SIEM bolj kot kadar koli doslej …

Posted on 08/07/2013

0


Uporabniki, ne samo v Sloveniji, SIEM in druga varnostna orodja uvajajo predvsem zaradi zahtevane skladnosti poslovanja, manj pa zaradi samega zagotavljanja informacijske varnosti. Ta kot razlog za uvedbo SIEM sicer pridobiva na pomenu, predvsem zaradi vedno novih varnostnih izzivov, vprašanje pa je, ali in v kolikšni meri se tega zavedamo tudi v Sloveniji.

Informacijska varnost je osnova uspešnega poslovanja

Namen informacijske tehnologije v vsakodnevnem poslovanju podjetja je učinkovita uporaba informacij pri izvajanju aktivnosti. Učinkovita raba pa ni nujno tudi varna raba, zato je res uspešno poslovanje možno le v preseku obeh – učinkovitosti in informacijske varnosti.

Informacijska varnost pa ni zgolj niz preventivnih ukrepov, pripravljenih ob vzpostavitvi informacijskega sistema. Zaradi izvajanja sprememb, odkrivanja novih ranljivosti in tveganj moramo zagotavljati tudi njihovo obvladovanje – v smislu nenehnega prepoznavanja ranljivosti in groženj za informacijske vire, ki jih podjetje uporablja za doseganje poslovnih ciljev, ter odločanja o ukrepih za zagotavljanje sprejemljive ravni tveganj glede na spremembe v okolju.

SIEM (Security Information Event Management) je pomemben element informacijske varnosti v podjetjih, saj konsolidira različne nadzorne mehanizme, tehnologijo pa lahko izrabimo tudi za pravočasno zaznavo usmerjenih napadov in s tem za znižanje stroškov odprave posledic takih dejanj. Orodja SIEM omogočajo nadzor in spremljanje uporabnikov, dostopov do podatkov in drugih virov podjetja, poročanje zaznanih tveganj in skladnost z revizijskimi in regulatornimi zahtevami (npr. ISO 27001, Basel II, PCI DSS in drugi). Predvsem slednje je v Sloveniji zelo pogost razlog vpeljave tovrstnih orodij …

SIEM je osnova uspešne informacijske varnosti

SIEM združuje podatke o dogodkih, ki jih beležijo namenske varnostne naprave, omrežne naprave, drugi sistemi in aplikacije. Primarni vir podatkov predstavljajo dnevniški zapisi, pridružimo pa lahko tudi druge tipe podatkov. Podatki o dogodkih se dopolnjujejo s kontekstnimi informacijami o uporabnikih, podatkih in virih, podatki pa so normalizirani za potrebe primerjav in korelacij med različnimi viri. Tehnologija posledično omogoča varnostni nadzor v realnem času, korelacije varnostnih incidentov ter druge analize preteklih dogodkov in ravnanj, s čimer zagotavlja podporo raziskovanju (varnostnih) incidentov in poročanju za potrebe skladnosti.

Čeprav lahko namen orodij v grobem strnemo v upravljanje s tveganji in skladnost poslovanja, pa so rezultati in učinki odvisni od izbranega orodja. V grobem poznamo SIM (Security Information Management), ki omogoča konsolidacijo, centralizacijo in upravljanje različnih aplikativnih in strežniških dnevnikov, dnevnikov različnih omrežnih naprav ter ostalih naprav, in SEM (Security Event Management), ki omogoča korelacijo varnostnih dogodkov ter spremljanje in obveščanje o varnostnih incidentih v realnem času.

Opisano upraviteljem varovanja in zaščite omogoča dejansko upravljanje tveganj s področja informacijske varnosti. Vendar pa ta sprememba pasivne v aktivno vlogo v sebi skriva tudi svojevrstno past – če na spremembo nismo pripravljeni, bo orodje SIEM, četudi postavljeno, ostalo nerabljeno in namenjeno predvsem zadovoljevanju zahtev revizorjev informacijskih sistemov. Zato predlagamo postopno vpeljavo, med katero se z orodjem temeljito spoznamo in obenem pripravimo na drugačen način dela. Pri tem je lahko odločilno deljenje znanja in izkušenj z drugimi varnostnimi in sistemskimi inženirji, ki tovrstna orodja že uporabljajo, bodisi v okviru interesnih ali stanovskih združenj bodisi v sodelovanju s specializiranimi zunanjimi izvajalci …

Dobra vpeljava je fazna vpeljava

Uporaba orodja SIEM za nadzor nad informacijsko varnostno politiko zahteva več kot le postavitev orodja. Vedeti moramo, kaj želimo z orodjem doseči, na katera vprašanja želimo odgovore, dobro poznati prepletenost informacijskega sistema in dosedanje ocene tveganj, pa tudi zgodovino dosedanjih varnostnih incidentov. Včasih je tako analizo lažje izvesti v sodelovanju z neodvisnimi zunanjimi izvajalci, neobremenjenimi s posebnostmi sistemov in načini dela v podjetju. Tako sodelovanje je koristno izrabiti tudi za prenos znanja in izkušenj z drugih primerljivih projektov izvajalca in za seznanjanje z dobrimi praksami – tudi zato tej fazi raje kot analiza rečemo svetovanje.

Ko enkrat vemo, kaj, zakaj in kako bomo naredili, sledi postavitev. Navkljub nekoliko zavajajočemu nazivu se glavnina aktivnosti te faze izvaja po sami postavitvi. Vzpostavitev vseh potrebnih povezav, nastavitve poročil in obveščanja, predvsem pa preverjanja nastavitev, testiranje in ocenjevanje uporabnosti so bistvo te faze, ki pogosto terja še enkrat več časa od prve faze.

Enkratni postavitvi sledi stalna podpora delovanju in uporabi orodja, ki obsega vse od upravljanja pravic do pomoči in izobraževanja uporabnikov in drugih zaposlenih. Izobraževanje slednjih o varnem izvajanju aktivnosti je najboljša (in najcenejša!) preventiva in pot do informacijske varnosti. Najpomembnejši pa je seveda učinkovit nadzor in naše pravočasno ravnanje ob zaznavi varnostno kritičnih dogodkov, tudi z uporabo orodja SIEM.

Vzporedno s podporo delovanju poteka tudi vzdrževanje orodja. To obsega tako tehnične nadgradnje orodja kot tudi dodatne, nove integracije in nova poročila. Informacijska varnost je živahno področje, katerega obvladovanje in upravljanje upraviteljem varovanja in zaščite vsakodnevno postavlja vrsto izzivov. Tudi zato vpeljava orodja SIEM ni enkraten dogodek, pač pa proces, ki vključuje stalno tehnično prilagajanje novim varnostnim izzivom in tveganjem, nenehno izobraževanje zaposlenih in sprotno izpopolnjevanje uporabe orodja.

Trajanje posamične faze je dejansko odvisno od velikosti in dejavnosti podjetja, njegovega varnostnega profila, stopnje informacijske ogroženosti, zahtevnosti specifičnih zakonskih in drugih regulatornih okvirov ipd. Posledično sta za prvi fazi navedeni povprečni, relativno konservativni časovni oceni, utemeljeni na izkušnjah s primerljivih projektov.

Praktične izkušnje in tehnični izzivi

Osnovna postavitev SIEM v praksi obsega nekatera predpripravljena poročila. Idealno ta omogočajo odgovore na vprašanja, ki smo jih v prvi fazi opredelili kot pomembna z vidika poslovanja in nadzora nad določenimi dogodki. Vendar pa take t. i. out-of-the-box postavitve pogosto ne omogočajo tudi vseh nastavitev in celovitega pregleda, še posebej, če upoštevamo posebnosti regulative in zakonodaje.

Praktični primer 1: Večjo slovensko banko je zanimalo, kaj počnejo uporabniki z visoko ravnijo pravic (skrbniki sistema). Potreba je bila neposredna posledica usklajevanja ravnanja z zahtevami iz naslova varovanja osebnih podatkov (ZVOP-1) na področju dodeljevanja visokih ravni pravic (npr. dodajanje uporabnikov v skupino domenskih skrbnikov ali drugih skupin z visokimi pooblastili), ki med drugim omogočajo tudi spreminjanje nastavitev beleženja revizijske sledi. Z uporabo orodja HP ArcSight Express je bilo urejeno črpanje varnostnih dogodkov z domenskih krmilnikov. Sledila je vzpostavitev sledenja dogodkom v skupinah z visokimi pooblastili, ki so v uporabi v banki. Posledično bomo lahko iz lastnosti dogodka po drugi, neodvisni poti, ugotovili spremembo članstva v varnostni skupini z visokimi pravicami, obenem pa bomo z istim orodjem zagotovili pravočasno obveščenost le o spremembah, ki nas zanimajo (kar primeri, ko uporabnik dobi pravice upravljanja zelo pomembnih virov, vsekakor so).

Praktični primer 2: Stranka želi spremljati lastni promet z znanimi zlonamernimi viri na internetu. Za ta namen smo uporabili brezplačno različico orodja Bad Harvest, ki je nastal kot odprtokodni projekt uporabnikov orodja ArcSight ESM. Deluje tako, da z relevantnih spletnih strani, ki nudijo baze o naslovih IP znane zlonamerne opreme na internetu, črpa podatke in jih dodaja na t. i. aktivne sezname znotraj orodja SIEM. Aktivni promet lahko potem spremljamo in s korelacijo sledimo komunikaciji našega okolja z internetom. Pri tem nas zanimajo predvsem dogodki, ko se kateri od naših računalnikov vztrajno »pogovarja« s katerim od znanih zlonamernih gostiteljev na internetu, kar bi lahko kazalo na okužbo v sistemu. Za ugotavljanje napadov pa spremljamo tudi uspešne povezave na naše zunanje številke IP z istih zlonamernih številk IP, s čimer zaznavamo napade z ugibanjem gesel in ugotavljamo, ali je internetu odprto nekaj, kar ne bi smelo biti (npr. komunikacijska vrata SSH ali protokoli RDP).

Praktični primer 3: Še en primer rabe, ki je lahko izredno uporaben, je spremljanje aktivnosti uporabnikov VPN. Tipična VPN postavitev uporabnikom dinamično dodeljuje številke IP. Posledica je, da dejansko nikoli ne vemo, kateri uporabnik je imel katero številko IP v določenem trenutku (oziroma ta informacija ni tako zlahka dostopna). Z uporabo orodja SIEM lahko beležimo tudi ta način dostopanja, pri čemer v določen seznam shranimo številko IP in jo povežemo z uporabniškim imenom. Zabeležimo seveda tudi začetek in konec seje, kar nam omogoča hitrejšo prepoznavo vira morebitne težave (ni potrebe, da bi pregledovali dnevniške zapise na več napravah).

Izberite orodje, ki si ga lahko privoščite

HP ArcSight vsebuje naslednja orodja SIEM:

  • ArcSight Logger omogoča dolgoročno hrambo, konsolidacijo in centralizacijo aplikativnih in strežniških dnevnikov, dnevnikov različnih omrežnih naprav ter ostalih naprav v stisnjeni podatkovni bazi, iskanje prek vseh hranjenih dogodkov z enotnim vmesnikom ter poročanje;
  • ArcSight Express je namenjen predvsem korelaciji varnostnih dogodkov, omogoča pa prednastavljeno spremljanje in obveščanje o varnostnih incidentih v realnem času;
  • ArcSight Enterprise Security Manager (ESM) poleg korelacije varnostnih dogodkov ter spremljanja in obveščanja o varnostnih incidentih v realnem času (kot Express) vsebuje tudi mehanizem za upravljanje z življenjskim ciklom varnostnih incidentov, s svojo možnostjo skalabilnosti pa je namenjen največjim podjetjem z jasnim fokusom na informacijsko varnost.

Produkte je smiselno kombinirati (npr. Logger skrbi za dolgoročno hrambo dogodkov, Express ali ESM pa za njihovo korelacijo in spremljanje) in tudi zaporedno uvajati. S postopnim uvajanjem naprednejših funkcionalnosti se verjetnost uspešne vpeljave in umestitve aplikativne podpore varnostne informacijske politike močno poveča, dosežemo pa lahko tudi optimalno stroškovno razmerje med pričakovanji, dejanskimi potrebami in zmogljivostmi orodja!

Informacijska varnost je področje, na katerem nas lahko napake zelo drago stanejo. Koliko nas stane uspešen vdor v naš informacijski sistem? Kakšen je strošek izgube zaupnih podatkov o naših strankah? Kako si lahko po čem takem še povrnemo zaupanje strank? In kaj, če je naše poslovanje v neposredni korelaciji z omajanim ugledom podjetja? Koliko si torej res lahko privoščimo?

Samo Gaberšček

Simon Simčič

Ivo Vasev