.

SIEM: Security Information and Event Management


Οι λύσεις SIEM (Security Information and Event Management) αποτελούν τα αυτιά και τα μάτια της ομάδας IT Security ενός οργανισμού, παρέχοντας τη δυνατότητα εντοπισμού κάθε δικτυακής ανωμαλίας, κάθε ύποπτης δραστηριότητας. Πώς, όμως, οι σύγχρονες λύσεις SIEM μπορούν να συμβάλουν ώστε να βελτιώσουν τη θωράκιση κάθε επιχείρησης έναντι των ουκ ολίγων πολυσύνθετων απειλών του σήμερα;

Η μεγαλύτερη πρόκληση για την αποτελεσματική και επιτυχημένη υλοποίηση μιας λύσης SIEM είναι να εξασφαλιστεί ότι η υιοθέτησή της θα προσφέρει την καλύτερη δυνατή προστασία, ενημέρωση και ανταπόκριση στα συμβάντα ασφαλείας. Τα εργαλεία SIEM παρέχουν στην επιχείρηση μια ολοκληρωμένη άποψη για τα περιστατικά ασφαλείας που προέρχονται από μια πλειάδα συσκευών, εφαρμογών και δραστηριοτήτων σε όλο το εύρος του οργανισμού. Το πλεονέκτημα είναι ότι έτσι μπορεί να γίνει σύγκριση και συσχετισμός αυτών των συμβάντων και να δημιουργηθούν/αναγνωριστούν μοτίβα με τρόπους που δεν θα ήταν εφικτό να υλοποιηθούν, χωρίς την ενοποίηση των πληροφοριών ασφαλείας. Αποκτώντας μια ενιαία άποψη για τις δραστηριότητες που σχετίζονται με την ασφάλεια σε συσκευές δικτύου, firewall, servers, desktops, ακόμη και εφαρμογές (όπως συστήματα antivirus), το SIEM παρέχει στις ομάδες ασφαλείας πλουσιότερη και ακριβέστερη γνώση, ώστε να παρακολουθούν, να «μεταφράζουν» και να αντιδρούν σε πιθανές απειλές.

Οι περισσότεροι οργανισμοί χρησιμοποιούν λύσεις Security Information and Event Management, θεωρώντας ότι αποτελούν χρήσιμα εργαλεία για την αναγνώριση και διερεύνηση επιθέσεων που απειλούν τις υποδομές ή έχουν εισέλθει στο δίκτυο. Όμως, παρέχει, τελικά, το SIEM μια ξεκάθαρη εικόνα του προβλήματος; Μπορούν οι οργανισμοί να αναγνωρίσουν με βεβαιότητα και σιγουριά τις επιθέσεις εντός πολύ λίγου χρόνου από τον εντοπισμό τους; Πρόσφατες επιθέσεις σε μεγάλους οργανισμούς έχουν δείξει ότι το τοπίο της ασφάλειας έχει αλλάξει. Αυτές οι επιθέσεις όχι μόνο κατάφεραν να «προσπεράσουν» τους ελέγχους ασφαλείας, αλλά δεν εντοπίστηκαν και παρέμειναν εντός του συστήματος για αρκετές εβδομάδες, «εξάγοντας» σημαντικό όγκο δεδομένων.

Οι «ενημερωμένοι» επιτιθέμενοι έχουν σχεδιάσει τις δράσεις τους, ώστε να μπορούν να «αποφεύγουν» εύκολα τον εντοπισμό των επιθέσεών τους. Χρησιμοποιώντας τεχνικές επιθέσεων σε πολλαπλά επίπεδα δημιουργούν έναν τεράστιο όγκο πληροφοριών που πρέπει να διερευνηθούν, πριν αναγνωριστεί η κακόβουλη δράση τους - θα λέγαμε ότι, ουσιαστικά, οι επιτιθέμενοι εκμεταλλεύονται τις τελευταίες τεχνολογίες σε θέματα ασφαλείας, ώστε να αποφύγουν τον εντοπισμό τους. Αναμφίβολα. τα εργαλεία SIEM είναι πολύ χρήσιμα – και σε πολλές περιπτώσεις απαραίτητα για την ικανοποίηση συγκεκριμένων κανονιστικών απαιτήσεων συμμόρφωσης. Ωστόσο, δυσκολεύονται να εντοπίσουν γρήγορα το πλήρες εύρος μιας μεγάλης επίθεσης, ενώ δεν είναι σχεδιασμένα για να διεξάγουν εξονυχιστική έρευνα.

Οι πολλές ενημερώσεις θολώνουν το τοπίο 
Μια συσκευή SIEM συλλέγει πολλά διαφορετικά στοιχεία μιας επίθεσης, ενώ λαμβάνει και δεδομένα και από άλλες εξωτερικές συσκευές ασφαλείας. Αυτά τα δεδομένα αποθηκεύονται, αναλύονται και συγκρίνονται με άλλα από διαφορετικές συσκευές για να παρέχουν μια συνολική εικόνα των πολλαπλών τρωτών σημείων ή των απειλών. Ωστόσο, η ευθύνη παραμένει στον άνθρωπο – τον security analyst – για να ξεκαθαρίσει το τοπίο ανάμεσα σε όλα αυτά τα τυχαία κομμάτια και να δημιουργήσει μια εικόνα των απειλών και των κινδύνων που ελλοχεύουν για την επιχείρηση. Για παράδειγμα:
  • Πότε ο επιτιθέμενος παραβίασε το σύστημα πρώτη φορά και πώς ανακαλύφθηκε η παραβίαση;
  • Πόσο καιρό βρίσκεται στο σύστημα η απειλή;
  • Τι άλλες επιθέσεις μπορεί να σχετίζονται με αυτήν;
  • Τι ακριβώς κάνει αυτή τη στιγμή ο επιτιθέμενος στο σύστημα;
  • Αποτελεί η επίθεση ένα μεμονωμένο περιστατικό ή σχετίζεται με άλλες;
  • Τι σημαίνουν αυτές οι επιθέσεις; Έχουμε να κάνουμε με ένα συγκεκριμένο κακόβουλο λογισμικό ή πρόκειται για κάτι που χρησιμοποιεί ο επιτιθέμενος ως «σκαλοπάτι» για κάτι μεγαλύτερο;

Οι συσκευές SIEM έχουν σχεδιαστεί για να συλλέγουν πληροφορίες από τις συσκευές ασφαλείας (π.χ. το firewall), από τις βάσεις δεδομένων, καθώς από τις συσκευές Identity Management. Αυτό σημαίνει ότι σε μια μεγάλη επιχείρηση, το SIEM μπορεί να συλλέγει δεδομένα και ενημέρωση από χιλιάδες πηγές, οι οποίες παράγουν χιλιάδες ενημερώσεις καθημερινά. Για τους security analysts ή για τους επαγγελματίες λειτουργιών ασφαλείας που εξετάζουν τις ενημερώσεις, αυτό μεταφράζεται σε χιλιάδες εργατοώρες για τον προσδιορισμό του αν μια ενημέρωση είναι σημαντική ή όχι. Οι περισσότεροι οργανισμοί δεν έχουν την πολυτέλεια να διαθέτουν τόσο μεγάλες ομάδες ασφαλείας για τη διερεύνηση ενός τόσο μεγάλου όγκου συμβάντων. Αυτό σημαίνει ότι πιθανότατα κάποιες «καταστροφικές» επιθέσεις θα καταφέρουν να διεισδύσουν ακόμη βαθύτερα στο δίκτυο. Επίσης, χωρίς λεπτομέρειες και επιπλέον πληροφορίες για κάθε ενημέρωση, η ομάδα ασφαλείας μπορεί να ξοδεύει πολύ χρόνο για να προσδιορίσει τη σοβαρότητα ή την επικινδυνότητα μιας απειλής. Αν αυτή αποδειχθεί ότι δεν μπορεί να βλάψει τον οργανισμό, η ομάδα έχει ήδη χάσει πολύτιμο χρόνο για κάτι εντελώς ασήμαντο.

Η διαχείριση «νόμιμου» traffic στο δίκτυο που έχει «χαρακτηριστεί» ως κακόβουλο ή ακόμη και η ανάλυση επιθέσεων που δεν είναι σημαντικές μεταφράζεται σε χαμένο χρόνο – χρόνο που οι υπεύθυνοι ασφαλείας θα μπορούσαν να αξιοποιήσουν για να διαχειριστούν τις πραγματικές απειλές για την επιχείρηση. Αυτό όχι μόνο δίνει στους επιτιθέμενους περισσότερο χρόνο να εξαπλωθούν και να προκαλέσουν ζημιά στο δίκτυο, αλλά και «απορροφάει» πολύτιμους πόρους από τον οργανισμό. Σε πρόσφατη έρευνα της Ponemon, οι συμμετέχοντες δήλωσαν ότι ο μέσος χρόνος που δαπανάται κάθε εβδομάδα για τον εντοπισμό και περιορισμό «ψευδών» απειλών ανέρχεται σε 395 ώρες. Αυτό αποτελεί ένα μέσο κόστος της τάξης των 25.000 δολαρίων εβδομαδιαίως ή 1,27 εκατ. δολαρίων ετησίως.

Πηγή: netweek
Ετικέτες ,
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.