SIEM: Περισσότερος έλεγχος = Μεγαλύτερη προστασία

Οι λύσεις SIEM (Security Information and Event Management) αποτελούν ένα σημαντικό δομικό στοιχείο της στρατηγικής ασφάλειας κάθε οργανισμού, καθώς δημιουργούν ένα σημείο ενοποίησης για όλους τους μηχανισμούς παρακολούθησης, ενώ μπορούν να χρησιμοποιηθούν για να ανιχνεύσουν μια στοχευμένη επίθεση στην αρχική της φάση, ελαχιστοποιώντας τις ζημιές.

Πολλές φορές η ενσωμάτωση της λύσης SIEM στην υποδομή ΙΤ επιβάλλεται από την ανάγκη τήρησης των κανονιστικών απαιτήσεων ελέγχου. Οι κατασκευαστές λύσεων SIEM το γνωρίζουν αυτό και το εκμεταλλεύονται για να τις βελτιώσουν και να επιταχύνουν την ανταπόκρισή τους στα περιστατικά ασφάλειας.

Οι λύσεις SIEM διαχειρίζονται τις απειλές και τα περιστατικά ασφάλειας μέσω της συλλογής και την ανάλυση των συμβάντων από μια ευρύτερη ποικιλία περιστατικών και δεδομένων σε πραγματικό χρόνο. Υποστηρίζουν, επίσης, την έρευνα των περιστατικών και την παρακολούθηση της τήρησης των κανονιστικών πλαισίων μέσω της ανάλυσης και της αναφοράς ιστορικών δεδομένων από αυτές τις πηγές.

Μια λύση SIEM στοχεύει στο να ανακαλύψει τις εξωτερικές και εσωτερικές απειλές, να παρακολουθεί τις δραστηριότητες των προνομιούχων χρηστών, να καταγράφει την πρόσβαση στους πόρους του server και των βάσεων δεδομένων, να παρακολουθεί, να συσχετίζει και να αναλύει τη δραστηριότητα των χρηστών σε πολλαπλά συστήματα και εφαρμογές, να παράγει αναφορές συμμόρφωσης και, τέλος, να παράγει analytics και ροές εργασίας για να υποστηρίζει την ανταπόκριση στα περιστατικά ασφάλειας.

Επιπλέον, συγκεντρώνει και αναλύει τα δεδομένα που παράγονται από συσκευές, συστήματα και εφαρμογές, όταν υπάρχει ένα περιστατικό. Η πρωταρχική πηγή δεδομένων είναι τα αρχεία log, ωστόσο μια λύση SIEΜ μπορεί να επεξεργαστεί και άλλους τύπους δεδομένων, αντλώντας πληροφορίες για τους χρήστες, τα δεδομένα, τις εφαρμογές, τις απειλές και τα κενά ασφαλείας. Tα δεδομένα κανονικοποιούνται, έτσι ώστε να μπορούν να συσχετιστούν συμβάντα από διαφορετικές πηγές και στη συνέχεια να αναλυθούν για ειδικούς σκοπούς, με απώτερο σκοπό την έγκαιρη ανίχνευση των απειλών.

Ανατομία μιας λύσης SIEM
Οι λύσεις SIEM προσφέρουν ένα σετ από στάνταρ λειτουργίες, οι οποίες χρειάζονται σε όλες τις περιπτώσεις. Κάποιες από αυτές είναι περισσότερο κρίσιμες για τη διαχείριση των απειλών ή για την τήρηση των κανόνων συμμόρφωσης. Το τυπικό σενάριο για την εγκατάσταση μιας λύσης SIEM σε έναν οργανισμό είναι να γίνεται αρχικά μια συγκεκριμένη υλοποίηση, η οποία θα υποστηρίζει καθορισμένες λειτουργίες, έχοντας ως στόχο την αντιμετώπιση ενός συγκεκριμένου κενού συμμόρφωσης ή ασφάλειας. Πριν την επιλογή και υλοποίηση μιας λύσης SIEM οι οργανισμοί πρέπει να εξετάσουν αν διαθέτει τα ακόλουθα χαρακτηριστικά, αλλά και με ποιο τρόπο τα υποστηρίζει:

• Επεκτάσιμη αρχιτεκτονική και ευελιξία ανάπτυξης. Αυτά διαφοροποιούνται από κατασκευαστή σε κατασκευαστή και εξαρτώνται από την αρχιτεκτονική του προϊόντος, τις τεχνικές συλλογής δεδομένων και τις πρακτικές coding που χρησιμοποιούνται. Κατά τη διάρκεια σχεδιασμού, πολλοί οργανισμοί υποεκτιμούν τον όγκο των δεδομένων που συλλέγονται σε ένα περιστατικό, όπως και την έκταση της αναφοράς ανάλυσης που θα απαιτηθεί. Μια αρχιτεκτονική που υποστηρίζει την επεκτασιμότητα και την ευελιξία στην ανάπτυξη μιας λύσης SIEM θα επιτρέψει σε έναν οργανισμό να αντιμετωπίσει έναν απροσδόκητο όγκο δεδομένων που θα πρέπει να αναλυθούν κατά την εκδήλωση ενός περιστατικού.
• Συλλογή δεδομένων περιστατικών σε πραγματικό χρόνο. Οι λύσεις SIEM συλλέγουν τα δεδομένα που σχετίζονται με ένα περιστατικό σχεδόν σε πραγματικό χρόνο, επιτρέποντας την άμεση ανάλυσή τους. Η δυνατότητα φιλτραρίσματος στην πηγή μπορεί να μειώσει σημαντικά τα δεδομένα, κάτι χρήσιμο στην περίπτωση που υπάρχουν περιορισμοί στο bandwidth του δικτύου. Η συλλογή δεδομένων με τη χρήση agents και μια virtualized υποδομή SIEM γίνονται πιο σημαντικά, όταν οι οργανισμοί μετακινούν το φόρτο τους σε virtualized και σε public περιβάλλοντα cloud.
  Επίσης, όπως καταγράφει σχετική μελέτη της Gartner, αρκετοί οργανισμοί που χρησιμοποιούν, ήδη, τεχνολογίες SIEM χρειάζεται να ενσωματώσουν την ανάλυση από πηγές δεδομένων που δεν υποστηρίζονται επίσημα. Αυτό σημαίνει ότι οι λύσεις SIEM θα πρέπει να προσφέρουν APIs ή άλλες λειτουργίες που θα υποστηρίζουν την ενσωμάτωση πρόσθετων πηγών δεδομένων από το χρήστη. Αυτή η δυνατότητα γίνεται σημαντικότερη σε λύσεις SIEM που επιτρέπουν την παρακολούθηση σε επίπεδο εφαρμογών.
• Κανονικοποίηση περιστατικών και ταξινόμηση. Στην προκειμένη περίπτωση έχουμε να κάνουμε με χαρτογράφηση της πληροφορίας από ετερογενείς πηγές και τη δημιουργία ενός σχήματος ταξινόμησης συνήθων περιστατικών. Η ταξινόμηση βοηθάει στην αναγνώριση μοτίβων και, επίσης, βελτιώνει το εύρος και την επεκτασιμότητα των κανόνων συσχέτισης. Οταν κανονικοποιούνται συμβάντα από ετερογενείς πηγές, μπορούν να αναλυθούν από ένα μικρότερο αριθμό κανόνων συσχέτισης, κάτι που επιταχύνει την όλη διαδικασία. Επιπρόσθετα, τα κανονικοποιημένα περιστατικά είναι ευκολότερα επεξεργάσιμα και αξιοποιήσιμα.
• Παρακολούθηση σε πραγματικό χρόνο. Η συσχέτιση συμβάντων δημιουργεί σχέσεις μηνυμάτων ή περιστατικών -που προκαλούνται από συσκευές, συστήματα ή εφαρμογές- βασισμένες σε χαρακτηριστικά όπως είναι η πηγή, ο στόχος, το πρωτόκολλο και ο τύπος του περιστατικού. Θα πρέπει να υπάρχει μια βιβλιοθήκη από προκαθορισμένους κανόνες συσχέτισης, αλλά και η δυνατότητα εύκολης διαμόρφωσης αυτών των κανόνων. Μια κονσόλα διαχείρισης περιστατικών ασφαλείας θα πρέπει να προσφέρει την παρουσίαση σε πραγματικών χρόνο όλων των περιστατικών ασφαλείας.
• Προφίλ συμπεριφορών. Η δημιουργία προφίλ συμπεριφορών ενεργοποιεί μια φάση εκμάθησης που κατασκευάζει προφίλ κανονικής δραστηριότητας για διάφορες κατηγορίες περιστατικών, όπως είναι οι ροές δικτύων, η δραστηριότητα χρηστών, η πρόσβαση στο server κ.λπ. Η λειτουργία παρακολούθησης κτυπάει συναγερμό σε διαφοροποιήσεις από το κανονικό. Η δημιουργία προφίλ και η ανίχνευση ανωμαλιών αποτελούν εξελιγμένες δυνατότητες στις λύσεις SIEM που συμπληρώνουν τη βασισμένη στους κανόνες συσχέτιση.
• Ευφυής εντοπισμός. H ευφυΐα δημιουργείται αξιοποιώντας μια πληθώρα πηγών, όπως είναι οι open source λίστες, η γνώση για την εκάστοτε απειλή που αποκτιέται από τις ερευνητικές ομάδες ειδικών των παρόχων λύσεων ασφάλειας, αλλά και τα δεδομένα που παράγονται από τη διαχείριση της ασφάλειας. Τα δεδομένα που δημιουργούνται από την ευφυή ανάλυση μιας απειλής μπορούν να ενσωματωθούν σε μια λίστα SIEM στη μορφή λιστών παρακολούθησης, ρόλων συσχέτισης και σειρών, με τρόπους που αυξάνουν τον βαθμό επιτυχούς ανίχνευσης απειλών στη γέννησή τους.
• Log management και αναφορά συμμόρφωσης. Οι λειτουργίες που υποστηρίζουν το αποτελεσματικό storage και την ανάλυση μεγάλου όγκου δεδομένου περιλαμβάνουν τη συλλογή, το indexing και την αποθήκευση όλων των δεδομένων logs από κάθε πηγή, όπως και τη δυνατότητα αναζήτησης και αναφορών με βάση αυτά τα δεδομένα. Οι δυνατότητες reporting πρέπει να περιλαμβάνουν τις προκαθορισμένες αναφορές, όπως και τη δυνατότητα καθορισμού ad hoc reports ή χρήσης εργαλείων αναφοράς τρίτων εταιρειών.
• Analytics: Τα analytics των περιστατικών ασφαλείας συντίθενται από αναφορές ασφαλείας, εικόνες από τα dashboards και ad hoc λειτουργίες για την υποστήριξη της έρευνας της δραστηριότητας των χρηστών και της πρόσβασης στους πόρους, ώστε να αναγνωριστεί μια απειλή, μια παραβίαση ή μια κατάχρηση των δικαιωμάτων πρόσβασης.
• Υποστήριξη διαχείρισης περιστατικών: Η εξειδικευμένη διαχείριση περιστατικών θα πρέπει να ενσωματώνεται στη λύση SIEM, η οποία θα πρέπει να υποστηρίζει τα ad hoc queries για την έρευνα περιστατικών ασφάλειας.
• Παρακολούθηση δραστηριότητας χρηστών και πρόσβασης δεδομένων: Αυτή η λειτουργία εμπλέκει τους χρήστες και τα δεδομένα, ενεργοποιώντας την παρακολούθηση στην πρόσβαση των δεδομένων και στη δραστηριότητα των χρηστών. Περιλαμβάνει την υποστήριξη της υποδομής Identity Access Management (IAM) για την απόκτηση πρόσβασης στο περιβάλλον του χρήστη και σε ότι σχετίζεται με αυτό. Η παρακολούθηση πρόσβασης δεδομένων περιλαμβάνει την παρακολούθηση των DataBase Management Systems (DBMSs) και την ενσωμάτωση στις λειτουργίες File Integrity Monitoring (FIM) και Data Loss Prevention (DLP).
  Το DBMS monitoring μπορεί να πάρει τρεις μορφές: ανάλυση των DBMS audit logs, ενσωμάτωση με λειτουργίες παρακολούθησης δραστηριοτήτων στη βάση δεδομένων (Database Activity Monitoring, DAM) τρίτων κατασκευαστών και ενσωμάτωση λειτουργιών DAM. To FIM μπορεί να προσφερθεί απευθείας από τη λύση SIEM ή μέσω της ενσωμάτωσης του σε προϊόντα τρίτων κατασκευαστών.
• Παρακολούθηση εφαρμογών: H δυνατότητα ανάλυσης δραστηριοτήτων από εμπορικές εφαρμογές επιτρέπει την παρακολούθηση σε επίπεδο εφαρμογής, ενώ η δυνατότητα ανάλυσης δραστηριοτήτων για custom εφαρμογές επιτρέπει την παρακολούθηση σε επίπεδο εφαρμογής για τις εφαρμογές που αναπτύσσονται “in-house”. Η ενσωμάτωση με τις εφαρμογές μέσα από ένα interface που επιτρέπει στους πελάτες να καθορίσουν log formats ή μη υποστηριζόμενες πηγές περιστατικών είναι σημαντική για την παρακολούθηση των δραστηριοτήτων εφαρμογών για επιθέσεις σε επίπεδο εφαρμογής, για τον εντοπισμό του fraud και για αναφορές συμμόρφωσης.
• Προώθηση και υποστήριξη απλοποίησης: Η προώθηση και η υποστήριξη της απλοποίησης επιτυγχάνονται μέσα από το συνδυασμό της εμπειρικής γνώσης που ενσωματώνει η λύση SIEM και ενός γενικού σχεδιασμού που ελαχιστοποιεί το χρόνο υλοποίησης και τις εργασίες υποστήριξης.

Σενάρια χρήσης
Αν και η πλειοψηφία των SIEM projects υλοποιούνται παραδοσιακά για να επιλύσουν θέματα συμμόρφωσης, οι περισσότεροι οργανισμοί κατανοούν, επίσης, ότι χρειάζεται μέσω αυτών να βελτιώσουν την παρακολούθηση της ασφάλειας και την ανταπόκριση στα περιστατικά. Οι λύσεις SIEM αναπτύσσονται για τρία κύρια σενάρια χρήσης:

• Διαχείριση απειλών. Με μια λύση SIEM μπορεί να βελτιωθεί η διαχείριση των απειλών, ο εντοπισμός των παραβιάσεων ασφαλείας και η αντίδραση σε περιστατικά. Σε αυτή την περίπτωση δίνεται μεγαλύτερη βαρύτητα στη διαχείριση συμβάντων σε πραγματικό χρόνο και στη συσχέτιση δεδομένων, στην ευφυΐα των απειλών, στην ανίχνευση ανωμαλιών και στην υποστήριξη υψηλών επιδόσεων και στις αναλύσεις ιστορικού μεγαλύτερης κλίμακας.
• Συμμόρφωση: Εδώ, η ανάπτυξη μιας λύσης SIEM γίνεται εστιάζοντας στη διαχείριση logs και στις ειδικές απαιτήσεις μιας αναφοράς συμμόρφωσης. Το log management αξιολογείται με μεγάλο βαθμό σπουδαιότητας, καθώς αποτελεί το βασικό «σημείο ελέγχου» από το οποίο θα ξεκινήσει ένας auditor. Η αναφορά πρόσβασης χρηστών και πόρων είναι σημαντική, επειδή η λύση SIEM συνήθως χρησιμοποιείται για τον εντοπισμό αδυναμιών στη διαχείριση χρηστών ή πόρων. Το χρονικό διάστημα ενσωμάτωσης μιας τέτοιας υλοποίησης είναι εν γένει μικρό, οπότε η απλότητα και η ευκολία υλοποίησης είναι πιο σημαντικά σε σχέση με περισσότερο προχωρημένες λειτουργίες.
• Γενική υλοποίηση μιας λύσης SIEM. Σε αυτήν την περίπτωση, δίνεται βαρύτητα στη βελτίωση όσον αφορά τις παραβιάσεις ασφάλειας και ανταπόκρισης σε περιστατικά, όπως και στην αντιμετώπιση κενών συμμόρφωσης. Οπότε χρειάζεται μια ταχύτατη ανάπτυξη για αναφορές συμμόρφωσης και η ανάπτυξη της λύσης σε βήματα και κατά τέτοιο τρόπο, ώστε να ενσωματώνει δυνατότητες SEM (Security Event Management).

Από τις δυνατότητες που αναφέρθηκαν προηγουμένως, οκτώ είναι πιο σημαντικές, ανάλογα με το εκάστοτε σενάριο χρήσης: * Real time monitoring: Αυτή η δυνατότητα είναι σημαντική για το πρώτο σενάριο χρήσης, όπου δίνεται βαρύτητα στη διαχείριση απειλών, καθώς έτσι παρακολουθείται και αναλύεται η εξέλιξη μιας επίθεσης στα συστήματα IT και στα επιμέρους συστατικά τους.

* Παρακολούθηση δεδομένων και χρηστών: Η παρακολούθηση της δραστηριότητας των προνομιούχων χρηστών και των ευαίσθητων δεδομένων, αποτελεί μια συνήθη απαίτηση για τις περιπτώσεις όπου η συμμόρφωση παίζει πρωτεύοντα ρόλο. * Παρακολούθηση εφαρμογών. Αυτή η λειτουργία είναι κρίσιμη, καθώς οι αδυναμίες των εφαρμογών αποτελούν συχνά κερκόπορτες για στοχευμένες επιθέσεις, ενώ η μη φυσιολογική δραστηριότητα μιας εφαρμογής αποτελεί, ίσως, το μόνο σημάδι για μια επιτυχημένη παραβίαση ή για μια ύποπτη δραστηριότητα.

* Ευφυής εντοπισμός: Η έγκαιρη πληροφόρηση για τις απειλές και τα μοτίβα επιθέσεων μπορεί να βοηθήσει έναν οργανισμό να αναγνωρίσει την ύποπτη δραστηριότητα. * Προφίλ συμπεριφορών. Το προφίλ συμπεριφορών και η ανίχνευση ύποπτων δραστηριοτήτων αποτελεί σημαντικό συστατικό μιας λύσης SIEM. * Analytics: Οταν εντοπίζεται μια ύποπτη δραστηριότητα, είναι σημαντικό να υπάρχει η δυνατότητα ανάλυσης της πρόσβασης χρηστών και πόρων, χρησιμοποιώντας μια επαναληπτική προσέγγιση, όπου αρχικά γίνεται μια πιο ευρεία θεώρηση του στόχου και μετά, επαναληπτικά, γίνεται βαθμιαία μια μεγαλύτερη εστίαση, για να εντοπιστεί η πηγή του προβλήματος.

* Προώθηση και υποστήριξη απλοποίησης:οι απαιτήσεις συμμόρφωσης και ασφάλειας έχουν επιτρέψει στην αγορά SIEM να μπει σε οργανισμούς που διαθέτουν μικρό προσωπικό ασφάλειας και περιορισμένες δυνατότητες υποστήριξης του συστήματος. Γι’ αυτούς τους αγοραστές, η απλότητα εγκατάστασης και υλοποίησης της λύσης παίζει το σημαντικότερο ρόλο.