Kaj je SIEM (upravljanje varnostnih informacij in dogodkov)?
Podjetja se zaradi vse večje digitalizacije, hibridnih modelov dela in raznolikosti končnih naprav soočajo tako z znanimi kot neznanimi kibernetskimi grožnjami. Zato so varnostni koncepti, kot je SIEM (Security Information & Event Management), pomembnejši kot kdaj koli prej. Z beleženjem, analizo in obdelavo sistemskih in omrežnih podatkov je mogoče varnostne grožnje hitro prepoznati, slediti jim in jih ublažiti.
Kaj je SIEM?
Kratica SIEM pomeni »Security Information & Event Management« (upravljanje varnostnih informacij in dogodkov), kar podjetjem omogoča večjo preglednost in nadzor nad lastnimi podatki. Standardiziran koncept varnosti in zaščite omogoča zgodnje odkrivanje sumljivih varnostnih incidentov, trendov napadov in vzorcev groženj. To omogočajo orodja, ki beležijo in analizirajo različne podatke o dogodkih in procesih na vseh ravneh podjetja, od končnih naprav prek požarnih zidov in sistemov za preprečevanje vdorov (IPS) do ravni omrežja, oblaka in strežnikov.
SIEM združuje tako SIM (upravljanje varnostnih informacij) kot SEM (upravljanje varnostnih dogodkov), da v realnem času kontekstualno in korelativno ocenjuje varnostne informacije in incidente, ustvarja opozorila ter sproža varnostne ukrepe. Ta pristop omogoča zgodnje odkrivanje in ublažitev potencialnih ranljivosti ter varnostnih kršitev, pa tudi hitro preprečevanje morebitnih poskusov napadov. Koncept SIEM je leta 2005 uvedel Gartner. Bistveni elementi sodobnih rešitev SIEM vključujejo UBA (analiza vedenja uporabnikov), UEBA (analiza vedenja uporabnikov in entitet) ter SOAR (usklajevanje, avtomatizacija in odzivanje na varnostne dogodke).
Zakaj je upravljanje varnostnih informacij in dogodkov pomembno?
Danes IT-infrastruktura podjetja ne obsega več le strežnika in nekaj končnih naprav. Tudi srednje velika podjetja uporabljajo bolj ali manj zapletena podjetniška omrežja, ki jih sestavlja veliko število končnih naprav z dostopom do interneta, lastno programsko okolje ter več strežnikov in storitev v oblaku. K temu se dodajajo še novi modeli dela, kot sta delo od doma ali »prinesi svojo napravo« (BYOD).
Bolj kot je informacijska infrastruktura zapletena, več ranljivosti se lahko pojavi, če je kibernetska varnost nezadostna. Zato se vedno več podjetij zanaša na celovito zaščito pred izsiljevalsko programsko opremo, vohunsko programsko opremo in programsko opremo za ustrahovanje ter pred novimi oblikami kibernetskih napadov in izkoriščanjem ranljivosti »zero-day«.
Varnostne rešitve, kot je SIEM, postajajo za podjetja vse pomembnejše, in to ne le zaradi neposrednih groženj. Stroge zahteve glede varstva podatkov v skladu z GDPR ali certifikati, kot so BASE II, ISO ali SOX, zdaj celo zahtevajo koncept zaščite podatkov in sistemov. To je pogosto mogoče doseči le s pomočjo SIEM-a ali podobnih strategij, kot sta EDR in XDR.
S tem, da sistem SIEM na centralni platformi združuje, ocenjuje in povezuje podatke iz dnevnikov in poročil, pomembne za varnost, omogoča varnostno usmerjeno analizo podatkov iz vseh aplikacij in omrežnih ravni. Čim prej na ta način odkrijete grožnje ali varnostne luknje, tem hitreje lahko zmanjšate tveganja za svoje poslovne procese in zaščitite podatke podjetja**. Sistem SIEM tako zagotavlja znatno povečanje učinkovitosti pri zagotavljanju skladnosti z zakonodajo in zaščiti v realnem času pred grožnjami, kot so izsiljevalska programska oprema, zlonamerna programska oprema ali kraja podatkov.
Kako deluje sistem SIEM?
Izraz »SIEM« sta leta 2005 uvedla Amrit Williams in Mark Nicolett iz podjetja Gartner. Po uradni opredelitvi Nacionalnega inštituta za standarde in tehnologijo (NIST) je SIEM aplikacija, ki zbira varnostne podatke iz različnih elementov informacijskega sistema in jih prikazuje na centralni nadzorni plošči na organiziran in akcijsko usmerjen način. To že povzema njegovo funkcionalnost, saj se SIEM, za razliko od požarnega zidu, ki ščiti pred akutnimi kibernetskimi grožnjami, opira na trajnostno, proaktivno zbiranje in analizo podatkov, ki lahko razkrijejo tudi skrite napade ali trende groženj.
Sistem SIEM se lahko vzpostavi lokalno, kot rešitev v oblaku ali kot hibridna različica z lokalnimi in oblačnimi komponentami. Postopek od zbiranja podatkov do varnostnih opozoril obsega naslednje štiri faze:
1. faza: Zbiranje podatkov iz različnih virov v sistemu
Rešitev SIEM beleži in zbira podatke z različnih ravni, plasti in komponent vaše IT-infrastrukture. To vključuje strežnike, usmerjevalnike, požarne zidove, protivirusne programe, stikala, IP-naslove in sisteme za odkrivanje vdorov (IDS) ter končne naprave, integrirane z varnostnimi rešitvami za končne točke ali XDR (Extended Detection and Response). Za ta namen se uporabljajo povezani sistemi za beleženje, poročanje in varnost.
2. faza: Zbiranje zbranih podatkov
Zbrani podatki so na osrednjem uporabniškem vmesniku prikazani na jasen in pregleden način. Z zbiranjem in urejanjem podatkov prek nadzorne plošče ni več potrebno dolgotrajno analiziranje različnih dnevnikov in poročil iz posameznih aplikacij.
3. faza: Analiza in povezovanje agregatnih podatkov
Aplikacija analizira zbrane in povzete podatke ter išče znane podpisne kode virusov in zlonamerne programske opreme ter sumljive dogodke, kot so prijave iz omrežij VPN ali napačni podatki za prijavo. Prav tako opozarja na nenavadno rabo, sumljive priloge ali druge opazne dejavnosti, povezane z varnostjo. S povezovanjem, urejanjem, primerjanjem in razvrščanjem podatkov aplikacija omogoča hitro sledenje in izolacijo poti vdora, kar omogoča ublažitev ali celo nevtralizacijo groženj. Poleg tega z dodeljevanjem varnostnih ravni hitro obravnava tako očitne kot skrite napade, hkrati pa izključi neškodljive anomalije.
4. stopnja: Odkrivanje groženj, ranljivosti ali varnostnih kršitev
Če se zazna grožnja, avtomatska opozorila omogočajo hitrejši odziv in takojšnjo nevtralizacijo grožnje. Namesto da bi dolgotrajno iskali vir nevarnosti ali nepravilnosti, jih lahko prek opozorila hitro natančno določite in jih po potrebi izolirate v karanteni. Poleg tega je mogoče rekonstruirati pretekle grožnje, kar omogoča izboljšanje varnostnih postopkov.
V povezavi z rešitvijo XDR z vgrajeno umetno inteligenco je mogoče z vnaprej določenimi, avtomatiziranimi delovnimi tokovi še posebej hitro vzpostaviti zaščitne mehanizme, kot so karantena ali blokiranje končnih naprav ali IP-naslovov. Podatki o grožnjah v realnem času, ki nenehno posodabljajo podpisne datoteke in varnostne podatke, omogočajo tudi zgodnje odkrivanje novih vrst napadov in groženj.
