Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Pavel Houser , 09. březen 2016 12:00 0 komentářů
Trendy v bezpečnosti IT: Co se skrývá za zkratkou SIEM

Oblast SIEM – Security Information and Event Management, neboli správa bezpečnostních informací a událostí, spadá na pomezí bezpečnostních a analytických aplikací. I když systém SIEM dokáže poskytovat v reálném čase informace o bezpečnostních incidentech, nejde o bezprostřední obranný mechanismus typu antiviru nebo firewallu.

Některé prvky z funkčnosti SIEM najdeme i v jiných bezpečnostních řešeních. Na úrovni zabezpečení sítě má SIEM zřejmě nejblíže k tradiční kategorii IDS (detekce průniku; možná není náhodou, že v poslední době zkratku IDS přestali dodavatelé „marketingově tlačit“), protože shromažďuje informace ze síťového hardwaru a aplikací. Kromě jejich samotného uchovávání by řešení SIEM mělo poskytovat i základní uživatelský komfort v podobě různých grafů, „panelů“ a dalších nadstaveb. Samo o sobě toto řešení neposkytuje žádnou ochranu (nejde o IPS – prevenci průniku), lze ale provázat s dalšími bezpečnostními systémy. Už z toho je patrné, že místo SIEM je především v komplexní infrastruktuře, a tato řešení proto využívají velké firmy. Jiný typ zabezpečení se tak nenahradí.

Mezi bezpečnostní a analytikou

IDC zařazuje letos SIEM k hlavním trendům bezpečnostního trhu vedle mobilního zabezpečení a cloudu. Proč trh SIEM stabilně roste, a to i v porovnání s jinými bezpečnostními řešeními, jedná-li o tak speciální kategorii? Z části jde snad o hru čísel (růst z malých hodnot) nebo prostě o vymezení příslušného segmentu (k tomu se ještě dostaneme). Nicméně asi hlavní příčinou je fakt, že funkcionalita SIEM dobře zapadá do světa s rostoucími regulačními požadavky, ať už jde o obecné právní normy, konkrétní legislativu s povinností hlásit bezpečnostní incidenty nebo vnitrofiremní předpisy. SIEM zvládá současně reporting a audit a stejně tak představuje nástroj pro dosažení shody (compliance) nebo forenzní analýzu.

Výše zmíněné by ale nemělo vzbudit dojem, že příslušné funkce mají za smysl pouze něco vykázat nebo se obhájit; implementace SIEM není (nemusí být) jen povinná úlitba. SIEM nabízí korelace v reálném čase a je rovněž analytickou aplikací, přičemž shromážděná data (hlavně protokoly – logy, ale i síťový provoz třeba na úrovni paketů) lze analyzovat za účelem vylepšení bezpečnosti, ale i zefektivnění jiných procesů. Současné technologie (big data, in-memory computing...) umožňují právě širší využívání analytických aplikací, což rozšiřuje i možnosti SIEM. Systémy SIEM při své činnosti podrobně mapují současnou infrastrukturu IT a její využívání, což může mít smysl pro plánování budoucích investic.

Magické kvadranty

Kategorii SIEM roce 2005 vytvořila společnost Gartner a kritici tvrdí, že poněkud nesourodě spojuje systémy SIM a SEM. První skupina přitom zahrnovala hlavně dlouhodobé uchovávání bezpečnostních dat, jejich analýzu a reporting, druhá monitoring a korelaci událostí v reálném čase (zobrazování výstrah na konzoli apod.).

Celá skupina produktů SIEM je od vzniku příslušné kategorie spjata hlavně s magickým kvadrantem Gartneru. V tom posledním z října 2015 jsou zastoupeny následující firmy: AccelOps, AlienVault, BlackStratus, EMC (RSA), EventTracker, HP, IBM Security, Intel Security (McAfee), LogRhythm, Micro Focus (NetIQ), SolarWinds, Splunk, a Trustwave. Mezi lídry je kromě známých jmen (HP, IBM, Intel/McAfee) také Splunk, jehož řešení se jinak řadí mezi „big data/noSQL“, tj. nástroje pro zpracování velkého množství nestrukturovaných informací, bez nutné vazby k bezpečnosti. Tito čtyři dodavatelé ovládají 60 % trhu. Jako konkurenceschopný dodavatel jednoúčelových řešení SIEM se uvádí firma LogRhythm, což je tradiční dodavatel, který triumfoval v minulých kvadrantech a dostal se mezi lídry i ve srovnání za rok 2015.

Gartner pro zařazení do svého srovnání vyžadoval, aby produkty vedle sebe měly funkce SEM i SIM, dokázaly zpracovávat heterogenní zdroje bez ohledu na dodavatele (nejednalo se o analytiku pouze pro další řešení příslušného výrobce). Dále byly vyžadovány roční příjmy z prodeje řešení alespoň 14,5 milionu dolarů a ze srovnání byla vyloučena řešení nabízená pouze v podobě řízené služby.

Anglická Wikipedia uvádí celkem 33 řešení SIEM, ze známých dodavatelů jde o následující produkty: GFI Software EventsManager, HP ArcSight SIEM, IBM Security QRadar SIEM, McAfee (Intel Security) Enterprise Security Manager, RSA Security Analytics a Trustwave SIEM. Studie Mosaic Security Research do kategorie SIEM zařazuje až 73 produktů, kde ze známějších dodavatelů najdeme např. CheckPoint. A ještě jiná vymezení mezi dodavatele SIEM zařazovaly i Symantec.

Trh a trendy

Co se týče změn trhu SIEM mezi roky 2014 a 2015, Gartner hovoří o konsolidaci (aniž by ale v této oblasti došlo k nějakým významnějším akvizicím), širším přijetí systémů ze strany zákazníků a rozšiřování funkčnosti na straně dodavatelů. Kromě „tradičních funkcí“ SIEM do popředí vystupují varování v reálném čase (funkčnost IDS) a na druhé straně big data/analytika. Někteří dodavatelé – HP, IBM, RSA – integrují svá SIEM řešení především s vlastními nástroji, jiní – Splunk a Intel – využívají technologie třetích stran.

Prognóza společnosti Markets and Markets odhaduje velikost trhu SIEM v roce 2020 na 6 miliard dolarů, jiné analýzy zase předpovídají průměrný roční růst v této oblasti na 20–25 %. Objem trhu v roce 2014 se odhaduje na 2,6 miliard, loni na 3 miliardy. Cybersecurity Ventures předpovídá pro následující 4 roky přijetí těchto řešení i ve středních firmách. Jde ovšem hlavně o vymezení samotné kategorie, která je spjata především s Gartnerem.

A aby situace byla ještě komplikovanější, sám Gartner vedle SIEM nedávno přišel s další, související a příbuznou zkratkou UBA (user behavior analytics). Jde vlastně o paralelní funkčnost, kdy SIEM shromažďuje data na úrovni síťových prvků či aplikací, UBA by vedle toho mělo monitorovat chování jednotlivých uživatelů. Podobně jako SIEM i UBA spadá na pomezí bezpečnosti a analytiky, jako SIEM má vztah k využívání IT infrastruktury, tak UBA zase souvisí s dalšími dnes oblíbenými zkratkami CX/UX. Dodavatelé ani analytické firmy to zákazníkům zrovna neusnadňují, při výběru SIEM a příbuzných řešení je třeba se soustředit na (alespoň deklarované) funkce, ne záplavu terminologie. Což ale není žádná novinka.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů