Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Pavel Houser , 09. březen 2016 12:00 0 komentářů
Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Oblast SIEM – Security Information and Event Management, neboli správa bezpečnostních informací a událostí, spadá na pomezí bezpečnostních a analytických aplikací. I když systém SIEM dokáže poskytovat v reálném čase informace o bezpečnostních incidentech, nejde o bezprostřední obranný mechanismus typu antiviru nebo firewallu.

Některé prvky z funkčnosti SIEM najdeme i v jiných bezpečnostních řešeních. Na úrovni zabezpečení sítě má SIEM zřejmě nejblíže k tradiční kategorii IDS (detekce průniku; možná není náhodou, že v poslední době zkratku IDS přestali dodavatelé „marketingově tlačit“), protože shromažďuje informace ze síťového hardwaru a aplikací. Kromě jejich samotného uchovávání by řešení SIEM mělo poskytovat i základní uživatelský komfort v podobě různých grafů, „panelů“ a dalších nadstaveb. Samo o sobě toto řešení neposkytuje žádnou ochranu (nejde o IPS – prevenci průniku), lze ale provázat s dalšími bezpečnostními systémy. Už z toho je patrné, že místo SIEM je především v komplexní infrastruktuře, a tato řešení proto využívají velké firmy. Jiný typ zabezpečení se tak nenahradí.

Mezi bezpečnostní a analytikou

IDC zařazuje letos SIEM k hlavním trendům bezpečnostního trhu vedle mobilního zabezpečení a cloudu. Proč trh SIEM stabilně roste, a to i v porovnání s jinými bezpečnostními řešeními, jedná-li o tak speciální kategorii? Z části jde snad o hru čísel (růst z malých hodnot) nebo prostě o vymezení příslušného segmentu (k tomu se ještě dostaneme). Nicméně asi hlavní příčinou je fakt, že funkcionalita SIEM dobře zapadá do světa s rostoucími regulačními požadavky, ať už jde o obecné právní normy, konkrétní legislativu s povinností hlásit bezpečnostní incidenty nebo vnitrofiremní předpisy. SIEM zvládá současně reporting a audit a stejně tak představuje nástroj pro dosažení shody (compliance) nebo forenzní analýzu.

Výše zmíněné by ale nemělo vzbudit dojem, že příslušné funkce mají za smysl pouze něco vykázat nebo se obhájit; implementace SIEM není (nemusí být) jen povinná úlitba. SIEM nabízí korelace v reálném čase a je rovněž analytickou aplikací, přičemž shromážděná data (hlavně protokoly – logy, ale i síťový provoz třeba na úrovni paketů) lze analyzovat za účelem vylepšení bezpečnosti, ale i zefektivnění jiných procesů. Současné technologie (big data, in-memory computing...) umožňují právě širší využívání analytických aplikací, což rozšiřuje i možnosti SIEM. Systémy SIEM při své činnosti podrobně mapují současnou infrastrukturu IT a její využívání, což může mít smysl pro plánování budoucích investic.

Magické kvadranty

Kategorii SIEM roce 2005 vytvořila společnost Gartner a kritici tvrdí, že poněkud nesourodě spojuje systémy SIM a SEM. První skupina přitom zahrnovala hlavně dlouhodobé uchovávání bezpečnostních dat, jejich analýzu a reporting, druhá monitoring a korelaci událostí v reálném čase (zobrazování výstrah na konzoli apod.).

Celá skupina produktů SIEM je od vzniku příslušné kategorie spjata hlavně s magickým kvadrantem Gartneru. V tom posledním z října 2015 jsou zastoupeny následující firmy: AccelOps, AlienVault, BlackStratus, EMC (RSA), EventTracker, HP, IBM Security, Intel Security (McAfee), LogRhythm, Micro Focus (NetIQ), SolarWinds, Splunk, a Trustwave. Mezi lídry je kromě známých jmen (HP, IBM, Intel/McAfee) také Splunk, jehož řešení se jinak řadí mezi „big data/noSQL“, tj. nástroje pro zpracování velkého množství nestrukturovaných informací, bez nutné vazby k bezpečnosti. Tito čtyři dodavatelé ovládají 60 % trhu. Jako konkurenceschopný dodavatel jednoúčelových řešení SIEM se uvádí firma LogRhythm, což je tradiční dodavatel, který triumfoval v minulých kvadrantech a dostal se mezi lídry i ve srovnání za rok 2015.

Gartner pro zařazení do svého srovnání vyžadoval, aby produkty vedle sebe měly funkce SEM i SIM, dokázaly zpracovávat heterogenní zdroje bez ohledu na dodavatele (nejednalo se o analytiku pouze pro další řešení příslušného výrobce). Dále byly vyžadovány roční příjmy z prodeje řešení alespoň 14,5 milionu dolarů a ze srovnání byla vyloučena řešení nabízená pouze v podobě řízené služby.

Anglická Wikipedia uvádí celkem 33 řešení SIEM, ze známých dodavatelů jde o následující produkty: GFI Software EventsManager, HP ArcSight SIEM, IBM Security QRadar SIEM, McAfee (Intel Security) Enterprise Security Manager, RSA Security Analytics a Trustwave SIEM. Studie Mosaic Security Research do kategorie SIEM zařazuje až 73 produktů, kde ze známějších dodavatelů najdeme např. CheckPoint. A ještě jiná vymezení mezi dodavatele SIEM zařazovaly i Symantec.

Trh a trendy

Co se týče změn trhu SIEM mezi roky 2014 a 2015, Gartner hovoří o konsolidaci (aniž by ale v této oblasti došlo k nějakým významnějším akvizicím), širším přijetí systémů ze strany zákazníků a rozšiřování funkčnosti na straně dodavatelů. Kromě „tradičních funkcí“ SIEM do popředí vystupují varování v reálném čase (funkčnost IDS) a na druhé straně big data/analytika. Někteří dodavatelé – HP, IBM, RSA – integrují svá SIEM řešení především s vlastními nástroji, jiní – Splunk a Intel – využívají technologie třetích stran.

Prognóza společnosti Markets and Markets odhaduje velikost trhu SIEM v roce 2020 na 6 miliard dolarů, jiné analýzy zase předpovídají průměrný roční růst v této oblasti na 20–25 %. Objem trhu v roce 2014 se odhaduje na 2,6 miliard, loni na 3 miliardy. Cybersecurity Ventures předpovídá pro následující 4 roky přijetí těchto řešení i ve středních firmách. Jde ovšem hlavně o vymezení samotné kategorie, která je spjata především s Gartnerem.

A aby situace byla ještě komplikovanější, sám Gartner vedle SIEM nedávno přišel s další, související a příbuznou zkratkou UBA (user behavior analytics). Jde vlastně o paralelní funkčnost, kdy SIEM shromažďuje data na úrovni síťových prvků či aplikací, UBA by vedle toho mělo monitorovat chování jednotlivých uživatelů. Podobně jako SIEM i UBA spadá na pomezí bezpečnosti a analytiky, jako SIEM má vztah k využívání IT infrastruktury, tak UBA zase souvisí s dalšími dnes oblíbenými zkratkami CX/UX. Dodavatelé ani analytické firmy to zákazníkům zrovna neusnadňují, při výběru SIEM a příbuzných řešení je třeba se soustředit na (alespoň deklarované) funkce, ne záplavu terminologie. Což ale není žádná novinka.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Policie odložila prověřování IT na ministerstvu zemědělství

ČTK , 24. leden 2017 17:00

Policisté přestali zkoumat okolnosti, za jakých ministerstvo zemědělství nakupovalo v letech 2005 až...

Více 0 komentářů

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Starší zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů