Οποιος ασχολείται με το χώρο της IT ασφάλειας είναι σίγουρο ότι τις περισσότερες φορές αισθάνεται αδύναμος απέναντι στο πόσο υπεράριθμες είναι οι απειλές. Παρόλα αυτά, το ζητούμενο σε κάθε περίπτωση είναι να βγούμε κερδισμένοι από αυτή τη μάχη, παρά την υπεροπλία του εχθρού.

Η σωστή εγκατάσταση ενός εργαλείου SIEM (Security Event & Information Management), πριν από κάποιο συμβάν, μπορεί να αυξήσει κατακόρυφα την αποτελεσματικότητα της αναγνώρισης ενός συμβάντος που βρίσκεται σε εξέλιξη. Στο χώρο της ασφάλειας, τα εργαλεία SEM είναι τμήμα της προετοιμασίας και της αναγνώρισης και μπορούν να καταστούν ιδιαίτερα πολύτιμα ακόμα και στην περίπτωση της εγκληματολογικής έρευνας.

Λειτουργίες SIEM
Με μερικές λεπτές διαφορές, υπάρχουν τέσσερις βασικές λειτουργίες στις λύσεις SIEM:
1. Log consolidation: Κεντρική καταγραφή σε ένα server

2. Συσχετισμός απειλών: Η τεχνητή νοημοσύνη που χρησιμοποιείται για να αναγνωριστούν οι επιθέσεις ανάμεσα σε πολλαπλά αρχεία log και στις καταχωρήσεις των αρχείων log.

3. Διαχείριση συμβάντων και workflow. Τι συμβαίνει από τη στιγμή που θα αναγνωριστεί μια απειλή (σύνδεση ανάμεσα στην αναγνώριση, στον περιορισμό και τέλος στην εξάλειψη):
• Ειδοποιήσεις μέσω email, pagers, παροχή πληροφοριών στους business owners, δημιουργία Trouble Ticket
• Αυτοματοποιημένες απαντήσεις και εκτέλεση scripts
• Καταγραφή απάντησης και αποκατάστασης.

4. Αναφορές σχετικές με:
• Λειτουργική αποδοτικότητας και αποτελεσματικότητας
• Compliance / SOX, HIPPA, FISMA και άλλες
• Εγκληματολογική έρευνα.

Διακρίνοντας τις πραγματικές επιθέσεις από τα τυχαία συμβάντα
Υπάρχουν δυο βασικά παρακλάδια στο SIEM. Το πρώτο αφορά στη λειτουργική αποδοτικότητα και αποτελεσματικότητα, ενώ το δεύτερο αφορά στη διαχείριση των logs και το compliance. Και τα δυο αυτά παρακλάδια καλύπτονται από ένα καλό εργαλείο SIEM. Μια από τις ερωτήσεις που ακούγονται ολοένα και περισσότερο όσον αφορά στα συστήματα SIEM έχει να κάνει με την απόδοση ευθυνών για τις ζημιές που προκύπτουν στο ισοζύγιο πληρωμών από τις κινήσεις των χρηστών. Μια λύση SIEM μπορεί να δώσει απάντηση σε αυτή την ερώτηση με τον καλύτερο δυνατό τρόπο.

Ισως ο πιο επιτακτικός λόγος για την εγκατάσταση ενός εργαλείου SIEM, κοιτώντας από τη σκοπιά των operations, είναι η μείωση των συμβάντων σχετικών με την ασφάλεια σε καθημερινή βάση σε μια λίστα, η οποία θα είναι διαχειρίσιμη.

Πέρα από αυτό όμως, αυτοματοποιείται η ανάλυση των συμβάντων έτσι ώστε να διακρίνονται οι πραγματικές επιθέσεις και οι εισβολείς σε σχέση με τα τυχαία συμβάντα. Συνολικά ο αριθμός των επαγγελματιών του IT και των συμβούλων ασφαλείας σε κάθε εταιρεία παρουσιάζει μείωση σε σχέση με την περιπλοκότητα και τα χαρακτηριστικά που απαιτούνται από ένα ολοένα και περισσότερο περίπλοκο web.

Τη στιγμή που μια λύση μπορεί να οδηγήσει δεκάδες καταξιωμένους μηχανικούς ασφάλειας να προσπαθούν να απομονώσουν τα συμβάντα ανάμεσα σε δεκάδες logs συμβάντων, οι λύσεις SIEM προσπαθούν να αυτοματοποιήσουν τις διαδικασίες και μπορούν να πετύχουν μια μείωση της τάξης του 99% σε συμβάντα που έχουν πραγματικά σημασία, αυξάνοντας την αποτελεσματικότητα της ανίχνευσης και αφήνοντας όσο το δυνατόν περισσότερο απ’ έξω τον ανθρώπινο παράγοντα.


Λόγοι χρήσης μιας λύσης SIEM
Μια κατάσταση που απαντάται σε πολλές επιχειρήσεις είναι ότι το management σε πολλές περιπτώσεις δεν αντιλαμβάνεται πλήρως την ανάγκη για ένα τέτοιο εργαλείο. Ας πάρουμε όμως τα πράγματα από την αρχή. Μια αμυντική στρατηγική απαιτεί τη χρήση μιας σειράς συσκευών, όπως Firewalls, IDS, συμβάντα που σχετίζονται με τους χρήστες, αρχεία log από το λειτουργικό σύστημα και από όπου άλλου μπορούμε να φανταστούμε.

Αν συνδυάσουμε όλα τα παραπάνω, είναι εύκολο να αντιληφθεί κανείς ότι μπορούν να δημιουργηθούν  χιλιάδες συμβάντα μέσα στη μέρα και, σε κάποιες ακραίες περιπτώσεις, εκατομμύρια.

Ανεξάρτητα με το πόσο ικανός είναι ένας μηχανικός ασφάλειας, το απολύτως μέγιστο νούμερο από συμβάντα που μπορεί να διαχειριστεί δεν μπορεί να ξεπεράσει τα 1.000. Ετσι, αν πρέπει η ομάδα ασφαλείας να παραμείνει μικρή, θα πρέπει να είναι εξοπλισμένη με ένα καλό εργαλείο SIEM. Από την άλλη, ανεξάρτητα από το πόσο καλή είναι μια μεμονωμένη συσκευή, αν δεν παρακολουθείται και αν τα συμβάντα που την αφορούν δεν συσχετίζονται με όλα τα υπόλοιπα συμβάντα, μπορεί σε δεδομένη στιγμή κάποιος να καταφέρει να την παρακάμψει.

Σε αυτό το σημείο αντιλαμβάνεται κανείς ότι η συνολική ασφάλεια ενός συστήματος δεν ξεπερνά αυτή που παρέχει ο πιο αδύναμος κρίκος του. Οταν η παρακολούθηση αφορά στο σύνολο των συσκευών και υπάρχει συσχετισμός των συμβάντων που προκύπτουν από όλες, είναι εφικτό να δίνεται μια ολοκληρωμένη απάντηση από τα συστήματα ασφάλειας. Ετσι αν μια συσκευή εκπέμψει κάποιο σήμα που σημαίνει συναγερμό, οι πρόσθετες άμυνες θα μπουν στο παιχνίδι αντιδρώντας σε αναλογία με τη συνολική απειλή.

Ειδοποιήσεις και απαντήσεις
Αν και πολύ δύσκολα μπορεί κάποιος να μιλήσει για βέλτιστες πρακτικές στο κομμάτι του SIEM, υπάρχουν κάποια πράγματα τα οποία μπορούν να ακολουθηθούν από όλες τις εταιρείες που διαθέτουν μια τέτοια λύση.

Πρώτα από όλα θα πρέπει να σημειώσουμε ότι καλό είναι να δημιουργηθούν ειδοποιήσεις, οι οποίες θα αφορούν το αντίστοιχο τμήμα που θα πρέπει να ενημερωθεί ανά περίσταση.

Για παράδειγμα:
• Πολλαπλές αποτυχημένες απόπειρες login σε κάποιο λογαριασμό ή πρόσβαση σε ευαίσθητα αρχεία. Σε αυτή την περίπτωση, θα πρέπει να ενημερώνεται το στέλεχος της μηχανογράφησης που είναι επιφορτισμένο με θέματα π.χ. Active Directory.
• Στην περίπτωση επαναλαμβανόμενων επιθέσεων, θα πρέπει να ενημερωθεί ο αντίστοιχος υπεύθυνος ασφάλειας ώστε να μπλοκάρει την πηγή των επιθέσεων.
• Στην περίπτωση που συσχετιστούν περισσότερες επαναλαμβανόμενες επιθέσεις σε ένα συγκεκριμένο, θα πρέπει να ειδοποιηθεί ο υπεύθυνος του συστήματος που έχει γίνει στόχος.

Σοβαρότητα των συμβάντων
Στο πλαίσιο  μιας στρατηγικής, θα πρέπει να τοποθετηθούν όρια πάνω στον τρόπο με τον οποίο θα γίνονται οι ειδοποιήσεις και δεδομένου ότι, σε πολλές περιπτώσεις, οι συναγερμοί των συσκευών ξεπερνούν τα όρια. Καλό λοιπόν θα ήταν να υπάρχουν διαβαθμίσεις σχετικά με τη σοβαρότητα του συμβάντος και, όπως ήδη είπαμε, να ενημερώνεται σε κάθε περίπτωση ο κατάλληλος άνθρωπος.

SIEM και compliance
Οπως αναφέραμε, ένας από τους βασικούς στόχους που έχει μια επιχείρηση που σκέφτεται να ολοκληρώσει ένα σύστημα SIEM είναι ένα πλήρες assessment των ρίσκων που έχει μια επιχείρηση όσον αφορά στα συστήματα ασφάλειας. Αν η επιχείρηση προχωρήσει στην εγκατάσταση ενός συστήματος SIEM για θέματα διαχείρισης του compliance, θα πρέπει να χρησιμοποιήσει το σύστημα αρκετά συχνά ώστε να επικαιροποιεί την κατάσταση του δικτύου.

Μετά την πραγματοποίηση του assessment θα πρέπει να ρωτάει τα μέλη της ομάδας τις ακόλουθες ερωτήσεις:
• Είναι έτοιμη η επιχείρηση να πάρει επιπλέον τεχνολογικές λύσεις, οι οποίες θα καταναλώσουν επιπλέον πόρους υποδομής; Τι ισχύει με τους ανθρώπινους πόρους;
• Οι νέες λύσεις θα μπορέσουν να καλύψουν τις ανάγκες των application και των system owners;
• Υπάρχει αλληλεπικάλυψη με ήδη υπάρχουσες λύσεις;
• Σε ποιον θα ανήκει και από ποιον θα γίνεται η λειτουργία και η συντήρηση της νέας τεχνολογίας;
• Πόσο θα μπορεί η επιχείρηση να πληρώνει για την υποστήριξη του vendor;
• Υπάρχει ο απαραίτητος χρόνος για μια σωστή υλοποίηση;
• Υπάρχουν τα απαραίτητα χαρακτηριστικά στην επιχείρηση ώστε να υποστηριχτεί το project;
• Σε ποια σημεία απαιτείται μεγαλύτερη διαχείριση;
• Πού μπορεί να υπάρχουν τα περισσότερα οφέλη;


Συγκεντρώνοντας στοιχεία
Η δέουσα σημασία στην συγκέντρωση στοιχείων, μπορεί να μη φαντάζει ιδιαίτερης σημασίας, ειδικά αν σκεφτεί κανείς το διαθέσιμο υλικό που υπάρχει στα websites των κατασκευαστών, αλλά τα πράγματα δεν είναι ακριβώς έτσι. Οσοι ασχολούνται με θέματα ασφάλειας και compliance, γνωρίζουν ότι η εγκατάσταση ενός συστήματος SIEM είναι μια διαδικασία και όχι απλά ένα συμβάν. Η συμμόρφωση με τους κανόνες είναι μια συνεχόμενη πρόκληση, στην οποία οι λύσεις SIEM μπορούν να βοηθήσουν.

Πριν την πραγματοποίηση μιας αντίστοιχης αγοράς θα πρέπει να ληφθούν υπόψη τα ακόλουθα στοιχεία:

Κόστος: Θα πρέπει να δούμε προσεκτικά τόσο το baseline κόστος, όσο και τα επιπλέον κόστη που μπορούν να προκύψουν στη διάρκεια ζωής του προϊόντος.
Αρχιτεκτονική: Θα πρέπει να αποφασίσουμε ποια προϊόντα ταιριάζουν στη συνολική αρχιτεκτονική της επιχείρησης.
Διαλειτουργικότητα: Ποιες είναι οι απαιτήσεις για την ολοκλήρωση με τα υπόλοιπα εργαλεία παρακολούθησης και καταγραφής που υπάρχουν στο επιχειρηματικό περιβάλλον;
Ασφάλεια: Κατανόηση του τρόπου διασφάλισης των δεδομένων που αφορούν στα συμβάντα.
Μεθοδολογία ανάπτυξης: Σε τι βαθμό απαιτείται customization; Ποιοι είναι οι τρόποι δοκιμής του προϊόντος;
Ικανότητες: Θα πρέπει να διασφαλιστεί η ύπαρξη των απαραίτητων ικανοτήτων για την ανάπτυξη, ολοκλήρωση και λειτουργία του συστήματος SIEM. Επιπλέον, θα πρέπει να αποφασιστεί ποιες υπηρεσίες θα πρέπει να αγοραστούν από την επιχείρηση.
Βελτιστοποίηση: Κατανόηση του τρόπου αποτίμησης των ειδοποιήσεων, ώστε να εξακριβώνεται η σημασία και να ελαχιστοποιούνται τα false positives. Απαιτείται χρόνος για το συσχετισμό και την επεξεργασία χιλιάδων συμβάντων ανεξάρτητα από το προϊόν που έχουμε επιλέξει.

Δεν υπάρχει απόλυτη ασφάλεια
Τα συστήματα SIEM μπορούν να βοηθήσουν τις επιχειρήσεις να διαχειριστούν την ασφάλεια. Ομως δεν θα πρέπει να ξεχνάμε ότι έχουν και τα όριά τους. Οι κανόνες συσχετισμού αλλάζουν όπως ακριβώς και τα συμβάντα. Θα πρέπει να γίνει κατανοητό ότι το SIEM είναι ένα ακόμη εργαλείο. Κανένα μεμονωμένο εργαλείο δεν μπορεί να λύσει όλα τα προβλήματα ασφάλειας που μπορεί να έχει ένας οργανισμός.

Ενα σύστημα SIEM επιπλέον δεν μπορεί να καλύψει όλες τις απαιτήσεις συμμόρφωσης ανεξάρτητα από τι μπορεί να ισχυρίζεται ο κατασκευαστής. Το καλύτερο που έχουν να κάνουν οι μηχανικοί ασφαλείας είναι να παραμείνουν ρεαλιστές όσον αφορά στην υλοποίηση συστημάτων SIEM για την κάλυψη αναγκών compliance, κάνοντας τις σωστές ερωτήσεις και εγκαθιστώντας πόρους που βασίζονται στις βέλτιστες πρακτικές.