Jak rozwiązania SIEM pomagają wzmocnić bezpieczeństwo sieci?

W jaki sposób systemy do zbierania i analizy logów pomagają wzmocnić bezpieczeństwo cybernetyczne firmy? Poznaj rozwiązania SIEM.

Czym są logi?

Zanim zacznę omawiać kwestie związane z rozwiązaniami do zarządzania logami, warto wyjaśnić, co tak naprawdę kryje się pod terminem ‘log’.
Log (ang. dziennik) to po prostu plik generowany przez komputer, który rejestruje aktywność w systemie operacyjnym lub aplikacji. W takim pliku automatycznie zapisywane są wszelkie informacje, które zostały wcześniej zaprojektowane przez administratora systemu np. komunikaty, raporty o błędach, transfery plików itp. Innymi słowy, w logu zapisywane są wszelkie zdarzenia i działania zachodzące w danym systemie informatycznym czy komputerze (serwerze).
Dane zawarte w logach zazwyczaj opatrzone są specjalnym znacznikiem czasu. W ten sposób specjaliści IT po wglądzie do pliku loga są w stanie określić co i w jakim czasie wydarzyło się na danym urządzeniu.

Po co nam system do zarządzania logami?

Logi rejestrują pracę i wydarzenia na serwerze w czasie chronologicznym i 24-godziny na dobę. Każdego dnia na urządzeniu tworzone są nowe pliki. A im więcej urządzeń, tym większa liczba logów i danych do przetwarzania. Jak zapanować nad taką ilością informacji?
Z tego powodu powstały LMS (ang. Log Management System) – dedykowane specjalistyczne systemy do zarządzania logami. Systemy LMS zazwyczaj nie działają samodzielnie, ale są jednym z elementów większego narzędzia o znacznie szerszych funkcjonalnościach tzw. SIEM, które omówię w dalszej części artykułu. Do czego jest nam potrzebne narzędzie do zarządzania logami? Okazuje się, że jest ono ważne nie tylko do gromadzenia danych, ale również w zakresie bezpieczeństwa przedsiębiorstwa.

Zarządzanie logami, a kwestie bezpieczeństwa sieci

Logi są źródłami cennych informacji dla administratorów systemu. W tego typu plikach mogą zostać zawarte dane pozwalające na wykrycie podejrzanych zachowań i działań, które mogą doprowadzić do zablokowania potencjalnie niebezpiecznych działań (prób włamań do systemu) lub analizować nieudane ataki i skutecznie się przed nimi bronić. Z tego względu narzędzia do zarządzania logami stanowią jeden ze skutecznych elementów walki ze szkodliwymi działaniami hakerów.

Jak działa SIEM?

SIEM (ang. Security Information and Event Management) to skrót określający oprogramowanie, którego zadaniem jest wyszukiwanie, pozyskiwanie zbieranie i analizę różnego rodzaju logów, w tym ustrukturyzowanych i nieustrukturyzowanych plików tekstowych i liczbowych.
Przy pomocy SIEM możemy te wszystkie rozproszone dane gromadzić i przetwarzać w jednej lokalizacji. Do najczęściej występujących logów zarządzanych przez SIEM należą:

• logi z urządzeń obwodowych (zapory sieciowe, VPN, systemy IDS i systemy IPS);
• dzienniki zdarzeń systemu Windows;
• logi urządzeń końcowych;
• logi aplikacji;
• logi serwerów proxy;
• logi urządzeń IoT.

Do najważniejszych zadań systemu SIEM w zakresie zarządzania logami należy:

Agregacja danych

Głównym zadaniem SIEM jest zbieranie i gromadzenie dużych ilości danych pochodzących z różnych aplikacji i baz danych.
W ramach tej funkcji możemy pozyskiwać logi z szeregu urządzeń IT i źródeł zewnętrznych, w tym serwerów, urządzeń zabezpieczających, aplikacji, systemów operacyjnych, przesyłać je za pomocą protokołów sieciowych i agregować w jednym miejscu. Centralizacja danych znacznie ułatwia i przyspiesza analizę danych i pozwala na wykrycie pewnych nieprawidłowości.

Przetwarzanie i normalizacja danych.

Trzeba uzmysłowić sobie, że te logi, które pozyskiwane są z wielu urządzeń, różnią się między sobą pod względem struktury danych i formatów. Z tego względu istotne jest, aby dokonać ich normalizacji, czyli w pewnym sensie ujednolicenia, aby stawały się czytelne i dostarczały tylko te dane, które z punktu widzenia bezpieczeństwa i potrzeby analizy danych są najistotniejsze. Narzędzia SIEM wyposażone są w funkcje służące do filtrowania, parsowania i klasyfikowania danych, które pomogą wydobyć informacje. Umożliwią porównywanie, korelację i analizę wszystkich odmiennych danych.

Analiza danych/korelacja ich ze zdarzeniami związanymi z bezpieczeństwem.

System SIEM na podstawie surowych danych jest w stanie określić pewne korelacje, które pozwalają na wykrycie potencjalnych oznak niebezpieczeństwa. Innymi słowy, system posługujący się surowymi danymi „łączy kropki” i może wykryć podobne działania, które potem mogą zakończyć się udanym atakiem. “łączenie kropek” opiera się na pewnych regułach, które już wcześniej zostały zaimplementowane do systemu. Przykładowo można ustalić, że działanie polegające na wykonaniu trzech nieudanych logowań w ciągu minuty nie zagraża niebezpieczeństwu. Jeżeli tych logowań z jednego IP w ciągu minuty jest wysłanych nie 3, ale np. 100 wówczas można to przyporządkować jako próbę ataku np. bruteforce. Po wykryciu takiego incydentu od razu wysyłany jest do administratora sieci alert o niebezpiecznym zdarzeniu i anomalii.

