizė ir jų saugojimas nustatytą periodą.

Saugumo sprendimų specialistas skatina ypatingą dėmesį atkreipti į strateginės reikšmės valstybinių objektų informacinio saugumo užtikrinimą – kritiškai visuomenei svarbius objektus, kurių sutrikdymas atsilieptų žmonių gerovei.

Nuo pilnos saugumo sprendimų ekosistemos būtinybės neatleidžiamos ir privataus kapitalo įmonės, kurios, kaip ir visas pasaulis matė pavėžėjimo paslaugas teikiančios įmonės „Uber“ reketą, supranta kiek gali kainuoti incidentas – sustojusi veikla, reputacija, skaičiuojančioms ir vertinančioms riziką, norinčioms matyti pilną saugumo platformos vaizdą. Praktika rodo, kad ne visos saugumo skylės užlopytos, todėl geriau ne laukti „kada“, o veikti „realiu laiku“.

Armandas Kenstavičius
Saugumo produktų vadovas