Pregled najpomembnejših elementov sistema SIEM
Za zagotovitev celovitega zbiranja in analize podatkov v okviru rešitve SIEM se uporabljajo različne usklajene komponente. Mednje spadajo:
| Komponenta | Značilnosti |
|---|---|
| Osrednja nadzorna plošča | ✓ Predstavlja vse zbrane podatke na način, ki spodbuja k ukrepanju ✓ Omogoča vizualizacijo podatkov, spremljanje aktivnosti v realnem času, analizo groženj in možnosti ukrepanja ✓ Posamezno določljivi kazalniki groženj, pravila korelacije in obvestila |
| Storitve beleženja in poročanje | ✓ Zbiranje in beleženje podatkov o dogodkih iz celotnega omrežja ter na ravni končnih naprav in strežnikov ✓ Poročanje o skladnosti v realnem času za standarde, kot so PCI-DSS, HIPPA, SOX ali GDPR, za izpolnjevanje pravil o skladnosti in varstvu podatkov ✓ Spremljanje in beleženje dejavnosti uporabnikov v realnem času, vključno z notranjim in zunanjim dostopom, privilegiranim dostopom do podatkovnih baz, strežnikov in podatkovnih baz ter iznosom podatkov |
| Korelacija in analiza podatkov o grožnjah ter varnostnih incidentih | ✓ Korelacijo dogodkov in analizo varnostnih podatkov je mogoče uporabiti za povezovanje incidentov z različnih ravni, prepoznavanje znanih, kompleksnih ali novih oblik napadov ter skrajšanje časa odkrivanja in odzivanja ✓ Forenzične preiskave varnostnih incidentov |
Prednosti sistema za upravljanje varnostnih informacij in dogodkov (SIEM)
Zaradi vse večjih kibernetskih tveganj za podjetja preprosti požarni zidovi ali protivirusni programi ponavadi ne zadostujejo več za zaščito omrežij in sistemov. Zlasti pri hibridnih strukturah z večoblačnimi in hibridnimi oblaki so potrebne napredne rešitve, kot so EDR, XDR in SIEM, ali v idealnem primeru kombinacija dveh ali več storitev. Le tako je mogoče varno uporabljati končne naprave in oblačne storitve ter grožnje odkriti že v zgodnji fazi.
Med prednosti, ki vam jih ponuja sistem SIEM, spadajo:
Zaznavanje groženj v realnem času
Zahvaljujoč celostnemu pristopu v obliki zbiranja in vrednotenja podatkov na ravni celotnega sistema je mogoče grožnje hitro prepoznati in jim preprečiti. Zaradi skrajšanega povprečnega časa do odkritja (MTTD) in povprečnega časa do odziva (MTTR) je mogoče občutljive podatke in poslovno kritične procese zanesljivo zaščititi.
Upoštevanje zahtev glede skladnosti in varstva podatkov
Sistemi SIEM z natančnim beleženjem in analizo groženj zagotavljajo IT-infrastrukturo, ki je skladna z zakonodajo. Ta infrastruktura izpolnjuje vse bistvene varnostne standarde in standarde poročanja, potrebne za varno shranjevanje podatkov ter njihovo obdelavo v skladu z revizijskimi zahtevami.
Varnostni koncept, ki prihrani čas in denar
S centraliziranim in preglednim prikazovanjem, vizualizacijo, analizo in interpretacijo vseh podatkov, pomembnih za varnost, v uporabniškem vmesniku sistem SIEM poveča učinkovitost vaše IT-varnosti. S tem se zmanjšajo čas in stroški, ki bi sicer nastali pri običajnih ročnih varnostnih ukrepih. Zlasti uporaba avtomatizirane in v nekaterih sistemih z umetno inteligenco podprte analize in korelacije podatkov pospeši preprečevanje groženj. S preventivnimi rešitvami SIEM je mogoče preprečiti tudi visoke stroške, povezane z odpravljanjem napak na okuženih sistemih ali odstranjevanjem zlonamerne programske opreme.
Možnost uporabe sistema SIEM kot storitve SaaS (Software-as-a-Service) ali prek storitev upravljanega varovanja omogoča tudi manjšim podjetjem z omejenimi viri ali brez lastne IT-varnostne službe, da zanesljivo zaščitijo svoje podjetniško omrežje.
Avtomatizacija z umetno inteligenco in strojnim učenjem
Sistemi SIEM omogočajo še višjo raven avtomatizacije in inteligentnega preprečevanja groženj z uporabo umetne inteligence in strojnega učenja. Rešitve SIEM lahko na primer uporabljate tudi v sistemih SOAR (Security Orchestration, Automation and Response) ali v povezavi z obstoječo rešitvijo za varnost končnih naprav ali rešitvijo XDR.