Οι λύσεις SIEM (Security Information and Event Management) αποτελούν τα αυτιά και τα μάτια της ομάδας IT Security ενός οργανισμού, παρέχοντας τη δυνατότητα εντοπισμού κάθε δικτυακής ανωμαλίας, κάθε ύποπτης δραστηριότητας. Πώς, όμως, οι σύγχρονες λύσεις SIEM μπορούν να συμβάλουν ώστε να βελτιώσουν τη θωράκιση κάθε επιχείρησης έναντι των ουκ ολίγων πολυσύνθετων απειλών του σήμερα;
Η μεγαλύτερη πρόκληση για την αποτελεσματική και επιτυχημένη υλοποίηση μιας λύσης SIEM είναι να εξασφαλιστεί ότι η υιοθέτησή της θα προσφέρει την καλύτερη δυνατή προστασία, ενημέρωση και ανταπόκριση στα συμβάντα ασφαλείας. Τα εργαλεία SIEM παρέχουν στην επιχείρηση μια ολοκληρωμένη άποψη για τα περιστατικά ασφαλείας που προέρχονται από μια πλειάδα συσκευών, εφαρμογών και δραστηριοτήτων σε όλο το εύρος του οργανισμού. Το πλεονέκτημα είναι ότι έτσι μπορεί να γίνει σύγκριση και συσχετισμός αυτών των συμβάντων και να δημιουργηθούν/αναγνωριστούν μοτίβα με τρόπους που δεν θα ήταν εφικτό να υλοποιηθούν, χωρίς την ενοποίηση των πληροφοριών ασφαλείας. Αποκτώντας μια ενιαία άποψη για τις δραστηριότητες που σχετίζονται με την ασφάλεια σε συσκευές δικτύου, firewall, servers, desktops, ακόμη και εφαρμογές (όπως συστήματα antivirus), το SIEM παρέχει στις ομάδες ασφαλείας πλουσιότερη και ακριβέστερη γνώση, ώστε να παρακολουθούν, να «μεταφράζουν» και να αντιδρούν σε πιθανές απειλές.
Οι περισσότεροι οργανισμοί χρησιμοποιούν λύσεις Security Information and Event Management, θεωρώντας ότι αποτελούν χρήσιμα εργαλεία για την αναγνώριση και διερεύνηση επιθέσεων που απειλούν τις υποδομές ή έχουν εισέλθει στο δίκτυο. Όμως, παρέχει, τελικά, το SIEM μια ξεκάθαρη εικόνα του προβλήματος; Μπορούν οι οργανισμοί να αναγνωρίσουν με βεβαιότητα και σιγουριά τις επιθέσεις εντός πολύ λίγου χρόνου από τον εντοπισμό τους; Πρόσφατες επιθέσεις σε μεγάλους οργανισμούς έχουν δείξει ότι το τοπίο της ασφάλειας έχει αλλάξει. Αυτές οι επιθέσεις όχι μόνο κατάφεραν να «προσπεράσουν» τους ελέγχους ασφαλείας, αλλά δεν εντοπίστηκαν και παρέμειναν εντός του συστήματος για αρκετές εβδομάδες, «εξάγοντας» σημαντικό όγκο δεδομένων.
Οι «ενημερωμένοι» επιτιθέμενοι έχουν σχεδιάσει τις δράσεις τους, ώστε να μπορούν να «αποφεύγουν» εύκολα τον εντοπισμό των επιθέσεών τους. Χρησιμοποιώντας τεχνικές επιθέσεων σε πολλαπλά επίπεδα δημιουργούν έναν τεράστιο όγκο πληροφοριών που πρέπει να διερευνηθούν, πριν αναγνωριστεί η κακόβουλη δράση τους – θα λέγαμε ότι, ουσιαστικά, οι επιτιθέμενοι εκμεταλλεύονται τις τελευταίες τεχνολογίες σε θέματα ασφαλείας, ώστε να αποφύγουν τον εντοπισμό τους. Αναμφίβολα. τα εργαλεία SIEM είναι πολύ χρήσιμα – και σε πολλές περιπτώσεις απαραίτητα για την ικανοποίηση συγκεκριμένων κανονιστικών απαιτήσεων συμμόρφωσης. Ωστόσο, δυσκολεύονται να εντοπίσουν γρήγορα το πλήρες εύρος μιας μεγάλης επίθεσης, ενώ δεν είναι σχεδιασμένα για να διεξάγουν εξονυχιστική έρευνα.
Οι πολλές ενημερώσεις θολώνουν το τοπίο
Μια συσκευή SIEM συλλέγει πολλά διαφορετικά στοιχεία μιας επίθεσης, ενώ λαμβάνει και δεδομένα και από άλλες εξωτερικές συσκευές ασφαλείας. Αυτά τα δεδομένα αποθηκεύονται, αναλύονται και συγκρίνονται με άλλα από διαφορετικές συσκευές για να παρέχουν μια συνολική εικόνα των πολλαπλών τρωτών σημείων ή των απειλών. Ωστόσο, η ευθύνη παραμένει στον άνθρωπο – τον security analyst – για να ξεκαθαρίσει το τοπίο ανάμεσα σε όλα αυτά τα τυχαία κομμάτια και να δημιουργήσει μια εικόνα των απειλών και των κινδύνων που ελλοχεύουν για την επιχείρηση. Για παράδειγμα:
- Πότε ο επιτιθέμενος παραβίασε το σύστημα πρώτη φορά και πώς ανακαλύφθηκε η παραβίαση;
- Πόσο καιρό βρίσκεται στο σύστημα η απειλή;
- Τι άλλες επιθέσεις μπορεί να σχετίζονται με αυτήν;
- Τι ακριβώς κάνει αυτή τη στιγμή ο επιτιθέμενος στο σύστημα;
- Αποτελεί η επίθεση ένα μεμονωμένο περιστατικό ή σχετίζεται με άλλες;
- Τι σημαίνουν αυτές οι επιθέσεις; Έχουμε να κάνουμε με ένα συγκεκριμένο κακόβουλο λογισμικό ή πρόκειται για κάτι που χρησιμοποιεί ο επιτιθέμενος ως «σκαλοπάτι» για κάτι μεγαλύτερο;
Οι συσκευές SIEM έχουν σχεδιαστεί για να συλλέγουν πληροφορίες από τις συσκευές ασφαλείας (π.χ. το firewall), από τις βάσεις δεδομένων, καθώς από τις συσκευές Identity Management. Αυτό σημαίνει ότι σε μια μεγάλη επιχείρηση, το SIEM μπορεί να συλλέγει δεδομένα και ενημέρωση από χιλιάδες πηγές, οι οποίες παράγουν χιλιάδες ενημερώσεις καθημερινά. Για τους security analysts ή για τους επαγγελματίες λειτουργιών ασφαλείας που εξετάζουν τις ενημερώσεις, αυτό μεταφράζεται σε χιλιάδες εργατοώρες για τον προσδιορισμό του αν μια ενημέρωση είναι σημαντική ή όχι. Οι περισσότεροι οργανισμοί δεν έχουν την πολυτέλεια να διαθέτουν τόσο μεγάλες ομάδες ασφαλείας για τη διερεύνηση ενός τόσο μεγάλου όγκου συμβάντων. Αυτό σημαίνει ότι πιθανότατα κάποιες «καταστροφικές» επιθέσεις θα καταφέρουν να διεισδύσουν ακόμη βαθύτερα στο δίκτυο. Επίσης, χωρίς λεπτομέρειες και επιπλέον πληροφορίες για κάθε ενημέρωση, η ομάδα ασφαλείας μπορεί να ξοδεύει πολύ χρόνο για να προσδιορίσει τη σοβαρότητα ή την επικινδυνότητα μιας απειλής. Αν αυτή αποδειχθεί ότι δεν μπορεί να βλάψει τον οργανισμό, η ομάδα έχει ήδη χάσει πολύτιμο χρόνο για κάτι εντελώς ασήμαντο.
Η διαχείριση «νόμιμου» traffic στο δίκτυο που έχει «χαρακτηριστεί» ως κακόβουλο ή ακόμη και η ανάλυση επιθέσεων που δεν είναι σημαντικές μεταφράζεται σε χαμένο χρόνο – χρόνο που οι υπεύθυνοι ασφαλείας θα μπορούσαν να αξιοποιήσουν για να διαχειριστούν τις πραγματικές απειλές για την επιχείρηση. Αυτό όχι μόνο δίνει στους επιτιθέμενους περισσότερο χρόνο να εξαπλωθούν και να προκαλέσουν ζημιά στο δίκτυο, αλλά και «απορροφάει» πολύτιμους πόρους από τον οργανισμό. Σε πρόσφατη έρευνα της Ponemon, οι συμμετέχοντες δήλωσαν ότι ο μέσος χρόνος που δαπανάται κάθε εβδομάδα για τον εντοπισμό και περιορισμό «ψευδών» απειλών ανέρχεται σε 395 ώρες. Αυτό αποτελεί ένα μέσο κόστος της τάξης των 25.000 δολαρίων εβδομαδιαίως ή 1,27 εκατ. δολαρίων ετησίως.
Επιλέγοντας στρατηγικά
Όταν εφαρμοσθεί σωστά, ένα σύστημα SIEM παρέχει μια ολοκληρωμένη εικόνα των συμβάντων ασφαλείας που προέρχονται από έναν αριθμό δραστηριοτήτων εντός της επιχείρησης. Παρακάτω, παραθέτουμε έξι-σημεία κλειδιά που πρέπει να προσεχθούν κατά τη διαδικασία αξιολόγησης μιας λύσης SIEM, ενώ γίνεται και μια ανάλυση του γιατί μια επιχείρηση πρέπει να εστιάσει περισσότερο στην ενσωμάτωση εργαλείων SIEM. Τα τελευταία χρόνια, τα εργαλεία SIEM έχουν «ωριμάσει» για να ανταποκρίνονται καλύτερα στον συνεχώς αυξανόμενο αριθμό συσκευών «παραγωγής» δεδομένων. Λαμβάνοντας υπόψη το κόστος και την ευρεία γκάμα των λύσεων SIEM, κατά την αξιολόγηση μιας λύσης χρειάζεται να θυμόμαστε ότι το SIEM αποτελεί την επέκταση της ικανότητας του οργανισμού να παρακολουθεί το οποιοδήποτε συμβάν ασφαλείας, ενώ βοηθάει και στην ανάλυσή του.
Από επιχειρησιακής πλευράς, το SIEM αποτελεί συνήθως προαπαιτούμενο συμμόρφωσης και κανονιστικών ρυθμίσεων για τις περισσότερες πιστοποιήσεις από τους διάφορους οργανισμούς. Ένα από τα μεγαλύτερα οφέλη του προέρχεται από την εφαρμογή μιας λύσης SIEM είναι η «προοπτική» που παρέχει στο τμήμα IT Security ενός οργανισμού και η πρόσβαση στα “usable metrics” που παράγει. Όλες οι αναλύσεις και τα dashboards είναι διαθέσιμα σε μια μόνο κονσόλα, ώστε να διευκολύνουν τη λήψη αποφάσεων. Δεδομένου του επιπέδου ασφαλείας που προσφέρει μια λύση SIEM σε έναν οργανισμό, απαιτείται προσεκτική εξέτασή της πριν την τελική απόφαση υιοθέτησής της. Τα ακόλουθα αποτελούν τα πιο σημαντικά σημεία που πρέπει να αξιολογηθούν πριν την επένδυση σε μια λύση SIEM:
1. Υποστήριξη συσκευής. Κατά την επιλογή μιας λύσης SIEM, πρέπει να δώσουμε ιδιαίτερη προσοχή στις συσκευές που θα υποστηρίζονται από αυτήν. Χρειάζεται να εξασφαλίσουμε ότι η λύση μπορεί να κατανοήσει τα συμβάντα και τα δεδομένα που παράγονται από τη χρήση της εκάστοτε συσκευής. Πρέπει, ακόμα, να μπορεί να αναλύσει τα δεδομένα της, όπως αυτά που προέρχονται από firewall, routers, Unix/Windows servers, προγράμματα antivirus κ.λπ. Τέλος, η λύση SIEM πρέπει να μπορεί να υποστηρίξει logs από άγνωστες συσκευές, όπως legacy συσκευές και εφαρμογές, που παράγουν logs στις δικές τους μη-τυπικές μορφές.
2. Ενοποίηση με άλλες εφαρμογές/εργαλεία. Σημαντικό χαρακτηριστικό είναι και η δυνατότητα ενοποίησης της λύσης SIEM με τις ήδη υπάρχουσες εφαρμογές και εργαλεία. Μια λύση που υποστηρίζει μόνο τις ανεξάρτητες λειτουργίες δεν είναι εύχρηστη και δεν προσφέρει την «εκτεταμένη» γνώση που απαιτείται για τη χαρτογράφηση του τοπίου ασφαλείας του οργανισμού. Η ενοποίηση με υπάρχοντα εργαλεία – σαρωτές ευπαθειών, σύστημα ειδοποίησης με mail ή SMS ή ακόμη και Active Directory – αποτελεί μια χρήσιμη δυνατότητα της λύσης, επεκτείνοντας τη λειτουργικότητά της.
3. Υποστήριξη ομάδων. Η υποψήφια λύση SIEM οφείλει να υποστηρίζει πολλαπλές ομάδες και να περιορίζει την πρόσβαση μόνο σε συγκεκριμένα άτομα, τα οποία θα ενημερώνονται για τα συμβάντα. Ο διαχωρισμός των ομάδων με βάση τα τμήματα στα οποία ανήκουν και την γεωγραφική τοποθεσία τους παρέχει σαφήνεια και αποτελεσματικότητα κατά τη διαδικασία διαχείρισης ενός συμβάντος. Για παράδειγμα, μια ομάδα διαχείρισης συμβάντων σε μια χώρα μπορεί να χρειάζεται να διαχειριστεί τα συμβάντα σε μία άλλη. Αν όλα τα συμβάντα καταχωρούνται στο ίδιο σύστημα, θα επικρατήσει πιθανότατα «χάος» και σύγχυση.
4. Αναφορές. Οι ικανότητες δημιουργίας αναφορών μίας λύσης SIEM αποτελούν το επόμενο κριτήριο αξιολόγησης. Η λύση πρέπει να μπορεί να παράγει αναφορές για διάφορα επίπεδα προσωπικού, όπως είναι οι τεχνικοί και τα ανώτερα στελέχη. Λειτουργικά, τα διαφορετικά επίπεδα χρειάζεται να έχουν διαφορετική οπτική των συμβάντων για να λάβουν αποφάσεις. Για παράδειγμα, το management ενός οργανισμού ασχολείται με τα επιχειρησιακά ζητήματα και τις επιπτώσεις στον οργανισμό και δεν ενδιαφέρεται για τεχνικές αναλύσεις. Παρομοίως, οι τεχνικοί ασφαλείας χρειάζονται (και δίνουν) εμβάθυνση στις τεχνικές λεπτομέρειες, μέσω περιοδικών – και συχνά μακροσκελών – εκθέσεων.
5. Κανονιστικές απαιτήσεις και συμμόρφωση. Πριν την υιοθέτηση μιας λύσης SIEM, οι υπεύθυνοι χρειάζεται να ελέγξουν αν αυτή υποστηρίζει και κατανοεί τις παραμέτρους που πρέπει να παρακολουθούνται στο πλαίσιο των κανονιστικών απαιτήσεων των αρχών πιστοποίησης. Αυτό ισχύει και για τις πιστοποιήσεις που ο οργανισμός θέλει να αποκτήσει – το SIEM θα βοηθήσει στην παραγωγή των απαιτούμενων αναφορών στη σωστή μορφή που πρέπει να υποβληθούν για τις πιστοποιήσεις.
6. Κατάσταση συσκευών/servers. Αρκετές λύσεις SIEM παρέχουν την επιλογή προσδιορισμού της κατάστασης συσκευών και servers. Αυτό αποτελεί ένα αρκετά χρήσιμο χαρακτηριστικό, καθώς βοηθά στη «βαθμονόμηση» της κρισιμότητας των ενημερώσεων, με βάση την κατάσταση της κρισιμότητας της συσκευής. Τα συμβάντα ασφαλείας μπορούν να ταξινομηθούν, ώστε να παρέχουν τη μέγιστη αποδοτικότητα και να μειώνουν τον χρόνο «επιστροφής» σε φυσιολογικές συνθήκες. Για παράδειγμα, ένα μεσαίας κατηγορίας συμβάν σε ένα υψίστης σημασίας server θα πρέπει να ταξινομηθεί υψηλότερα από ένα υψηλής σημασίας συμβάν σε ένα μικρότερης σημασίας server και η «αποκατάστασή» του πρέπει να προηγηθεί. Αυτό βοηθά στη μείωση του συνολικού κινδύνου για τον οργανισμό και την αντιμετώπιση των σοβαρών ζητημάτων κατά προτεραιότητα, χρησιμοποιώντας αποδοτικά τους διαθέσιμους πόρους. Τέλος, πολύ σημαντική είναι και η υποστήριξη της λύσης SIEM από τον ίδιο τον πάροχο της, ώστε να γίνει η βέλτιστη εκμετάλλευσή της. Αυτό είναι ακόμη σημαντικότερο, όταν μιλάμε για προσαρμογή (παραμετροποίηση) της λύσης SIEM στις ανάγκες του εκάστοτε οργανισμού.