Dėl sparčiai plin­tan­čios skait­me­ni­ni­mo ten­den­ci­jos, mišrių darbo modelių ir įvairių galutinių įrenginių įmonės susiduria tiek su žinomomis, tiek su ne­ži­no­mo­mis ki­ber­ne­ti­nė­mis grėsmėmis. Todėl tokios saugumo kon­cep­ci­jos kaip SIEM (saugumo in­for­ma­ci­jos ir įvykių valdymas) yra svar­bes­nės nei bet kada anksčiau. Re­gist­ruo­jant, ana­li­zuo­jant ir ap­do­ro­jant sistemos bei tinklo duomenis, saugumo grėsmes galima greitai nustatyti, atsekti ir sumažinti.

Kas yra SIEM?

Santrumpa SIEM reiškia „Saugos in­for­ma­ci­jos ir įvykių valdymą“ (Security In­for­ma­tion & Event Ma­na­ge­ment), o tai suteikia įmonėms daugiau skaidrumo ir kontrolės savo duomenų atžvilgiu. Stan­dar­ti­zuo­ta saugumo ir apsaugos kon­cep­ci­ja leidžia anksti nustatyti įtartinus saugumo in­ci­den­tus, atakų ten­den­ci­jas ir grėsmių modelius. Tai tampa įmanoma naudojant įrankius, kurie re­gist­ruo­ja ir ana­li­zuo­ja įvairius įvykių bei procesų duomenis visais įmonės lyg­me­ni­mis – nuo galutinių įrenginių per ug­nia­sie­nes ir IPS (įsi­lau­žimų pre­ven­ci­jos sistemas) iki tinklo, debesies ir serverių lygmenų.

SIEM in­te­gruo­ja SIM (saugumo in­for­ma­ci­jos valdymą) ir SEM (saugumo įvykių valdymą), kad realiuoju laiku kon­teks­tu­aliai ir ko­re­lia­ty­viai įvertintų saugumo in­for­ma­ci­ją bei in­ci­den­tus, sukurtų įspėjimus ir ini­ci­juo­tų saugumo priemones. Šis metodas leidžia anksti aptikti ir sumažinti galimas pa­žei­džia­mą­sias vietas bei saugumo pa­žei­di­mus, taip pat greitai užkirsti kelią bet kokiems bandymams įsilaužti. SIEM kon­cep­ci­ją 2005 m. sukūrė „Gartner“. Pag­rin­di­niai šiuo­lai­ki­nių SIEM sprendimų elementai apima UBA (vartotojų elgsenos analizę), UEBA (vartotojų ir subjektų elgsenos analizę) bei SOAR (saugumo ko­or­di­na­vi­mą, au­to­ma­ti­za­vi­mą ir reagavimą).

Kodėl saugumo in­for­ma­ci­jos ir įvykių valdymas yra svarbus?

Šiandien įmonės IT inf­rastruk­tū­ra ne­be­ap­si­ri­bo­ja vien tik serveriu ir keliais galiniais įren­gi­niais. Net vidutinio dydžio įmonės naudoja daugiau ar mažiau su­dė­tin­gus įmonių tinklus, kuriuos sudaro daugybė prie interneto prijungtų galinių įrenginių, jų pačių prog­ra­mi­nės įrangos aplinka bei keli serveriai ir debesų paslaugos. Prie to prisideda ir nauji darbo modeliai, tokie kaip darbas iš namų arba „Bring Your Own Device“ (BYOD).

Kuo su­dė­tin­ges­nė IT inf­rastruk­tū­ra, tuo daugiau pa­žei­džia­mų vietų gali atsirasti, jei ki­ber­ne­ti­nis saugumas yra ne­pa­kan­ka­mas. Todėl vis daugiau įmonių pa­si­kliau­ja vi­sa­pu­siš­ka apsauga nuo išpirkos rei­ka­lau­jan­čių virusų, šni­pi­nė­ji­mo programų ir bauginimo programų, taip pat nuo naujų ki­ber­ne­ti­nių atakų formų ir „zero-day“ pa­žei­džia­mu­mų.

Saugumo sprendimų, pa­vyz­džiui, SIEM, svarba įmonėms didėja, ir ne tik dėl aki­vaiz­džių grėsmių. Dėl griežtų duomenų apsaugos rei­ka­la­vi­mų, numatytų BDAR, arba ser­ti­fi­ka­tų, tokių kaip BASE II, ISO ar SOX, dabar netgi privaloma turėti duomenų ir sistemų apsaugos kon­cep­ci­ją. Tai dažnai galima už­tik­rin­ti tik naudojant SIEM arba panašias stra­te­gi­jas, pa­vyz­džiui, EDR ir XDR.

SIEM sistema, su­telk­da­ma, ver­tin­da­ma ir susiedama su saugumu su­si­ju­sius žurnalo įrašų ir ataskaitų duomenis vienoje cent­ri­nė­je plat­for­mo­je, leidžia ana­li­zuo­ti duomenis iš visų programų ir tinklo lygmenų, ori­en­tuo­jan­tis į saugumą. Kuo anksčiau tokiu būdu aptiksite grėsmes ar saugumo pa­žei­di­mus, tuo greičiau galėsite sumažinti riziką savo verslo procesams ir apsaugoti įmonės duomenis**. Taigi SIEM žymiai padidina efek­ty­vu­mą už­tik­ri­nant atitiktį rei­ka­la­vi­mams ir teikiant apsaugą realiuoju laiku nuo tokių grėsmių kaip išpirkos rei­ka­lau­jan­tys virusai, ken­kė­jiš­kos programos ar duomenų vagystės.

Kaip veikia SIEM?

Terminą „SIEM“ 2005 m. įvedė „Gartner“ atstovai Amritas Wil­liam­sas ir Markas Ni­co­let­tas. Remiantis Na­cio­na­li­nio standartų ir tech­no­lo­gi­jų instituto oficialiu api­brė­ži­mu, SIEM yra programa, kuri renka saugumo duomenis iš įvairių in­for­ma­ci­nės sistemos elementų ir juos pateikia cent­ri­nė­je valdymo pulto ekrane or­ga­ni­zuo­tu ir į veiksmus ori­en­tuo­tu būdu. Tai jau apibūdina šios sistemos funk­cio­na­lu­mą, nes, skir­tin­gai nuo ug­nia­sie­nės, kuri gina nuo aki­vaiz­džių ki­ber­ne­ti­nių grėsmių, SIEM remiasi nuo­la­ti­niu, pro­ak­ty­viu duomenų rinkimu ir analize, kuri taip pat gali at­skleis­ti paslėptus išpuolius ar grėsmių ten­den­ci­jas.

SIEM sistema gali būti diegiama vietoje, kaip debesų spren­di­mas arba kaip hib­ri­di­nis variantas, apimantis vietinius ir debesų kom­po­nen­tus. Procesas nuo duomenų surinkimo iki saugumo įspėjimų susideda iš šių keturių etapų:

1 etapas: surinkti duomenis iš įvairių sistemos šaltinių

SIEM spren­di­mas re­gist­ruo­ja ir renka duomenis iš įvairių jūsų IT inf­rastruk­tū­ros lygių, sluoksnių ir kom­po­nen­tų. Tai apima serverius, marš­ru­ti­za­to­rius, ug­nia­sie­nes, an­ti­vi­ru­si­nes programas, ko­mu­ta­to­rius, IP adresus ir IDS, taip pat ga­lu­ti­nius įren­gi­nius, in­te­gruo­tus su galutinių įrenginių apsauga arba XDR (iš­plės­ti­nis aptikimas ir reaga­vi­mas). Šiam tikslui nau­do­ja­mos sujungtos žur­na­li­za­vi­mo, ataskaitų rengimo ir saugumo sistemos.

2 etapas: Surinktų duomenų api­bend­ri­ni­mas

Surinkti duomenys aiškiai ir skaidriai api­bend­ri­na­mi cent­ri­nė­je vartotojo sąsajoje. Surinkus ir su­sis­te­mi­nus duomenis per valdymo skydą, ne­be­rei­kia laiko at­iman­tiems įvairių žurnalų ir atskirų programų ataskaitų ana­li­za­vi­mui.

3 etapas: Api­bend­rin­tų duomenų analizė ir ko­re­lia­ci­ja

Programa ana­li­zuo­ja surinktus ir api­bend­rin­tus duomenis, ieškodama žinomų virusų ir ken­kė­jiš­kų programų požymių, įtartinų įvykių, pa­vyz­džiui, pri­si­jun­gi­mų iš VPN tinklų ar ne­tei­sin­gų pri­si­jun­gi­mo duomenų. Ji taip pat atkreipia dėmesį į neįprastą naudojimą, įtartinus priedus ar kitą įtartiną veiklą, susijusią su saugumu. Susiejant, sis­te­mi­nant, ko­re­liuo­jant ir kla­si­fi­kuo­jant duomenis, programa pa­leng­vi­na greitą įsi­skver­bi­mo kelių atsekimą ir izo­lia­vi­mą, leidžiant sumažinti grėsmes ar netgi jas neut­ra­li­zuo­ti. Be to, pri­skir­da­ma saugumo lygius, ji greitai reaguoja tiek į aki­vaiz­džius, tiek į paslėptus išpuolius, tuo pačiu atmetant ne­kenks­min­gas ano­ma­li­jas.

4 etapas: Grėsmių, pa­žei­džia­mu­mų ar saugumo pažeidimų nu­sta­ty­mas

Jei aptinkama grėsmė, au­to­ma­ti­niai įspėjimai leidžia greičiau reaguoti ir ne­del­siant neut­ra­li­zuo­ti grėsmę. Vietoj to, kad ilgai ieš­ko­tu­mė­te pavojaus šaltinio ar anomalijų, galite greitai juos nustatyti pagal įspėjimą ir, jei reikia, izoliuoti karantino zonoje. Be to, galima atkurti anks­tes­nes grėsmes, kad būtų galima pa­to­bu­lin­ti saugumo pro­ce­dū­ras.

Naudojant XDR sprendimą su in­te­gruo­tu dirbtiniu intelektu, tokios apsaugos priemonės kaip ka­ran­ti­nas arba galutinių įrenginių ar IP adresų blo­ka­vi­mas gali būti įgy­ven­di­na­mos ypač greitai, pa­si­tel­kiant iš anksto nu­sta­ty­tus au­to­ma­ti­zuo­tus darbo srautus. Realaus laiko grėsmių srautai, kurie nuolat teikia at­nau­jin­tus parašus ir saugumo duomenis, taip pat leidžia aptikti naujų tipų atakas ir grėsmes jų anks­ty­vo­sio­se stadijose.

Svar­biau­sių SIEM elementų apžvalga

Siekiant už­tik­rin­ti išsamų duomenų rinkimą ir analizę kaip SIEM sprendimo dalį, naudojami įvairūs tar­pu­sa­vy­je suderinti kom­po­nen­tai. Tai yra:

Kom­po­nen­tas Funkcijos
Centrinė valdymo panelė Pateikia visus surinktus duomenis taip, kad būtų galima imtis veiksmų Siūlo duomenų vi­zu­a­li­za­ci­jas, veiklos stebėjimą realiuoju laiku, grėsmių analizę ir veiksmų galimybes In­di­vi­dua­liems po­rei­kiams pri­tai­ko­mi grėsmių in­di­ka­to­riai, ko­re­lia­ci­jos taisyklės ir pra­ne­ši­mai
Žurnalo re­gist­ra­vi­mo paslaugos ir ata­skai­tos Rinkite ir re­gist­ruo­ki­te įvykių duomenis iš viso tinklo, taip pat iš galinių įrenginių ir serverių lygio Ata­skai­tos realiuoju laiku apie atitiktį tokiems stan­dar­tams kaip PCI-DSS, HIPPA, SOX ar GDPR, siekiant laikytis ati­tik­ties ir duomenų apsaugos taisyklių Vartotojų veiklos ste­bė­ji­mas ir re­gist­ra­vi­mas realiuoju laiku, įskaitant vidinį ir išorinį prieigą, pri­vi­le­gi­juo­tą prieigą prie duomenų bazių, serverių ir duomenų bazių bei duomenų nu­te­kė­ji­mą
Grėsmių duomenų ir saugumo incidentų ko­re­lia­ci­ja ir analizė Įvykių ko­re­lia­ci­ja ir saugumo duomenų analizė gali būti naudojama siekiant susieti įvairių lygių in­ci­den­tus, iden­ti­fi­kuo­ti žinomas, su­dė­tin­gas ar naujas atakų formas bei su­trum­pin­ti aptikimo ir reagavimo laiką Saugumo incidentų kri­mi­na­lis­ti­niai tyrimai

