Zarządzanie logami i incydentami bezpieczeństwa w organizacji

Potok informacji

Branża IT od wielu lat rozwija się bardzo dynamicznie. Ogólnoświatowe trendy, do których należy zaliczyć Cloud Computing, konsumeryzację IT oraz media/portale społecznościowe powodują, że otacza nas świat pełen informacji oraz urządzeń, które ją udostępniają. Odbiorca informacji najczęściej zupełnie nie zdaje sobie sprawy ze złożoności infrastruktury sprzętowej i oprogramowania, które działa w tle dla zapewnienia stałej dostępności kontentu, jaki interesuje użytkownika. Idąc dalej tym tropem, należy zwrócić uwagę, że każdy z komponentów pośredniczących w komunikacji pomiędzy źródłem informacji a jego odbiorcą, jest obarczony pewnym ryzykiem, które w efekcie może prowadzić do wycieku danych.

Brak spójnego obrazu

Większość organizacji wdraża szereg technologii, których celem jest minimalizacja ryzyka i zapewnienie kontroli nad podejrzanymi działaniami. Mogą to być zapory ogniowe, których celem jest ochrona perymetru sieci poprzez analizę i blokowanie połączeń. Innym przykładem są systemy wykrywania i zapobiegania włamaniom (IDS/IPS) czy też kompleksowa ochrona przed złośliwym oprogramowaniem oraz wirusami. W efekcie wykorzystywania pojedynczych, dedykowanych mechanizmów kontroli pojawia się problem związany z uzyskaniem szerszego i wspólnego obrazu/ poglądu na bezpieczeństwo informacji w całym środowisku IT danej organizacji. Każdy z podsystemów bezpieczeństwa stanowi niezależną wyspę, która generuje olbrzymią ilość niepowiązanych ze sobą logów – innymi słowy, zdarzeń dotyczących bezpieczeństwa.

Dla lepszego zrozumienia zagadnienia można wyobrazić sobie następujący przypadek: pracownik wchodzi do biura z wykorzystaniem karty RFID (system kontroli dostępu fizycznego generuje zdarzenie), kolejną czynnością po zaparzeniu kawy będzie zalogowanie się do sieci z wykorzystaniem konta domenowego. To jest poprawna sekwencja zdarzeń. A co jeśli po wejściu do biura, użytkownik loguje się do sieci przy pomocy kanału VPN lub loguje się do aplikacji z wykorzystaniem konta, które jest już użyte? W tym momencie pojawia się szereg pytań. Czy do biura wszedł rzeczywiście pracownik, czy może ktoś kto ukradł identyfikator? Czy punktowa ochrona będzie w stanie wykryć tego typu incydent? Czy rzeczywiście jesteśmy w stanie zapewnić skoordynowaną wielowarstwową ochronę? Jeśli do tego dołożymy utrudnienia w postaci schematów organizacyjnych, które mogą powodować, że personel odpowiedzialny za warstwę sieciową (w tym firewall’e) nie przekazuje wszystkich informacji do komórki bezpieczeństwa lub działy te zupełnie ze sobą nie współpracują, to niestety trzeba mieć swiadomość, że nasze informacje są zagrożone.

Jak temu zaradzić?

Rozwiązaniem, które adresuje wyżej opisany problem i umożliwia zbieranie zdarzeń ze wszystkich pojedynczych mechanizmów kontroli jest system klasy SIEM (ang. Security Information and Event Management). Funkcjonalność systemu do zarządzania zdarzeniami i incydentami bezpieczeństwa pozwala na zbieranie, normalizowanie, analizowanie i wizualizowanie w czasie rzeczywistym danych z wszystkich urządzeń bezpieczeństwa i systemów teleinformatycznych działających w organizacji. W efekcie działania, pierwotna liczba zdarzeń liczona najczęściej w milionach rekordów, ograniczana jest do kilku, kilkunastu, którymi musi zająć się zespół do reagowania na incydenty bezpieczeństwa. Analizy zbieranych w ten sposób danych są prowadzone z myślą o bezpieczeństwie informacji oraz o wspomaganiu procesu utrzymywania zgodności z regulacjami prawnymi,a rezultaty są wyświetlane na centralnej konsoli, stanowiącej część intuicyjnego, graficznego interfejsu użytkownika.

Technologia SIEM, udostępnia pojedynczą konsolę, która umożliwia scentralizowane wykrywanie i odpowiadanie na naruszenia bezpieczeństwa w momencie ich zaistnienia.

Rozwiązanie to umożliwia organizacjom przeciwdziałnie zagrożeniom bezpieczeństwa, zanim staną się poważnymi problemami. Ponadto zbieranie danych w znormalizowanej postaci w jednym repozytorium danych, pozwala, oprócz analiz w czasie rzeczywistym, również na analizy historyczne oraz tzw. data mining. Dzięki SIEM możliwa jest analiza trendów zachodzących w organizacji, określanie profili działania sieci, systemów czy użytkowników, a także wykonanie analiz śledczych (ang. forensic analysis).

Potęga technologii SIEM umożliwia stosunkowo niewielkiemu zespołowi bezpieczeństwa na znaczącą redukcję czasu pomiędzy atakiem i odpowiedzią na ten atak, a także na łączenie surowych danych rozproszonych w wielu podsystemach w spójną informację o monitorowanych systemach. Hewlett-Packard przejmując w 2010 roku firmę ArcSight, lidera rynku rozwiązań klasy SIEM , poszerzył swoje spektrum produktów z obszaru bezpieczeństwa informacji o trzy niżej opisane.

HP ArcSight Logger – to uniwersalne rozwiązanie do zarządzania logami, które łączy wyszukiwanie, raportowanie, alarmowanie i analizowanie wszelkiego rodzaju logów. Jest to unikalne rozwiązanie, które umożliwia gromadzenie, analizowanie i przechowywanie ogromnych ilości logów generowanych przez nowoczesne sieci i systemy. Większość dostępnych na rynku narzędzi do zarządzania logami zapewnia szybką analizę danych kosztem prędkości ich gromadzenia, efektywności przechowywania lub poprzez zastosowanie dodatkowego sprzętu. HP ArcSight Logger został zaprojektowany tak, aby umożliwić pojedynczej instancji zbieranie nieprzetworzonych logów z szybkością do 100 tys. zdarzeń na sekundę (EPS), kompresję i przechowywanie aż do 42 TB danych i wyszukiwanie z prędkością milionów zdarzeń na sekundę.

HP ArcSight Logger posiada funkcjonalność umożliwiającą analizę logów bez konieczności zrozumienia ich źródłowych formatów. Ponadto wszystkie nieprzetworzone logi wysyłane do HP ArcSight Logger’a są również w pełni indeksowane oraz dostępne do szybkiego wyszukiwania i raportowania za pośrednictwem prostego interfejsu przypominającego wyszukiwarkę Google. Interesujące wzorce wyszukiwania można łatwo przekształcić w alarmy generowane w czasie rzeczywistym, wysyłane poprzez SMTP,SNMP lub syslog. Pozwala to szybko wykryć i reagować na zagrożenia bezpieczeństwa.

HP ArcSight Logger dostępny jest w wielu wariantach, zarówno jako urządzenie jak i oprogramowanie, co pozwala spełnić wysokie wymagania klienta dotyczące zarządzania logami.

HP ArcSight Express – to proste, zautomatyzowane i opłacalne rozwiązanie dedykowane dla organizacji, które borykają się z rosnącą liczbą czynników zagrażających ich sieciom i informacjom o znaczeniu krytycznym, dysponujących ograniczonymi zasobami i doświadczeniem. HP ArcSight Express analizuje logi pochodzące z dowolnego urządzenia lub systemu w sieci, określa, czy dochodzi do potencjalnie niebezpiecznego lub niepożądanego zdarzenia i powiadamia administratorów, aby mogli podjąć odpowiednie kroki. Można powiedzieć, że HP ArcSight Express wykonuje pracę dedykowanego eksperta ds. bezpieczeństwa, przypisując odpowiednie priorytety zdarzeniom związanym z bezpieczeństwem poprzez umieszczanie ich w kontekście informacji jakie, gdzie i kiedy dane zdarzenie miało miejsce i jaki ma wpływ na daną organizację. Powiadamianie w czasie rzeczywistym pokazuje administratorom zdarzenia o najbardziej krytycznym znaczeniu pod względem bezpieczeństwa i zgodności, wraz z całym kontekstem niezbędnym do dalszej analizy i minimalizacji efektów naruszenia. HP ArcSight Express wspiera również rozwiązania dotyczące zgodności dostarczając rzetelne raporty zgodności, umożliwiając szybkie i łatwe przeprowadzanie audytów. HP ArcSight Express dostępny jest w postaci urządzeń (appliance).

HP ArcSight Enterprise Security Manager (ESM) – to potężna i elastyczna platforma do monitorowania zagrożeń i ryzyka, która może służyć do tworzenia zaawansowanych systemów zarządzania bezpieczeństwem, niezbędnych w walce z dzisiejszymi, złożonymi zagrożeniami.

HP ArcSight ESM oferuje zaawansowane możliwości gromadzenia,umożliwiając stworzenie największej biblioteki źródeł zdarzeń. Logi gromadzone są z ponad 300 źródeł zdarzeń, w tym systemów operacyjnych,urządzeń sieciowych (routery, przełączniki) i analizatorów sieci (dane Net-Flow, analizatory ruchu, NAC, NBA), rozwiązań w zakresie bezpieczeństwa (IPS/IDS, zapory ogniowe, sieci VPN, skanery luk), a także dzienniki z aplikacji,baz danych, rozwiązań do zarządzania tożsamością i serwerów internetowych / aplikacji internetowych. Zdarzenia z różnych urządzeń w obrębie tej samej grupy są normalizowane w celu ułatwienia analizy i monitorowania.

Pakiety rozwiązań zgodnościowych umożliwiają łatwe wdrożenie pakietów takich jak SOX, PCI, HIPAA, GLBA, monitorowanie użytkowników i zarządzanie zasobami IT. Należy również podkreślić, że rozwiązanie posiada unikatową funkcjonalność Identity View, która wprowadza do technologii SIEM powiązanie użytkowników ze zdarzeniami. Model użytkownika pozwala administratorom na skorelowanie wspólnych identyfikatorów,takich jak adresy e-mail, identyfikatory logowania i konta użytkowników i raportowanie ich wszystkich działań podejmowanych przez użytkownika w systemie, w obrębie aplikacji, kont i adresów IP. Korelowanie danych użytkownika z informacjami o zasobach pozwala analitykom skupić się na właściwych zdarzeniach zachodzących w środowisku. HP ArcSight ESM przydziela najwyższy priorytet uprzywilejowanym użytkownikom wykonującym nieautoryzowane działania w obrębie najbardziej krytycznych dla organizacji zasobów, dając gwarancję wykrycia najbardziej krytycznych zdarzeń, zanim dojdzie do naruszenia bezpieczeństwa.

Rozwiązanie HP ArcSight ESM dostępne jest w postaci oprogramowania lub jako urządzenie montowane w szafie stelażowej.

Autor: Bartosz Kamiński
Konsultant Wiodący ds. Bezpieczeństwa Informacji
HP Technology Consulting

Więcej informacji na temat oferty Hewlett-Packard dotyczącej bezpieczeństwa informacji można uzyskać pod adresem email:
bezpieczenstwo@hp.com lub pod numerem telefonu 22 565 77 00

Artykuł pochodzi z czerwcowego numeru kwartalnika DLP Expert - zobacz cały numer online

Kwartalnik DLP Expert jest wydawnictwem bezpłatnym dostępnym w subskrypcji.

Zaloguj się lub zarejestruj by pobrać kwartalnik w wersji elektronicznej albo zaprenumerować wydanie drukowane.

Źródło: Redakcja