Συγκέντρωση, συσχέτιση και αξιολόγηση των σχετιζόμενων με την ασφάλεια πληροφοριών – αυτό αποτελεί το μέλλον του IT Security για τις επιχειρήσεις, αυτό προσφέρουν σε μεγάλο ποσοστό τα συστήματα SIEM σήμερα.
Όποιος διαχειρίζεται ένα πληροφοριακό σύστημα πρέπει να είναι προετοιμασμένος για το event. To event εμφανίζεται συνήθως όταν δεν το περιμένει κανείς προερχόμενο από ένα μέρος που δεν γνώριζε ότι υπήρχε. Το event είναι η μέρα που θα εκδηλωθεί ένα περιστατικό ασφάλειας στα πληροφοριακά συστήματα μιας εταιρείας. Κάτι που μπορεί να συμβεί αρκετές φορές, καθώς ένα σύστημα IT μπορεί να δεχθεί πολλές επιθέσεις καθ’ όλη τη διάρκεια ζωής του. Κάποια περιστατικά ασφαλείας θα είναι χειρότερα από κάποια άλλα. Κάποια θα συμβούν στο εσωτερικό της εταιρείας, κάποια άλλα στο εξωτερικό της. Το θέμα, λοιπόν, δεν έχει να κάνει με το αν μια υποδομή ΙΤ δεχθεί μια επίθεση, αλλά με το αν αυτή η επίθεση αναγνωριστεί και καταγραφεί. Όσο και αν ξενίζει το γεγονός, αρκετές φορές τα πληροφοριακά συστήματα ενός οργανισμού παραβιάζονται, χωρίς να το ξέρουν οι διαχειριστές τους. Παρόλο που υπάρχουν τα προειδοποιητικά σημάδια – δεν φθάνει μόνο να υπάρχουν αυτά, αλλά και να τα αξιοποιεί κανείς όπως πρέπει.
Εδώ ακριβώς έρχεται να βοηθήσει μια λύση SIEM (Security Information and Event Management), καθώς διευκολύνει το ΙΤ να εντοπίσει τις προειδοποιήσεις, μέσα από έναν απέραντο ωκεανό δεδομένων – όποιος επιχειρήσει να τις εντοπίσει χειροκίνητα, μάλλον έχει χάσει το παιχνίδι. Ακόμα και τα πιο ικανά και έμπειρα στελέχη του ΙΤ μπορούν να υπερφορτωθούν με πληροφορίες που απλά δεν μπορούν να επεξεργαστούν. Οι πολυάριθμες λύσεις SIEM (Security Information and Event Management) που διαθέτονται στην αγορά κάνουν εξαιρετικά δύσκολο να αντιληφθεί κανείς τι εννοεί κανείς με τον όρο SIEM. Αν και συχνά, όταν μιλάει κανείς για λύσεις SIEM έχει κατά νου τη διαχείριση και την ανάλυση αρχείων logs, οι καλές λύσεις SIEM μπορούν να κάνουν πολύ περισσότερα πράγματα, όπως:
- Συγκέντρωση και ανάλυση events και log files
- Ανάλυση σε πραγματικό χρόνο των περιστατικών ασφάλειας
- Αυτόματη δημιουργία αναφορών
- Επεξεργασία περισσοτέρων από 10.000 events ανά δευτερόλεπτο
- Επισύναψη μιας μοναδικής χρονοσφραγίδας στα logs
- Αξιολόγηση αρχείων logs που περιέχουν δεδομένα θερμοκρασίας και απόδοσης
- Τήρηση σημαντικών πολιτικών συμμόρφωσης, όπως είναι τα ISO 2700×2, PCI DSS3, HIPAA, SOX, NERC και GLBA
- Γρήγορη και απλή ενσωμάτωση στα υπάρχοντα συστήματα ΙΤ.
Ειδικά για τις επιχειρήσεις με μεγάλες ροές δεδομένων υπάρχουν σημαντικές προοπτικές, καθώς μπορούν σε καθημερινή βάση να κάνουν προβλέψεις για την κίνηση των δεδομένων τους, τα περιστατικά ασφαλείας και τις απειλές από πιθανά σημεία συμφόρησης. Ιδανικά, όλοι οι εργαζόμενοι θα μπορούν σε τακτά χρονικά διαστήματα να αποκτούν πρόσβαση με ασφάλεια στα επιθυμητά δεδομένα και όλες οι διεργασίες θα αλληλεπιδρούν ομαλά μεταξύ τους. Και όλα τα συμβάντα ασφαλείας θα μπορούν να αναλυθούν και να διευκρινιστούν πλήρως.
Ωστόσο, η πραγματικότητα είναι διαφορετική – η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα και συστήματα εντοπίζεται πολύ αργά ή και καθόλου. Οποίος εκμεταλλεύεται σωστά τις λύσεις SIEM, απαλλάσσεται από αυτό το άγχος. Οι επιχειρήσεις μπορούν να χρησιμοποιήσουν τα εργαλεία αυτού του τύπου ως και ένα είδος μοντέρνου συστήματος CCTV (Closed Circuit Television) για το ΙΤ.Ένα σύστημα SIEM λειτουργεί όπως μια κάμερα παρακολούθησης για όλη την υποδομή ΙΤ στο σύνολό της. Με ένα τέτοιο σύστημα μπορούν να εντοπιστούν τα σημεία προσβολής, στην προκειμένη περίπτωση οι υποκλοπές δεδομένων, να αποκτηθεί μια εικόνα για όλες τις λειτουργίες του ΙΤ και να δει κανείς με μια ματιά, για το αν όλα λειτουργούν όπως έχει προβλεφθεί.
Ασφάλεια, το καίριο επιχείρημα
Αλλά ας επιστρέψουμε στα βασικά καθήκοντα που καλείται να εκπληρώσει ένα σύστημα SIEM. Βάσει της ευρωπαϊκής νομοθεσίας, οι επιχειρήσεις οφείλουν να ενημερώνουν μετά από μια υποκλοπή προσωπικών δεδομένων αυτούς που τους επηρεάζει. Αυτό μπορεί να γίνει μόνο όταν γνωρίζουν ποιοι ακριβώς επηρεάζονται από μια υποκλοπή δεδομένων. Μια λεπτομερής αξιολόγηση ενός περιστατικού ασφαλείας αποτελεί, λοιπόν, το Α και το Ω γι’ αυτό. Ένα σύστημα SIEM δεν μπορεί, απλώς, να το προσφέρει αυτό, αλλά και να συμβάλει ώστε να μην συμβούν υποκλοπές δεδομένων. Μέσω της ταχύτατης ανίχνευσης περιστατικών ασφαλείας μια λύση SIEM μπορεί, χάρη στο Data Loss Prevention (DLP), να αναγνωρίσει σε πραγματικό χρόνο τις επιθέσεις hackers, να τις εντοπίσει και να τις αναφέρει αυτόματα.
Σύνθετες απαιτήσεις
Για να μπορέσουν οι λύσεις SIEM να χρησιμοποιηθούν σωστά και όπως απαιτείται, θα πρέπει να πληρούν συγκεκριμένους κανονισμούς συμμόρφωσης όπως είναι τα ISO 2700x, PCI DSS, HIPAA, SOX, NERC και GLBA. Αυτό περιλαμβάνει, μεταξύ άλλων, και την απαίτηση ότι θα πρέπει να συλλέγονται αυτόματα όλες οι σχετιζόμενες με το δίκτυο πληροφορίες γεγονότων. Οι αναφορές θα πρέπει να εμφανίζουν γενικά το πόσα events, ήτοι συμβάντα, καταγράφηκαν αυτόματα, αλλά και πόσα από αυτά οδήγησαν σε ψευδείς συναγερμούς (τα λεγόμενα false positives). Για τα security audits αυτές οι αναφορές είναι πολύ χρήσιμες. Μια άλλη σημαντική πτυχή αφορά τη χρονική περίοδο που απαιτήθηκε για την επίλυση των εμφανιζόμενων προβλημάτων. Εδώ χρειάζεται, φυσικά, να γίνουν όλα όσο γίνεται πιο γρήγορα και να ολοκληρωθεί η αντιμετώπισή τους χωρίς επιπλοκές. Η επισκόπηση των παραπάνω alarms μπορεί να επιτευχθεί, αν τα συμβάντα μπορούν να οριστούν σύμφωνα με τις πολιτικές συμμόρφωσης.
Τα καλά συστήματα SIEM μπορούν να επεξεργαστούν περισσότερα από 10.000 events ανά δευτερόλεπτο, κάτι που είναι απαραίτητα ένεκα της ποικιλομορφίας των δεδομένων. Για να μην υπάρχει καμία περίπτωση οι εισβολείς να υποκλέψουν τα αρχεία logs ή να τα αντιγράψουν, με απώτερο στόχο να κρύψουν την υποκλοπή και να καλύψουν τα ίχνη τους, θα πρέπει αυτά να είναι προστατευμένα από επεξεργασία και να μεταφέρονται μόνο κρυπτογραφημένα. Για λόγους συμμόρφωσης θα πρέπει τα συμπιεσμένα δεδομένα όχι μόνο να αποθηκεύονται με ασφάλεια, αλλά να διαθέτουν και μια μοναδική χρονική σφραγίδα. Μόνο τότε διασφαλίζεται ότι τα αρχεία μπορούν να βρεθούν μετά την αρχειοθέτησή τους στις διάφορες εκδόσεις τους και να επαναξιολογηθούν (revision security).
Τι δεν μπορεί να κάνει το SIEM
Υπάρχει μια σειρά από επιθυμητές λειτουργίες, τις οποίες οι λύσεις SIEM δεν προσφέρουν έως τώρα, όπως:
- Intrusion Prevention και Intrusion Protection (είναι σε φάση ανάπτυξης)
- Αναλύσεις προβλέψεων για την εξαγωγή τάσεων για όλα τα συστήματα του ΙΤ (και αυτές οι λειτουργίες βρίσκονται σε φάση ανάπτυξης)
- Αυτοματοποιημένη ερμηνεία των αναφορών, οι οποίες βρίσκονται στη διακριτική ευχέρεια του εκάστοτε ειδικού του ΙΤ
- Ευελιξία κατά την ενσωμάτωση σε υπάρχοντα και μελλοντικά συστήματα ΙΤ
Από τις σχετιζόμενες με την ασφάλεια απαιτήσεις ενός συστήματος SIEM θα πρέπει, φυσικά, να αξιολογηθούν και άλλα, εξίσου σημαντικά, αρχεία Logs. Σε αυτά περιλαμβάνονται, μεταξύ άλλων, δεδομένα επιδόσεων όπως και θερμοκρασίας, τα οποία προέρχονται από το ίδιο το λειτουργικό σύστημα ή και από μεμονωμένες συσκευές ή εφαρμογές. Οι πληροφορίες από τέτοιες περιοχές μπορούν να βοηθήσουν στην εξαγωγή συμπερασμάτων για μια πληθώρα σεναρίων, τα οποία επηρεάζουν όλα τα σχετιζόμενα με το ΙΤ συστήματα. Ολα τα παραπάνω μετατρέπουν το SIEM σε ένα πανίσχυρο εργαλείο που προσφέρει πολύτιμη βοήθεια στον CIO και στη Διεύθυνση Πληροφορικής.
Επιλέγοντας
Για να μπορέσει μια εταιρεία να επιλέξει και να υλοποιήσει μια καλή λύση SIEM θα πρέπει να βρει τον κατάλληλο system integrator ή vendor, ο οποίος θα μπορεί να κάνει εύκολα τις εκλεπτυσμένες ρυθμίσεις που θα χρειαστούν. Η ύπαρξη μιας ανοικτής αρχιτεκτονικής, που θα επιτρέπει την προσθήκη λειτουργιών μέσω έξτρα modules, είναι θεμιτή, καθώς μπορεί να βοηθήσει τις επιχειρήσεις να προσαρμόσουν τη λύση SIEM στις ανάγκες τους. Οι κορυφαίοι πάροχοι υπηρεσιών SIEM προσφέρουν λύσεις με μεγάλες διαφοροποιήσεις μεταξύ τους, τόσο στο σύνολό τους, όσο και σε μεμονωμένες λειτουργίες. Ένας παράγοντας που, επίσης, παίζει ρόλο είναι η τιμή της λύσης SIEM και τα κόστη συντήρησης, όπου και εδώ υπάρχουν αρκετές εναλλακτικές.
Αρκετές φορές υπάρχει η σκέψη να ξεκινήσει η υλοποίηση μιας λύσης SIEM σε μικρή κλίμακα και να παρακολουθούνται-καταγράφονται, σε πρώτη φάση, μόνο συγκεκριμένες υπηρεσίες ή εφαρμογές. Υπάρχει, επίσης, το ενδεχόμενο χρήσης των λεγόμενων MSS (Managed Security Services). Αυτά αποτυπώνουν μια ισχυρή τάση που χαρακτηρίζει όλο και περισσότερο τους παρόχους λύσεων SIEM, καθώς τους επιτρέπει να προσφέρουν τις λύσεις τους στη μορφή υπηρεσίας.
Γενικά, οι μικρότεροι οργανισμοί δείχνουν μια προτίμηση σε σχεδόν πλήρεις «out-of-the-box» λύσεις. Οι πάροχοι υπηρεσιών MSS (Managed Security Services) έχουν κάνει εντονότερη την παρουσία τους το τελευταίο διάστημα, μειώνοντας τα έξοδα μιας εταιρείας σε ένα διαχειρίσιμο επίπεδο. Οι οργανισμοί υψηλών απαιτήσεων χρησιμοποιούν τo SIEM για να επαυξήσουν τις δυνατότητες προστασίας τους, επιτρέποντας την αντίδραση στις απειλές σε πραγματικό χρόνο. Αναμφίβολα, ραγδαίες εξελίξεις χαρακτηρίζουν την αγορά SIEM. Έχοντας μια διάρκεια ζωής πάνω από δέκα χρόνια, η σχετική αγορά συνεχίζει να ωριμάζει και τα προϊόντα της να βελτιώνονται.
Οι εξαγορές μικρότερων εταιρειών αφιερωμένων σε προϊόντα SIEM από μεγαλύτερους vendors, οι απειλές και το αυστηρό ρυθμιστικό τοπίο κάνουν ακόμα περισσότερο ελκυστικό το SIEM. Με μια πρώτη ματιά, το SIEM μπορεί να προκαλέσει μια «κρίση» πανικού, καθώς επισημαίνει τις διάφορες απειλές, κινδύνους και κενά ασφαλείας που μπορεί να υπήρχαν ήδη στο σύστημα, αλλά να μην το γνώριζαν οι διαχειριστές του. Από την άλλη, θα πρέπει κανείς να διατηρήσει τη ψυχραιμία του και να κατανοήσει ότι η τεχνολογία προσφέρει μια καλύτερη ορατότητα στην κατάσταση του οργανισμού του από την πλευρά της ασφάλειας. Η χρήση μιας λύσης SIEM δεν επαρκεί από μόνη της.
Δεν είναι λίγες οι φορές που μια λύση SIEM απέτυχε, καθώς οι υπεύθυνοι του ΙΤ δεν είχαν την υπευθυνότητα να δώσουν σημασία στα events που εντοπίστηκαν ή γιατί η ροή της πληροφορίας που σχετίζονταν με τα events ήταν τόσο μεγάλη που καθίσταντο μη αξιοποιήσημη. Το SIEM αποτελεί ένα ουσιαστικό εργαλείο σε οποιαδήποτε ισχυρό και ώριμο σύστημα προστασίας. Για να είναι, ωστόσο, αποτελεσματικό θα πρέπει να παρακολουθείται και να ρυθμίζεται διαρκώς. Όταν μια λύση SIEM ενσωματωθεί σωστά, αποτελεί ένας από τους καλύτερους τρόπους αναγνώρισης και αντίδρασης στις απειλές ασφάλειας.