Bezpečnost je dnes pro firmy jednou z priorit, k tomu se přidávají vnitřní i vnější požadavky na dosažení shody s předpisy, všudypřítomný reporting a audit. To vše zvyšuje popularitu systémů SIEM, které jsou navrženy právě pro shromažďování informací o zabezpečení. Systémy SIEM ale nejsou, alespoň ve své tradiční podobě, řešením pro každého – především kvůli ceně, složitější implementaci a správě řešení. SIEM dosud používaly hlavně větší podniky. To se nyní může změnit.
Zkratka SIEM znamená Security Information and Event Management, neboli správa bezpečnostních informací a událostí. Aplikace SIEM tedy shromažďuje a archivuje bezpečnostní události i další logy (záznamy protokolů), stejně tak poskytuje upozornění, umožňuje zaznamenaná data analyzovat a vizualizovat. Řešení SIEM se tak v rámci funkcionality nachází mezi bezpečností a analytikou, lze kromě vlastního zabezpečení a zajištění shody s regulatorními požadavky (compliance) využít třeba i k mapování toho, jak se v rámci podniku vyvíjí IT infrastruktura; od toho se pak samozřejmě odvíjí rozhodování o dalších investicích.
Nejen pro velké podniky
Jedním z trendů současného IT je plošné zpřístupňování řešení, která byla dříve dostupná jen pro velké firmy. Jak je tomu v oblasti SIEM? I pro menší organizace se nabízí např. řešení LOGManager. Jedná se o systém pro centralizovanou správu událostí a logů ze síťových prvků a specializovaných bezpečnostních zařízení.
LOGManager dokáže poskytnout kompletní vhled do událostí, který je pro bezpečnost společnosti nejdůležitější. Standardní zařízení a systémy jsou podporovány již od výrobce (SAP, Linux, MS Widows, MS Server, Oracle, MS SQL, MY SQL, Checkpoint, Juniper, HP a mnohé další). Díky snadné implementaci je zařízení možno nasadit během okamžiku do produkčního prostředí a obratem získat veškeré požadované informace.
Databáze systému je navržena tak, aby se dala dobře škálovat (základní velikost pro logy je 9 nebo 30 TB podle verze) a data šla jednoduše vyhledávat, nad databází se nachází přehledná prezentační vrstva včetně přehledných panelů (dashboardů), s daty lze dále pracovat a vytvářet podle požadavků konkrétní výstupy / sestavy. K dispozici jsou taktéž např. výstrahy (alerty) a ověření původu dat proti jejich podvržení. Práce s LOGManagerem je rychlá a jednoduchá.
Splňuje zákon o kybernetické bezpečnosti
Shromážděné informace a záznamy událostí z celé organizace se v rámci řešení LOGManager ukládají do centrálního úložiště, které má podobu diskového pole typu RAID 6 s ochranou proti výpadku disků. Zde lze data dále uchovávat a použít za účelem bezpečnostního i jiného auditu, jako doklad shody s předpisy i pro forenzní analýzu. LOGManager splňuje požadavky Zákona o kybernetické bezpečnosti a ČSN ISO 27001 pro pořizování auditních záznamů. To představuje významný faktor hlavně pro veřejnou zprávu, resp. pro kritickou infrastrukturu veřejné zprávy, která musí nyní systém pro shromažďování logů implementovat povinně.
V případě potřeby dokáže LOGManager spolupracovat i s řešením SIEM třetích stran a fungovat jako integrační vrstva. Podobně jako u systémů SIEM poskytují záznamy také nástroj, jak dohledat případnou závadu a řešit problém – opět na úrovni síťových prvků, operačních systémů i aplikací. Fakt, že se údaje z celé organizace shromáždí na jednom místě a v jednotném formátu, umožňuje i jejich prakticky libovolné další zpracování.
Tuzemský vývoj a kvalitní podpora
LOGManager je výsledkem vlastního vývoje ve společnosti CompuNet, který posléze vývoj vydělila do samostatné firmy Sirwisa. Samozřejmostí je proto rozhraní a dokumentace v češtině a bezproblémová, snadno dostupná podpora.
LOGManager lze snadno a rychle nasadit a oproti tradičním systémům SIEM se jedná o levné řešení. Má podobu hardwarového zařízení (appliance) a obslužného softwaru. K jeho výhodám patří také jednoduchá licenční politika, která nezávisí na počtu připojených zařízení ani na počtu přijatých událostí za sekundu (podle verze dosahuje kapacita systému LOGManager 2 tisíce až 5 tisíc nebo 5 tisíc až 10 tisíc událostí za sekundu). Platí se za samotný hardware a software, případně podporu a dodávání aktualizací. Ty postupně systém rozšiřují o další funkce.
Aleš Pikora, ředitel divize DataGuard společnosti PCS