Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Pavel Houser , 09. březen 2016 12:00 0 komentářů
Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Oblast SIEM – Security Information and Event Management, neboli správa bezpečnostních informací a událostí, spadá na pomezí bezpečnostních a analytických aplikací. I když systém SIEM dokáže poskytovat v reálném čase informace o bezpečnostních incidentech, nejde o bezprostřední obranný mechanismus typu antiviru nebo firewallu.

Některé prvky z funkčnosti SIEM najdeme i v jiných bezpečnostních řešeních. Na úrovni zabezpečení sítě má SIEM zřejmě nejblíže k tradiční kategorii IDS (detekce průniku; možná není náhodou, že v poslední době zkratku IDS přestali dodavatelé „marketingově tlačit“), protože shromažďuje informace ze síťového hardwaru a aplikací. Kromě jejich samotného uchovávání by řešení SIEM mělo poskytovat i základní uživatelský komfort v podobě různých grafů, „panelů“ a dalších nadstaveb. Samo o sobě toto řešení neposkytuje žádnou ochranu (nejde o IPS – prevenci průniku), lze ale provázat s dalšími bezpečnostními systémy. Už z toho je patrné, že místo SIEM je především v komplexní infrastruktuře, a tato řešení proto využívají velké firmy. Jiný typ zabezpečení se tak nenahradí.

Mezi bezpečnostní a analytikou

IDC zařazuje letos SIEM k hlavním trendům bezpečnostního trhu vedle mobilního zabezpečení a cloudu. Proč trh SIEM stabilně roste, a to i v porovnání s jinými bezpečnostními řešeními, jedná-li o tak speciální kategorii? Z části jde snad o hru čísel (růst z malých hodnot) nebo prostě o vymezení příslušného segmentu (k tomu se ještě dostaneme). Nicméně asi hlavní příčinou je fakt, že funkcionalita SIEM dobře zapadá do světa s rostoucími regulačními požadavky, ať už jde o obecné právní normy, konkrétní legislativu s povinností hlásit bezpečnostní incidenty nebo vnitrofiremní předpisy. SIEM zvládá současně reporting a audit a stejně tak představuje nástroj pro dosažení shody (compliance) nebo forenzní analýzu.

Výše zmíněné by ale nemělo vzbudit dojem, že příslušné funkce mají za smysl pouze něco vykázat nebo se obhájit; implementace SIEM není (nemusí být) jen povinná úlitba. SIEM nabízí korelace v reálném čase a je rovněž analytickou aplikací, přičemž shromážděná data (hlavně protokoly – logy, ale i síťový provoz třeba na úrovni paketů) lze analyzovat za účelem vylepšení bezpečnosti, ale i zefektivnění jiných procesů. Současné technologie (big data, in-memory computing...) umožňují právě širší využívání analytických aplikací, což rozšiřuje i možnosti SIEM. Systémy SIEM při své činnosti podrobně mapují současnou infrastrukturu IT a její využívání, což může mít smysl pro plánování budoucích investic.

Magické kvadranty

Kategorii SIEM roce 2005 vytvořila společnost Gartner a kritici tvrdí, že poněkud nesourodě spojuje systémy SIM a SEM. První skupina přitom zahrnovala hlavně dlouhodobé uchovávání bezpečnostních dat, jejich analýzu a reporting, druhá monitoring a korelaci událostí v reálném čase (zobrazování výstrah na konzoli apod.).

Celá skupina produktů SIEM je od vzniku příslušné kategorie spjata hlavně s magickým kvadrantem Gartneru. V tom posledním z října 2015 jsou zastoupeny následující firmy: AccelOps, AlienVault, BlackStratus, EMC (RSA), EventTracker, HP, IBM Security, Intel Security (McAfee), LogRhythm, Micro Focus (NetIQ), SolarWinds, Splunk, a Trustwave. Mezi lídry je kromě známých jmen (HP, IBM, Intel/McAfee) také Splunk, jehož řešení se jinak řadí mezi „big data/noSQL“, tj. nástroje pro zpracování velkého množství nestrukturovaných informací, bez nutné vazby k bezpečnosti. Tito čtyři dodavatelé ovládají 60 % trhu. Jako konkurenceschopný dodavatel jednoúčelových řešení SIEM se uvádí firma LogRhythm, což je tradiční dodavatel, který triumfoval v minulých kvadrantech a dostal se mezi lídry i ve srovnání za rok 2015.

Gartner pro zařazení do svého srovnání vyžadoval, aby produkty vedle sebe měly funkce SEM i SIM, dokázaly zpracovávat heterogenní zdroje bez ohledu na dodavatele (nejednalo se o analytiku pouze pro další řešení příslušného výrobce). Dále byly vyžadovány roční příjmy z prodeje řešení alespoň 14,5 milionu dolarů a ze srovnání byla vyloučena řešení nabízená pouze v podobě řízené služby.

Anglická Wikipedia uvádí celkem 33 řešení SIEM, ze známých dodavatelů jde o následující produkty: GFI Software EventsManager, HP ArcSight SIEM, IBM Security QRadar SIEM, McAfee (Intel Security) Enterprise Security Manager, RSA Security Analytics a Trustwave SIEM. Studie Mosaic Security Research do kategorie SIEM zařazuje až 73 produktů, kde ze známějších dodavatelů najdeme např. CheckPoint. A ještě jiná vymezení mezi dodavatele SIEM zařazovaly i Symantec.

Trh a trendy

Co se týče změn trhu SIEM mezi roky 2014 a 2015, Gartner hovoří o konsolidaci (aniž by ale v této oblasti došlo k nějakým významnějším akvizicím), širším přijetí systémů ze strany zákazníků a rozšiřování funkčnosti na straně dodavatelů. Kromě „tradičních funkcí“ SIEM do popředí vystupují varování v reálném čase (funkčnost IDS) a na druhé straně big data/analytika. Někteří dodavatelé – HP, IBM, RSA – integrují svá SIEM řešení především s vlastními nástroji, jiní – Splunk a Intel – využívají technologie třetích stran.

Prognóza společnosti Markets and Markets odhaduje velikost trhu SIEM v roce 2020 na 6 miliard dolarů, jiné analýzy zase předpovídají průměrný roční růst v této oblasti na 20–25 %. Objem trhu v roce 2014 se odhaduje na 2,6 miliard, loni na 3 miliardy. Cybersecurity Ventures předpovídá pro následující 4 roky přijetí těchto řešení i ve středních firmách. Jde ovšem hlavně o vymezení samotné kategorie, která je spjata především s Gartnerem.

A aby situace byla ještě komplikovanější, sám Gartner vedle SIEM nedávno přišel s další, související a příbuznou zkratkou UBA (user behavior analytics). Jde vlastně o paralelní funkčnost, kdy SIEM shromažďuje data na úrovni síťových prvků či aplikací, UBA by vedle toho mělo monitorovat chování jednotlivých uživatelů. Podobně jako SIEM i UBA spadá na pomezí bezpečnosti a analytiky, jako SIEM má vztah k využívání IT infrastruktury, tak UBA zase souvisí s dalšími dnes oblíbenými zkratkami CX/UX. Dodavatelé ani analytické firmy to zákazníkům zrovna neusnadňují, při výběru SIEM a příbuzných řešení je třeba se soustředit na (alespoň deklarované) funkce, ne záplavu terminologie. Což ale není žádná novinka.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů