Systemy zarządzania bezpieczeństwem informacji (SIEM) często pełnią rolę swoistego układu nerwowego systemów IT w przedsiębiorstwie oraz stanowią kluczowy element udanej strategii bezpieczeństwa IT. Jednak ilości danych, które firmy zbierają, przechowują i przetwarzają, szybko wymyka się spod kontroli, powodując, że SIEM nie są wystarczająco wydajne. Jak zatem w dobie powszechnej cyfryzacji zoptymalizować funkcjonowanie tych systemów, poprawić ich wydajność, jednocześnie nie zwiększając wydatków?

Monitorowanie stanu i bezpieczeństwa infrastruktury informatycznej w czasie rzeczywistym oraz sensowne wykorzystanie zebranych danych może być zadaniem ponad siły, nawet dla najlepiej przygotowanych zespołów. Dlatego eksperci firmy Balabit przygotowali osiem skutecznych sposobów na ulepszenie wydajności SIEM, które można wykorzystać również do zwiększenia efektywności pracy centrów bezpieczeństwa (SOC).
Optymalizację SIEM (podyktowaną bądź to chęcią ograniczenia kosztów, bądź zwiększenia wydajności operacyjnej) najlepiej przeprowadzić pod kątem analizy danych i zarządzania rejestrami zdarzeń, a nie ulepszania swojego punktu odniesienia i podstawy tego systemu, czyli logów gromadzonych w rejestrach.

Unikanie problemów z kompatybilnością: metody analityczne są tak dobre jak dane, na których bazują
W związku z tym, że większość sieci cechuje duża różnorodność, przy wyborze narzędzia do zarządzania rejestrami zdarzeń należy wybrać takie, które charakteryzuje się obsługą szerokiej gamy platform i formatów źródłowych logów (w tym między innymi formatów syslog, plików tekstowych, plików baz danych SQL/Oracle oraz pułapek SNMP).

Wydobywanie z rejestrów zdarzeń najcenniejszych informacji i przekazywanie do systemu SIEM mniejszych ilości danych
Narzędzie przekazujące dane do SIEM powinno móc przetwarzać dane i podawać je w postaci strukturyzowanej i niestrukturyzowanej, a także dysponować funkcjami transformacji danych, takimi jak filtrowanie, parsowanie, przepisywanie i klasyfikowanie. Przy takim zestawie funkcji wystarczy przesyłać najcenniejsze informacje i w ten sposób znacznie zmniejszyć (faktyczne przypadki użycia wykazują roczne oszczędności do 40%) koszty licencjonowania SIEM, bądź też zapewnić bogatszy i przeformatowany strumień wpisów dziennika w celu ich łatwiejszej analizy.

Spełnienie szeregu wymogów dotyczących zgodności z prawem przez domyślny proces zbierania i archiwizacji rejestrów zdarzeń
Funkcje transformacji takie jak anonimizacja i pseudonimizacja są również niezbędne do spełnienia międzynarodowych norm przetwarzania danych i zachowania prywatności, takich jak PCI-DSS, HIPAA czy oczekujące dopiero na wejście w życie unijne rozporządzenie GDPR.

Kompresja logów przesyłanych wąskopasmowym łączem internetowym
Zarówno w sieci internetowej, jak i intranetowej szerokość pasma sieciowego może ulegać znacznym wahaniom. W związku z tym narzędzie do zarządzania rejestrami zdarzeń powinno działać nawet w warunkach dużych ograniczeń łącza. Kompresja logów może wyraźnie zmniejszyć zajętość pasma i przyspieszyć zbieranie danych do rejestru centralnego, a co za tym idzie zapewnić szybsze reakcje na potencjalne zagrożenia bezpieczeństwa lub operacyjne.

Skuteczne zapobieganie utracie danych z logów
Co się stanie, gdy dojdzie do utraty jednego zdarzenia z rejestru? Przeważnie nic, chyba że akurat sygnalizował on incydent będący naruszeniem istotnych danych. Bardzo ważne są więc funkcje zapobiegające utracie danych z logów, takie jak buforowanie, obsługa docelowych urządzeń pracy awaryjnej, kontrola tempa komunikatów i ich potwierdzanie na poziomie aplikacji. Dzięki nim można mieć pewność, że nie dojdzie do zgubienia komunikatów wskutek tymczasowej awarii lub niewydolności infrastruktury IT.

Szerokiej funkcjonalności powinna towarzyszyć wysoce skalowalna i niezawodna wydajność

Wyspecjalizowane narzędzia o solidnej architekturze są w stanie przetworzyć dowolną ilość logów na sekundę, od kilkuset do kilkuset tysięcy zdarzeń. Występuje tu sporo zmiennych i zależności, mówiąc jednak ogólnie, jeśli dane przedsiębiorstwo nie działa jako dostawca usług w chmurze, to nie powinno mieć problemów z objętością rejestrów zdarzeń, nawet po włączeniu aktywnego indeksowania.

Pozyskiwanie danych z monitorowania użytkowników uprzywilejowanych i ich przekazywanie do SIEM
Chociaż większość działań pozostawia ślad w postaci logów, niektóre czynności użytkowników, zwłaszcza te wykonywane przez administratorów sieci za pośrednictwem protokołów administracyjnych takich jak SSH czy RDP, nie są widoczne w rejestrach zdarzeń ani w analizach SIEM. Dzięki zintegrowaniu SIEM z urządzeniami monitorującymi działania uprzywilejowanych użytkowników, firmy są w stanie w czasie rzeczywistym analizować działania nawet najbardziej ryzykownych użytkowników, aby zapobiec większości cyberataków i nadużyć uprawnień powiązanych z kontem.

Nadawanie priorytetów alertom SIEM
Przeciętny specjalista ds. bezpieczeństwa po otrzymaniu alertu SIEM ma średnio 7 minut na ustalenie, czy chodzi o atak typu APT, czy jedynie o otwarcie przez użytkownika maila typu phishing? W zależności od stopnia uprawnień użytkownika oraz rozbieżności między jego rzeczywistym zachowaniem a typowymi działaniami, narzędzia analizy zachowań użytkowników są w stanie dostrzec najbardziej ryzykowne kwestie bezpieczeństwa i radykalnie skrócić czas potrzebny na wykrycie, zbadanie i wyeliminowanie potencjalnych zagrożeń.

Pomocne informacje:
Czym jest SIEM?
Specjaliści IT mają 7 minut na decyzję, czy dany alert oznacza atak czy nie – Raport CSI
Jak zoptymalizować SIEM z pomocą syslog-ng? – Wideo