Saugumo in­for­ma­ci­jos ir įvykių valdymo (SIEM) pri­va­lu­mai

Dėl di­dė­jan­čių ki­ber­ne­ti­nių grėsmių įmonėms paprastos ug­nia­sie­nės ar an­ti­vi­ru­si­nės programos daž­niau­siai ne­be­pa­kan­ka tinklams ir sistemoms apsaugoti. Ypač kalbant apie hib­ri­di­nes struk­tū­ras su daugia- ir hib­ri­di­niais debesimis, rei­ka­lin­gi sudėtingi spren­di­mai, tokie kaip EDR, XDR ir SIEM, arba, idealiu atveju, dviejų ar daugiau paslaugų derinys. Tik taip galima saugiai naudotis galiniais įren­gi­niais ir debesų pa­slau­go­mis bei anksti aptikti grėsmes.

SIEM sistema gali jums pasiūlyti šias pri­va­lu­mus:

Grėsmių aptikimas realiuoju laiku

Taikant holistinį požiūrį, apimantį duomenų rinkimą ir vertinimą visoje sistemoje, grėsmes galima greitai nustatyti ir užkirsti joms kelią. Dėl su­trum­pė­ju­sio vidutinio aptikimo laiko (MTTD) ir vidutinio reagavimo laiko (MTTR) kon­fi­den­cia­lūs duomenys ir verslui svarbūs procesai gali būti patikimai apsaugoti.

Ati­tik­ties ir duomenų apsaugos rei­ka­la­vi­mų lai­ky­ma­sis

SIEM sistemos užtikrina atitiktį teisės aktams ati­tin­kan­čią IT inf­rastruk­tū­rą, nau­do­da­mos išsamų įvykių re­gist­ra­vi­mą ir grėsmių analizę. Ši inf­rastruk­tū­ra atitinka visus būtinus saugumo ir ataskaitų teikimo stan­dar­tus, rei­ka­lin­gus saugiam duomenų sau­go­ji­mui ir jų tvarkymui laikantis audito rei­ka­la­vi­mų.

Laiko ir išlaidų taupymo saugumo kon­cep­ci­ja

SIEM sistema, cent­ra­li­zuo­tai ir aiškiai pa­teik­da­ma, vi­zu­a­li­zuo­da­ma, ana­li­zuo­da­ma bei in­ter­pre­tuo­da­ma visus su saugumu su­si­ju­sius duomenis vartotojo sąsajoje, padidina jūsų IT saugumo efek­ty­vu­mą. Tai leidžia sutaupyti laiko ir išlaidų, kurios paprastai susidaro taikant tra­di­ci­nes rankines saugumo priemones. Konk­re­čiai, au­to­ma­ti­zuo­ta ir kai kuriose sistemose dirbtinio intelekto tech­no­lo­gi­jo­mis papildyta duomenų analizė bei ko­re­lia­ci­ja pa­grei­ti­na grėsmių pre­ven­ci­ją. Taip pat pre­ven­ci­nių SIEM sprendimų pagalba galima išvengti didelių išlaidų, susijusių su užkrėstų sistemų taisymu ar ken­kė­jiš­kų programų šalinimu.

Galimybė naudotis SIEM kaip SaaS (prog­ra­mi­nė įranga kaip paslauga) arba per valdomas saugumo paslaugas taip pat leidžia mažesnėms įmonėms, tu­rin­čioms ribotus išteklius arba ne­tu­rin­čioms savo IT saugumo tarnybos, patikimai apsaugoti savo įmonės tinklą.

Au­to­ma­ti­za­vi­mas naudojant dirbtinį intelektą ir mašininį mokymąsi

SIEM sistemos, pa­si­telk­da­mos dirbtinį intelektą ir mašininį mokymąsi, užtikrina dar aukštesnį au­to­ma­ti­za­vi­mo lygį ir pažangią grėsmių pre­ven­ci­ją. Pa­vyz­džiui, SIEM spren­di­mus taip pat galima naudoti SOAR sistemose (saugumo ko­or­di­na­vi­mas, au­to­ma­ti­za­vi­mas ir reaga­vi­mas) arba kartu su esamu galutinių įrenginių saugumo arba XDR sprendimu.

Go to Main Menu