Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Pavel Houser , 09. březen 2016 12:00 0 komentářů
Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Oblast SIEM – Security Information and Event Management, neboli správa bezpečnostních informací a událostí, spadá na pomezí bezpečnostních a analytických aplikací. I když systém SIEM dokáže poskytovat v reálném čase informace o bezpečnostních incidentech, nejde o bezprostřední obranný mechanismus typu antiviru nebo firewallu.

Některé prvky z funkčnosti SIEM najdeme i v jiných bezpečnostních řešeních. Na úrovni zabezpečení sítě má SIEM zřejmě nejblíže k tradiční kategorii IDS (detekce průniku; možná není náhodou, že v poslední době zkratku IDS přestali dodavatelé „marketingově tlačit“), protože shromažďuje informace ze síťového hardwaru a aplikací. Kromě jejich samotného uchovávání by řešení SIEM mělo poskytovat i základní uživatelský komfort v podobě různých grafů, „panelů“ a dalších nadstaveb. Samo o sobě toto řešení neposkytuje žádnou ochranu (nejde o IPS – prevenci průniku), lze ale provázat s dalšími bezpečnostními systémy. Už z toho je patrné, že místo SIEM je především v komplexní infrastruktuře, a tato řešení proto využívají velké firmy. Jiný typ zabezpečení se tak nenahradí.

Mezi bezpečnostní a analytikou

IDC zařazuje letos SIEM k hlavním trendům bezpečnostního trhu vedle mobilního zabezpečení a cloudu. Proč trh SIEM stabilně roste, a to i v porovnání s jinými bezpečnostními řešeními, jedná-li o tak speciální kategorii? Z části jde snad o hru čísel (růst z malých hodnot) nebo prostě o vymezení příslušného segmentu (k tomu se ještě dostaneme). Nicméně asi hlavní příčinou je fakt, že funkcionalita SIEM dobře zapadá do světa s rostoucími regulačními požadavky, ať už jde o obecné právní normy, konkrétní legislativu s povinností hlásit bezpečnostní incidenty nebo vnitrofiremní předpisy. SIEM zvládá současně reporting a audit a stejně tak představuje nástroj pro dosažení shody (compliance) nebo forenzní analýzu.

Výše zmíněné by ale nemělo vzbudit dojem, že příslušné funkce mají za smysl pouze něco vykázat nebo se obhájit; implementace SIEM není (nemusí být) jen povinná úlitba. SIEM nabízí korelace v reálném čase a je rovněž analytickou aplikací, přičemž shromážděná data (hlavně protokoly – logy, ale i síťový provoz třeba na úrovni paketů) lze analyzovat za účelem vylepšení bezpečnosti, ale i zefektivnění jiných procesů. Současné technologie (big data, in-memory computing...) umožňují právě širší využívání analytických aplikací, což rozšiřuje i možnosti SIEM. Systémy SIEM při své činnosti podrobně mapují současnou infrastrukturu IT a její využívání, což může mít smysl pro plánování budoucích investic.

Magické kvadranty

Kategorii SIEM roce 2005 vytvořila společnost Gartner a kritici tvrdí, že poněkud nesourodě spojuje systémy SIM a SEM. První skupina přitom zahrnovala hlavně dlouhodobé uchovávání bezpečnostních dat, jejich analýzu a reporting, druhá monitoring a korelaci událostí v reálném čase (zobrazování výstrah na konzoli apod.).

Celá skupina produktů SIEM je od vzniku příslušné kategorie spjata hlavně s magickým kvadrantem Gartneru. V tom posledním z října 2015 jsou zastoupeny následující firmy: AccelOps, AlienVault, BlackStratus, EMC (RSA), EventTracker, HP, IBM Security, Intel Security (McAfee), LogRhythm, Micro Focus (NetIQ), SolarWinds, Splunk, a Trustwave. Mezi lídry je kromě známých jmen (HP, IBM, Intel/McAfee) také Splunk, jehož řešení se jinak řadí mezi „big data/noSQL“, tj. nástroje pro zpracování velkého množství nestrukturovaných informací, bez nutné vazby k bezpečnosti. Tito čtyři dodavatelé ovládají 60 % trhu. Jako konkurenceschopný dodavatel jednoúčelových řešení SIEM se uvádí firma LogRhythm, což je tradiční dodavatel, který triumfoval v minulých kvadrantech a dostal se mezi lídry i ve srovnání za rok 2015.

Gartner pro zařazení do svého srovnání vyžadoval, aby produkty vedle sebe měly funkce SEM i SIM, dokázaly zpracovávat heterogenní zdroje bez ohledu na dodavatele (nejednalo se o analytiku pouze pro další řešení příslušného výrobce). Dále byly vyžadovány roční příjmy z prodeje řešení alespoň 14,5 milionu dolarů a ze srovnání byla vyloučena řešení nabízená pouze v podobě řízené služby.

Anglická Wikipedia uvádí celkem 33 řešení SIEM, ze známých dodavatelů jde o následující produkty: GFI Software EventsManager, HP ArcSight SIEM, IBM Security QRadar SIEM, McAfee (Intel Security) Enterprise Security Manager, RSA Security Analytics a Trustwave SIEM. Studie Mosaic Security Research do kategorie SIEM zařazuje až 73 produktů, kde ze známějších dodavatelů najdeme např. CheckPoint. A ještě jiná vymezení mezi dodavatele SIEM zařazovaly i Symantec.

Trh a trendy

Co se týče změn trhu SIEM mezi roky 2014 a 2015, Gartner hovoří o konsolidaci (aniž by ale v této oblasti došlo k nějakým významnějším akvizicím), širším přijetí systémů ze strany zákazníků a rozšiřování funkčnosti na straně dodavatelů. Kromě „tradičních funkcí“ SIEM do popředí vystupují varování v reálném čase (funkčnost IDS) a na druhé straně big data/analytika. Někteří dodavatelé – HP, IBM, RSA – integrují svá SIEM řešení především s vlastními nástroji, jiní – Splunk a Intel – využívají technologie třetích stran.

Prognóza společnosti Markets and Markets odhaduje velikost trhu SIEM v roce 2020 na 6 miliard dolarů, jiné analýzy zase předpovídají průměrný roční růst v této oblasti na 20–25 %. Objem trhu v roce 2014 se odhaduje na 2,6 miliard, loni na 3 miliardy. Cybersecurity Ventures předpovídá pro následující 4 roky přijetí těchto řešení i ve středních firmách. Jde ovšem hlavně o vymezení samotné kategorie, která je spjata především s Gartnerem.

A aby situace byla ještě komplikovanější, sám Gartner vedle SIEM nedávno přišel s další, související a příbuznou zkratkou UBA (user behavior analytics). Jde vlastně o paralelní funkčnost, kdy SIEM shromažďuje data na úrovni síťových prvků či aplikací, UBA by vedle toho mělo monitorovat chování jednotlivých uživatelů. Podobně jako SIEM i UBA spadá na pomezí bezpečnosti a analytiky, jako SIEM má vztah k využívání IT infrastruktury, tak UBA zase souvisí s dalšími dnes oblíbenými zkratkami CX/UX. Dodavatelé ani analytické firmy to zákazníkům zrovna neusnadňují, při výběru SIEM a příbuzných řešení je třeba se soustředit na (alespoň deklarované) funkce, ne záplavu terminologie. Což ale není žádná novinka.


Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Starší zprávičky

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 1 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 3 komentářů