Vodič za početnike: Sigurnosne informacije i upravljanje događajima (Security Information and Event Management – SIEM)

Iako se industrija složila s terminom „SIEM“ kao ključnim izrazom za ovaj tip sigurnosnog softvera, evoluirala je iz nekoliko različitih, ali komplementarnih tehnologija koje su stigle prije njega.

LMS – Log Management System „Sistem za upravljanje dnevnikom“ – Sistem koji sakuplja i pohranjuje datoteke raznih dnevnika (iz operativnih sistema, aplikacija i više) sa više mašina i sistema na jednu lokaciju, omogućava centralizirani pristup zapisnicima umjesto da im pristupa iz svakog sistema pojedinačno.

SLM/SEM – Security Log/Event Management „Dnevnik sigurnosti/Upravljanje događajima“ – kao i LMS, ali koji ima više fokus prema sigurnosnim analitikama umjesto administratorima sistema. SEM govori o isticanju zapisa iz dnevnika koji su značajniji za sigurnost.

SIM – Security Information Management “Upravljanje sigurnosnim informacijama” – Sistem upravljanja imovinom, ali sa funkcijama koje uključuju sigurnosne informacije. Mašine mogu imati izvještaje o ranjivosti koji su navedeni u njihovim sažetcima, a otkrivanje provala i antivirusna upozorenja mogu se prikazati preslikani na uključene sisteme.

SEC – Security Event Correlation „Korelacija sigurnosnih događaja“ – Na određeni dio softvera 3 neuspjela pokušaja prijave na isti korisnički račun s 3 različita klijenta, samo su 3 zapisa u njihovom dnevniku. Za analitičara to je određeni niz događaja vrijednih istrage, a korelacija dnevnika (traženje obrazaca u datotekama dnevnika) način je podizanja upozorenja kada se te stvari dogode.

SIEM – Security Informationa nd Event Management „Sigurnosne informacije i upravljanje događajima“ – Sve ovo iznad. Kako su se gornje tehnologije spojile u jedinstvene proizvode, SIEM je postao generalizirani pojam za upravljanje informacijama koje nastaju sigurnosnim kontrolama i infrastrukturom.

Šta je u dnevnicima (logs)

Dnevnici sadržavaju informacije na koje se može odgovoriti ako se postave slijedeća dva pitanja:

  • Ko nas je napao danas?
  • Kako je dobio pristup našem sistemu?

Možemo smatrati da sigurnosne kontrole sadrže sve informacije koje trebamo zaštititi, ali one često sadrže samo ono što se otkrilo – u njima ne postoji kontekst „prije i nakon događaja“. Ovaj je kontekst obično od vitalnog značaja za odvajanje lažnog pozitivnog od istinskog otkrivanja ili stvarnog napada od samo pogrešno konfigurisanog sistema. Uspješni napadi sistema rijetko izgledaju kao pravi napadi, osim kada se zaista dogode. Da to nije bio slučaj, mogli bismo automatizovati sve sigurnosne odbrane bez da ikada budemo morali zaposliti ljudske analitičare. Napadači će pokušati ukloniti i krivotvoriti zapise dnevnika kako bi prikrili svoje zapise. Imati pouzdan izvor informacija dnevnika od vitalnog je značaja za vođenje evidencije o problemima koji se mogu pojaviti u vezi sa zloupotrebom sistema.

Slijepi ljudi i sigurnosne informacije veličine slona

SIEM želi gledati na ono što se događa na mreži kroz veću perspektivu nego što je to moguće pružiti pomoću bilo kog samo jednog sigurnosnog nadzora ili izvora informacija.

  • Detekcija upada razumije samo pakete, protokole i IP adrese.
  • Sigurnost preko vanjskih krajnjih tačaka (endpoints) vidi datoteke, korisnička imena i host-ove.
  • U dnevnicima servisa prikazuju su korisničke prijave, aktivnosti servisa i promjene konfiguracije.
  • Sistem za upravljanje imovinom vidi aplikacije, poslovne procese i vlasnike.

Nijedan od ovih sam po sebi ne može reći šta se događa u smislu osiguranja kontinuiteta poslovnih procesa i poslovanja.

Ali zajedno mogu, i zato se ima SIEM.

Pogled na IT sigurnost s jednog mjesta

SIEM u osnovi nije ništa drugo do sloj upravljanja iznad postojećih sistema i sigurnosnih kontrola. Povezuje i objedinjuje informacije sadržane u postojećim sistemima, omogućavajući im analizu i preusmjeravanje s jednog radnog okruženja. SIEM je savršen primjer načela računanja „smeće ovako, smeće onako“:

SIEM je jednako koristan koliko i informacije koje unesete u njega.

SIEM sam po sebi ne može mnogo pomoći ako nije pravilno konfigurisan. Što su važnije informacije koje prikazuju mrežu, sisteme i ponašanje SIEM-a, to će stručnije pomoći u efikasnom otkrivanju, analizama i odgovorima u sigurnosnim operacijama.

Primjer napada

Bobovu mašinu kompromitovao je asbss.exe, koji se preuzeo sa zlonamjerne veb stranice. Taj zlonamjerni softver upotrijebio je Bobov korisnički račun da bi pokušao zaraziti drugi računar, DAVEPC3, i antivirus ga je uhvatio. Ali Bobova mašina “BOBPC1” vjerovatno je i dalje ugrožena. Trebali bismo što prije blokirati zlonamjernu domenu i što prije sanirati Bobov radni prostor.

Važnost konteksta

Kolekcija dnevnikȃ je srce i duša SIEM-a. Kada više dnevnika šalje evidencije SIEM-u, to se više može postići sa SIEM-om.

Ali, dnevnici rijetko sadrže informacije potrebne za razumijevanje njihovog sadržaja u kontekstu poslovanja. Na primjer, samo sa dnevnicima, sve što analitičar vidi je “veza iz host A u host B.” 

Sigurnosnom analitičaru su potrebne ove informacije kako bi napravio argumentovanu procjenu svakog sigurnosnog upozorenja koji uključuje ovu vezu.

Ograničena propusnost sigurnosnih analitičara može otežati upoznavanje sa svakim sistemom od kojeg zavisi rad IT-a, ali prava vrijednost zapisnika je u korelaciji za dobijanje djelotvornih informacija.

Korelacija je proces usklađivanja događaja iz različitih sistema (host-ovi, mrežni uređaji, sigurnosne kontrole … bilo šta što šalje zapise SIEM-u). Događaji iz različitih izvora mogu se kombinovati i uspoređivati jedni s drugima kako bi se identifikovali obrasci ponašanja nevidljivi za pojedine uređaje. Mogu se uporediti i sa podacima specifičnim za neko poslovanje. Korelacija omogućava da se automatizuje otkrivanje stvari koje se ne bi trebale pojaviti na mreži.

Formatiranje i povezivanje u kontekst

Život bi bio mnogo ljepši za mnoge ljude u IT-u kada bi svi servisi, sve mašine i svaki komad softvera koji postoji imao jednak format zapisa dnevnika. To bi olakšalo posao mnogim analitičarima, ali i softverima koji se bave analizom.

Slijedeća dva primjera su za ljudsko oko i razumijevanje dva ista zapisa iz dnevnika, ali za mašinu je to potpuno različito.

0

Hits: 34