Wizualizacja danych.

To jedna z kolejnych zalet korzystania z tego typu systemu. Nie musimy operować na gołych danych i cyferkach, ale wszystkie te dane są zaprezentowane w przystępnej, wizualnej formie. W ten sposób możemy dokonywać w prosty sposób analizy, monitorowania i porównania danych znajdujących się w systemie.

Zarządzanie incydentami, czyli alerty i reagowanie.

Systemy tego typu nie ograniczają się tylko do samej analizy i zbierania danych, ale również mogą skutecznie zmniejszać ryzyko cyberataku. Gruntowna analiza i przeprowadzenie korelacji pozwala na utworzenie kolejnych reguł i polityk, które umożliwiają na wczesne wykrycie niebezpiecznych incydentów i odpowiednią reakcję. W większość tego typu systemów znajdują się automatyczne mechanizmy do blokowania lub ograniczenia dostępu do atakowanych urządzeń czy też aplikacji. Oprócz tego możliwe jest również wysłanie automatycznych alertów w postaci maila czy SMS-a.

Jakie programy tworzą SIEM?

Na rynku funkcjonuje wiele programów do zbierania i zarządzania logami. Jednym z popularniejszych i wartych uwagi jest Elasticsearch łączący kilka funkcjonalności.

Elasticsearch

Oprogramowanie open source, otwarty silnik wyszukiwania zbudowany na Apache Lucene. Pierwsza wersja pojawiła się w 2010 roku, a obecnie jest najpopularniejszym narzędziem do analizy logów. Służy do analizy różnego typu typów danych (tekstowych, liczbowych, geoprzestrzennych, ustrukturyzowanych i nieustrukturyzowanych).

Kibana

Kibana to oprogramowanie pozwalające na wizualizację danych z Elasticsearch.

Logstash

Logstash to narzędzie umożliwiające przetwarzanie danych po stronie serwera. Pozwala na zbieranie danych z różnych źródeł, filtrowanie, przekształcanie ich i wysyłanie do żądanego miejsca docelowego.

Warianty systemów SIEM

SIEM może być wdrożony w organizacji na dwa sposoby: jako oprogramowanie na serwerach klienta lub jako rozwiązanie w chmurze.

a. Na serwerach u klienta – on-premise

Większość organizacji, zwłaszcza te, które przechowują dość poufne i wrażliwe dane klientów, decyduje się na wdrożenie rozwiązania SIEM w wersji on-premise. To rozwiązanie ma wiele zalet. Przede wszystkim pozwala na pełną kontrolę nad platformą, a także możliwość skonfigurowania stricte pod potrzeby i wymagania firmy. Nie bez znaczenia jest fakt, że dostęp do poufnych danych możliwy jest tylko z poziomu lokalnego SIEM.
Oczywiście takie rozwiązanie ma również pewne wady, ponieważ wdrożenie rozwiązania SIEM na własnych serwerach zazwyczaj jest droższe. Obejmuje koszty gromadzenia, przechowywania i analizowania ogromnych ilości danych. Wymaga również zatrudnienia sztabu specjalistów ds. cyberbezpieczeństwa, którzy będą zajmować się przetwarzaniem danych.

b. W chmurze

W tej opcji odpadają koszty zatrudnienia zespołu specjalistów IT. Kupując rozwiązanie typu cloud masz dostęp do wstępnie skonfigurowanego systemu SIEM, wraz z zespołem, który specjalizuje się w obsłudze tej platformy. Skraca się również czas samego wdrożenia, ponieważ nie musisz szkolić personelu do obsługi nowej platformy i kupować sprzętu. Z twoich barków spadają kwestie dotyczące utrzymania oprogramowania w serwerowni, wsparcia technicznego i aktualizacji.
Niestety w tym związaniu poufne dane są “wyniesione” poza przedsiębiorstwo, a to znaczy, że dostęp do nich mają osoby trzecie, co zawsze wiąże się z pewnym ryzykiem. Rozwiązania chmurowe nie są zalecane dla organizacji, które operują danymi wrażliwymi np. placówek zdrowotnych, organizacji państwowych.
Rozwiązania cloud są zawsze limitowane. Płacimy od ilości danych. To znaczy, że w przypadku podłączania kolejnych źródeł i rosnącej liczby zdarzeń, zwiększa się zapotrzebowanie na maszyny w chmurze co następnie zwiększa się również nasz miesięczny abonament.

Jakie są korzyści z SIEM?

SIEM to system, który pozwala w kompleksowy sposób na zajęcie się wszystkimi logami z każdego urządzenia, które znajduje się w naszym systemie.

• Centralizacja, czyli możliwość zarządzania danymi z dziennika pochodzącymi z różnych systemów.
• Wzrost wykrywalności potencjalnych zagrożeń, a tym samym zmniejszenie ryzyka ataku cybernetycznego.
• Łatwa analiza, przetwarzanie i analizowanie danych.
• Przystępne dashboardy, wizualizacje i efektywne raportowanie.

Dla kogo SIEM?

Wszechstronność zastosowania SIEM sprawia, że w zasadzie jest to system, który powinien zostać wdrożony w każdej firmie, a szczególnie takiej, która operuje na newralgicznych danych klientów i chce zmniejszyć ryzyko ataku z zewnątrz.
SIEM pozwala nie tylko na zwiększenie bezpieczeństwa, ale daje dodatkowe narzędzia, które pomogą w analizie pod kątem biznesowym. Dostarcza dużej ilości danych, które mogą być wykorzystywane na wielu polach. SIEM i programy do zbierania logów stanowią uzupełnienie i wsparcie dla innych narządzi wspierających bezpieczeństwo sieci jak NAC >>, PAM >>, MFA >> czy NDR >>.