SIEM - niezbędne narzędzie cyberbezpieczeństwa [ANALIZA]

Poniedziałek, 27 Listopada 2017, 14:57 Cyberattack

Niegdyś rozwiązania klasy SIEM (Security Information and Event Management) były dostępne wyłącznie dla dużych organizacji, dziś coraz częściej są wdrażane przez małe i średnie firmy. 

Współczesne platformy klasy SIEM spełniają różnorodne funkcje - analizują działania użytkowników, sprawdzają poprawność systemów operacyjnych zwizualizowanych środowisk, aplikacji, pamięci masowych, baz danych a nawet systemów uwierzytelniających. Cały ten proces ma na celu wykrycie anomalii i zablokowanie lub odparcie ataku. Prawidłowo wdrożone platformy SIEM dają pełen przegląd zdarzeń w środowisku IT oraz spełniają oczekiwania nawet najbardziej wymagających administratorów systemów informatycznych oraz specjalistów ds. bezpieczeństwa informacji. Dzięki centralizacji informacji o wszystkich zdarzeniach użytkownik otrzymuje niezbędną wiedzę do efektywnego zarządzania ryzykiem operacyjnym IT. Cała organizacja zyskuje całościowy wgląd w bieżącą sytuację firmy pod kątem bezpieczeństwa.

W tym momencie kadra zarządzająca dostrzega jak wiele zdarzeń jest niebezpiecznych, nawet tych z pozoru błahych. Widzą potrzebę przeanalizowania każdego z nich oraz sprawdzenia ich stopnia ważności w zakresie bezpieczeństwa organizacji. Na każde zdarzenie trzeba przygotować plan działania. I tu uwidaczniają się wady rozwiązania SIEM.

SIEM nie taki ładny, jak go malują

Podejście polegające na całkowitym oparciu się na logach (i innych informacjach powiązanych ze zdarzeniami), w celu efektywnego rozpoznawania dzisiejszych zagrożeń w przedsiębiorstwie, jest już mało skuteczne. Główną wadą SIEMa jest brak możliwości zapewnienia ochrony przed dzisiejszymi zagrożeniami. Ręczna analiza logów jest czasochłonna i zasobochłonna. Bardzo często po wdrożeniu SIEMa w organizacjach zaczyna pojawiać się problem z brakiem wykwalifikowanych specjalistów, którzy dokładnie przeanalizują zebrane dane oraz zaproponują działania zaradcze. Obecnie stanowisko specjalisty ds. bezpieczeństwa IT to jeden z najbardziej pożądanych przez pracodawców zawodów. Ekspertów w tym obszarze poszukuje zarówno administracja państwowa, jak i firmy komercyjne. Jednak czy zatrudnianie takiej osoby jest niezbędne? Zamiast zatrudnienia specjalisty można wdrożyć rozwiązanie, które zapewni odpowiedni poziom bezpieczeństwa oraz da możliwość przetwarzania informacji w czasie rzeczywistym w celu automatycznego i natychmiastowego zidentyfikowania incydentu oraz kreślenia priorytetu, ważności i reakcji na zaistniałe zagrożenie. Odpowiedzią na bolączki ręcznego, żmudnego procesu analizowania tysięcy logów i setek alertów jest wykorzystanie analizy behawioralnej. Przykładem takiego rozwiązania jest Verint Threat Protection System – zintegrowana inteligentna platforma, oparta o mechanizmy uczenia maszynowego, dające pokrycie całego łańcucha ataka (full kill chain). Platforma ta pozwala szybko wykryć zagrożenie oraz opóźnić jego ewentualne działanie. Jej działanie opiera się na wykrywaniu aktywności złośliwego oprogramowania na podstawie ruchu sieciowego oraz informacji z narażonych systemów. Umożliwia radykalne usprawnienie pracy SOC, a także wykrywanie ataków, które umykają klasycznym narzędziom, bazującym na sygnaturach oraz radykalne skrócenie czasu odpowiedzi na zagrożenia.

Złoty środek

Ogólnie znane środki bezpieczeństwa nie są wystarczające. Żaden z nich w pojedynkę nie zdziała cudu. Co prawda, na rynku nieustannie pojawiają się nowe rozwiązania, jednak SIEM zawsze będzie opcją pierwszego wyboru. Nie jest to narzędzie przeznaczone do powstrzymywania działań hakera, ale niewątpliwie jest to skuteczna technika monitorowania firmowej sieci i infrastruktury IT. Wychodząc naprzeciw współczesnym zagrożeniom oraz chcąc prowadzić politykę proaktywną należałoby wyposażyć swoje środowiska CERT w rozwiązania klasy TPS (Threat Protection System). Połączenie powyższych narzędzi daje zespołom dużo większe możliwości reagowania na incydenty bezpieczeństwa CERT – usprawnia i daje lepszą efektywność codziennej pracy działów IT, co w efekcie przekłada się na zwiększenie bezpieczeństwa organizacji. 

Autor: Jakub Jagielak, Atende S.A.

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz