Stałe monitorowanie, identyfikacja, analiza oraz eliminacja zagrożeń jest istotną kwestią dla wielu organizacji zmagających się z cyberatakami.

Systemy zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (SIEM), stworzone z myślą o wymogach zgodności, wykorzystywane są już od ponad dekady polegają na agregowaniu oraz przechowywaniu dzienników zdarzeń (tzw. logów), generowanych przez infrastrukturę sieciową i systemy zabezpieczeń. Obecnie rozwiązania SIEM wykorzystywane są nie tylko w celu spełniania wymogów zgodności, ale również do obrony przed złośliwym oprogramowaniem oraz atakami pojawiającymi się we współczesnym świecie zagrożeń. Podstępne działania cyberprzestępców próbujące zaburzyć normalne funkcjonowanie przedsiębiorstwa sprawiają, że instytucje zajmujące się bezpieczeństwem wdrażają  systemy SIEM do prowadzenia analiz, podejmowania właściwych dla organizacji  decyzji oraz błyskawicznego przeciwdziałania niebezpieczeństwu utraty danych. Najlepsze rozwiązania SIEM zapewniają wydajność, analizę zagrożeń oraz wgląd w stan zabezpieczeń, chroniąc aktywa firmy przed coraz bardziej zaawansowanymi atakami.

Najbardziej profesjonalne rozwiązania pozwalają na usprawnianie systemu SIEM dzięki integracji procesów analizy oraz zarządzania informacjami, oferując przedsiębiorstwom świadomość tego co dzieje się w danej chwili z danymi w firmie. Dzięki łączeniu i kojarzeniu zdarzeń w rozwiązaniach sieciowych, punktach końcowych oraz rozwiązaniach z zakresu zarządzania bezpieczeństwem, najlepsze systemy SIEM zapewniają pełne zrozumienie otaczającego nas świata, udostępniając dane na temat zagrożeń czy informacje dotyczące stanu luk w zabezpieczeniach. Umożliwiają one również wgląd w czasie rzeczywistym w systemy, przechowywane dane, zagrożenia oraz we wszelkie działania wewnątrz przedsiębiorstwa. Dodatkowo pracownicy działu bezpieczeństwa wyposażeni są  w niezbędne informacje w przeciągu kilku minut, nie godzin. Jest to kluczowa kwestia, jeśli chodzi o analizę  ataków rozciągniętych w czasie, wyszukiwanie oznak zagrożenia, czy prowadzenie działań naprawczych, związanych z kontrolą zgodności z przepisami prawa ochrony danych osobowych. SIEM zapewnia zintegrowane narzędzia do zarządzania konfiguracjami, zmianami w systemach, incydentami oraz umożliwia scentralizowanie zarządzanie procedurami funkcjonującymi w firmie  – są to niezbędne elementy procesu usprawniającego przepływ pracy oraz wydajność zespołu bezpieczeństwa – wszystko po to, aby usprawnić operacje w zakresie bezpieczeństwa.

reklama

Jakie są główne cechy rozwiązań SIEM wspierające monitorowanie systemów przed cyberzagrożeniami:

  • Łatwość administracji. Administrowanie całym systemem jest proste i nie wymaga dodatkowych szkoleń w zakresie bazy danych, czy systemu operacyjnego.
  • Dostęp do informacji w czasie bieżącym. Najlepsze rozwiązania SIEM umożliwiają uzyskiwanie wyników z analizy terabajtów danych bez zbędnych opóźnień. Możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów.
  • Dostęp do szczegółów zdarzenia w czasie rzeczywistym.
  • Zaawansowana korelacja danych. Wyszukiwanie wzorców i odchyleń od linii bazowych w zgromadzonych zdarzeniach, aktywnościach sieciowych i bazach danych, a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci. Funkcjonalność ta, zapewnia lepsze i szybsze wyszukiwanie śladów zagrożeń, ataków, utraty danych oraz oszustw związanych z chronionymi zasobami organizacji.
  • Bezpośrednia analiza sesji uruchomionych w czasie pracy na bazie danych.
  • Analiza przepływów danych w sieci (tzw. flows).
  • Analiza ruchu aplikacyjnego i uwzględnienie danych aplikacyjnych w korelacji zdarzeń.
  • Zestaw gotowych do wykorzystania szablonów bezpiecznych źródeł danych i gotowe do uruchomienia reguły korelacyjne oraz szablony raportów. Dla źródeł, które nie posiadają gotowych programów dokonujących analizy danych, możliwe jest samodzielne tworzenie reguł obsługujących zdarzenia.
  • Skalowalność. Możliwość obsługi milionów zdarzeń na sekundę z rozproszonych źródeł, bez utraty przetwarzanych informacji.
  • Szybkie powiadamianie i ostrzeganie. Osoby zajmujące się bezpieczeństwem organizacji mogą być informowane o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniejszych trendów.
  • Dokładność raportowania. Szczegółowe raportowanie na podstawie danych pochodzących z dowolnych źródeł informacji: dzienników zdarzeń (tzw. logów), zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
  • Zapewnienie niezmienności i nienaruszalności zbieranych informacji o zdarzeniach. System umożliwia zapisywanie i zarządzanie oryginalnymi zdarzeniami, zapewnia ich kontekstowe przeszukiwanie oraz kompresję.
  • Zarządzanie oryginalnymi dziennikami zdarzeń (logami) odbywa się z tej samej konsoli co pozostałe moduły SIEM, znacznie upraszczając i przyspieszając analizę.
  • Długoterminowa dostępność danych. SIEM umożliwia wgląd zarówno w napływające dane, jak i zgromadzone wcześniej informacje, które są archiwalne.
  • Kontekst zdarzeń. SIEM analizuje zgromadzone dane również w odniesieniu do kontekstu w jakim powstały. Jest to możliwe, poprzez wzbogacanie informacji o gromadzonych zdarzeniach o dodatkowe dane dotyczące podatności, konkretnych użytkowników, lokalizacji, reputacji źródła danych, poziomie ryzyka, itd.
  • Elastyczne raportowanie. System generuje raporty na podstawie wbudowanych szablonów i definicje, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM.
  • Elastyczność wybrania gotowych, zdefiniowanych alarmów i raportów. Podczas pierwszego uruchomienia systemu SIEM, użytkownik ma możliwość skorzystania z kilkuset predefiniowanych widoków raportów (dashboard’ów), w tym związanych ze standardami i regulacjami, takimi jak: RODO, PCI, SOX, ISO27002.
  • Integracja SIEM z innymi systemami bezpieczeństwa.
  • Powiązanie korelacji z systemem reputacji Global Threat Inteligence (GTI). Funkcjonalność umożliwiająca uwzględnienie w korelacji zdarzeń kontekstu, wynikającego z oceny ryzyka źródła ataku lub zagrożenia czy odbiorcy połączenia sieciowego. Baza GTI gromadzi i przetwarza informacje  pozyskane zarówno z bezpiecznych systemów udających prawdziwe serwisy zawierające dane typu honey pot, jak i z informacje  o wykrytych atakach, zbieranych i przekazywanych do użytkowników SIEM przez setki tysięcy innych użytkowników rozsianych po całym świecie. Są one niezwykle cennym uzupełnieniem analizy incydentów bezpieczeństwa w danej firmie. Ustalenie zależności zdarzenia raportowanego z wewnętrznych systemów bezpieczeństwa danej organizacji, z informacją o jego powiązaniu z maszynami uczestniczącymi w wymianie danych (hostami) o złej reputacji, powoduje zwiększenie znaczenia informacji o współzależności tych czynników dla bezpieczeństwa danych w firmie.

Systemy SIEM są wygodnymi systemami do zabezpieczenia danych w przedsiębiorstwie, udostępniającymi w czasie rzeczywistym informacje o procesach zachodzących w jego strukturze. Zastosowanie systemów SIEM znacznie poprawia organizację bezpieczeństwa danych w firmie. Zważywszy na zbliżającą się datę stosowania nowych regulacji dotyczących ochrony danych osobowych, taki system może znacznie wzmocnić bezpieczeństwo informacji w organizacji i uchronić ją przed milionowymi stratami oraz ryzykiem złamania prawa, co może powodować wysokie sankcje finansowe. System SIEM jest jednym z narzędzi, które może pomóc skutecznie przygotować się do wdrożenia nowych wymogów bezpieczeństwa narzuconych przez GDPR.

Więcej o McAfee Enterprise Security Manager (SIEM)

Artykuł sponsorowany przez firmę DIM System sp. z o.o.

Przeczytaj również: