Firmy dnes používají desítky i stovky aplikací, systémů i zařízení, jejichž provoz generuje záznamy. Analýza těchto záznamů umožňuje kompletně monitorovat IT prostředí podniku a omezit bezpečnostní i jiná rizika
Technologie, označovaná jako SIEM (Security Information and Event Management), se začala ve větší míře nasazovat mezi lety 2005 až 2010. Řešení SIEM, tedy management bezpečnostních informací a událostí, vychází z technologií označovaných jako SIM (Security Information Management) a SEM (Security Event Management). Z toho také vyplývá, že se SIEM zabývá dlouhodobým ukládáním informací o událostech v rámci sítě, jejich analýzou a hlášením problémů, stejně jako monitoringem samotné infrastruktury, korelacemi událostí a upozorňováním na hrozící, zejména bezpečnostní, rizika v reálném čase.
Z čeho SIEM čerpá informace
Zdrojem informací pro SIEM řešení jsou záznamy (logy) všech technologií, implementovaných a používaných v podnikové síti. Jde tedy především o aplikace, podnikové systémy, virtualizační platformy či databáze, stejně jako například docházkové systémy a samozřejmě také záznamy síťového provozu všech připojených zařízení. Záleží přitom na zadavateli, jaká data a ze kterých zdrojů bude v SIEM sbírat a zpracovávat. Toto zadání se bude lišit podle účelu nasazení SIEM, kterým může být například detailní přehled nad síťovým provozem a perimetrem, kontrola nad používanými aplikacemi nebo sledování nakládání s databázemi. Jelikož lze SIEM nasadit mnoha různými způsoby, potřebuje konkrétní implementace svůj jasný účel – podle kterého budou mimo jiné zvoleny i zdroje logů ke zpracování.
Instalací SIEM nejlépe provede zkušený integrátor
Na trhu existuje celá řada řešení SIEM a v rámci jednoho projektu lze vhodně kombinovat i technologie od více dodavatelů. Samotná instalace nástrojů SIEM sice není tak složitá, avšak vedení celého projektu ano, a proto by se jej měl ujmout zkušený systémový integrátor. Ten na samém počátku porovná očekávání zadavatele s reálnými možnostmi SIEM a navrhne odpovídající scénář implementace. Na základě požadavků zadavatele je rovněž nutné zjistit potřebné datové zdroje a provést nastavení logů tak, aby poskytovaly informace potřebné k dalšímu zpracování a vyhodnocování. Jde o velmi důležitou část projektu, během které je nutné zajistit, aby byla pro zpracování v SIEM generována skutečně relevantní a užitečná data. Prakticky každá implementace se v tomto ohledu a dalších významných detailech liší.
Mnoho firem volí postupnou implementaci SIEM, kdy se řešení managementu bezpečnostních informací a událostí postupně skládá z menších celků do komplexního řešení. Výhodou je postupné zapojování dalších zdrojů informací a rozšiřování přehledu o dění v rámci podnikové infrastruktury. Další z možností, jak se SIEM začít s nižšími náklady a méně náročnou implementací, je využití řešení na pomezí robustních SIEM systémů. Jedná se o poměrně nový typ „odlehčených“ SIEM řešení, která poskytnou podstatnou část funkcionality při sběru a vyhodnocování dat z logů a zároveň je jednodušší je implementovat a začít s nimi pracovat. Řešení tohoto typu využívají analýzu logů nejčastěji k vyhledávání chyb a odhalování bezpečnostních incidentů.
Existují rovněž jednoúčelová SIEM řešení, určená k pokrytí konkrétní problematiky, která ale zpravidla neposkytnou kompletní informace všem svým potenciálním uživatelům. Takové aplikace SIEM poslouží například administrátorům odpovědným za bezpečnost IT, které informují o incidentech, ale už neposkytnou všechna nezbytná data (logy, auditní stopy, přehled přihlášení k systémům a aplikacím atd.) oddělení risk managementu. Jednotlivá řešení SIEM se většinou v určitých ohledech překrývají, díky své jednoúčelovosti mohou fungovat do značné míry automatizovaně a využívat strojové učení, ale roli komplexních systémů SIEM zastoupit nemohou.
SIEM si musí poradit s mobilitou i rychlým vývojem aplikací
Podobně jako roste počet zdrojů dat, se kterými SIEM pracuje, zrychluje se i vývoj podnikových systémů a aplikací, kterým se SIEM a další nástroje spojené s bezpečností musí přizpůsobit. Dalším trendem, na který musí řešení SIEM reagovat, je mobilita zaměstnanců, kteří stále častěji pracují nejen na několika různých zařízeních, ale také mimo podnikovou síť. Je proto velmi důležité, aby sběr dat pro SIEM reagoval na takovou situaci a aby se přísun potřebných informací nezastavil při práci zaměstnanců mimo firmu. Moderní řešení SIEM jsou na mobilitu připravena, ale přesto je nezbytné projít relevantní scénáře a ověřit, že budou fungovat za všech okolností. Ověření scénářů je nutné provést při každé zásadní změně ve stylu práce a souvisejících procesech – tedy například v situaci, kdy firma hromadně povolí používání vlastních zařízení (BYOD) a/nebo vzdálený přístup k podnikovým systémům a aplikacím po internetu.
S autonomními SIEM řešení se (zatím) příliš nepočítá
SIEM systémy dnes fungují především jako kontrolní mechanismus, který svoje uživatele upozorní například na nestandardní bezpečnostní události. Nabízí se přitom otázka, zdali by na základě analýzy získaných dat a s využitím technologie strojového učení nemohly řešení SIEM automaticky provádět akce, typicky zablokování probíhajících pokusů o kybernetické útoky. Existují ale nejméně dvě překážky na cestě k autonomně reagujícím SIEM řešením.
První z nich je obrovsky komplexní prostředí, ve kterém dnešní SIEM systémy pracují, se kterým si současné technologie strojového učení zatím neumějí poradit – alespoň ne bez skutečně masivní investice do konkrétní implementace SIEM. Druhým problémem je, že dnes na základě informací a upozornění ze SIEM reagují na hrozby lidé, kteří například rozhodují o zablokování konkrétního, potenciálně nebezpečného datového toku. Na základě analýzy dat by mohl SIEM systém reagovat i automaticky, ale ve firmách převažují obavy z nežádoucího zablokování legitimního provozu.
Technologický vývoj je ale nezadržitelný a týká se i řešení SIEM, která v blízké budoucnosti nepochybně začnou k analýze získaných dat využívat strojové učení a nabídnou i nové automatizované funkce. Zatímco první z překážek má technologickou povahu, větší automatizace reakcí SIEM je záležitostí důvěry administrátorů a manažerů IT v technologii umělé inteligence.
Martin Frühauf, Segment Manager IT Security ve společnosti S&T CZ
