QRadar, czyli rozważania o systemach SIEM: po co i dla kogo?

SIEM (Security Information and Event Management) tłumacząc bezpośrednio z języka angielskiego jest to oprogramowanie zbierające i zarządzające zdarzeniami z innych elementów infrastruktury IT.

Po co i dla kogo?

W pierwszej kolejności zajmijmy się drugim członem pytania postawionego w tytule. Czy firmy, które chcą wejść w świat zabezpieczeń IT powinny w pierwszej kolejności zainteresować się SIEM-em? Odpowiedź jest krótka i brzmi – „NIE”. Dlaczego? Przede wszystkim dlatego, że wdrażanie rozwiązania klasy SIEM w firmie w której nie mamy żadnego rozwiązania z dziedziny IT Security mija się z celem. Podstawową zaletą systemów SIEM jest zbieranie i zarządzenia zdarzeniami bezpieczeństwa z innych rozwiązań, które zostały zaprojektowane do wykrywania/blokowania zdarzeń w systemach/sieci środowiska IT, takimi jak np. IPS/IDS, FW, UEBA, EndPointSecurity, DBFW, AV itd. SIEM sam w sobie nie posiada narzędzi pozwalających na analizę zagrożeń na podstawie np. czystej komunikacji sieciowej, które występują w sieci/systemach IT, natomiast jego główną zaletą jest korelacja zdarzeń i wyciąganie na ich podstawie wniosków. Wynika z tego, że SIEM jest rozwiązaniem dla firm, które już posiadają choćby minimalną infrastrukturę IT Security, świadomość na temat możliwych zagrożeń i/lub rozbudowaną infrastrukturę, której wielkość uniemożliwia ręczne zarządzanie zdarzeniami z wielu źródeł (serwer, usługi, aplikacje, serwisy, endpoint-y itd.).

 

Mamy infrastrukturę IT Security, jaki SIEM wybrać?

Na rynku występuje wiele produktów typu SIEM pochodzących od różnych producentów i każdy dostawca rozwiązania podaje swoje jako „jedyne i słuszne” rozwiązanie, które „uleczy smutki i uratują wszystkie małe kotki” J. W rzeczywistości na wybór konkretnego konkretnego wpływ mają: czas administratora per miesiąc, czas kompletnego wdrożenia, ilość pracy przy zmianach infrastruktury IT (które będą wpływały na zmiany w regułach/ustawieniach SIEM-a), jakość wyników, łatwość integracji z innymi rozwiązaniami, ilość domyślnie zintegrowanych reguł korelacji itd. Jednym z głównych wyznaczników wyboru SIEM-a powinna być zakładana dostępność osób, które docelowo będą zajmowały się  „opieką” systemu. Jeżeli nie posiadamy osoby, która mogłaby pełnić w pełnym wymiarze godzin rolę administratora SIEM to należy rozpocząć poszukiwania narzędzia, które będzie posiadało znaczną bazę predefiniowanych reguł i ustawień a one z kolei wpłyną na czasochłonność prac administratorskich. Dlaczego większość rozwiązań SIEM jest tak czasochłonna w administrowaniu? Czasochłonność wynika z tego, że rozwiązania te są systemami statycznymi, które bazują na sztywnych regułach i założeniach, przez co wraz z upływem czasu i zmieniającymi się zagrożeniami wymagają ingerencji człowieka.

 

Czy na rynku są podobne narzędzia do systemów typu SIEM, lecz działające w oparciu o dynamiczne rozwiązania?

I tak i nie. Główną konkurencją podawaną przez, niektórych specjalistów dla systemu SIEM pod kątem wykrywania zagrożeń są rozwiązania typu UBA/UEBA bazujące na rozwiązaniach „User behavior analytics”, czyli analizie zachowań użytkownika bazując na analizie behawioralnej. Czym jest analiza behawioralna w kontekście zagrożeń bezpieczeństwa w środowisku IT? Analiza behawioralna czyli weryfikowanie zagrożeń na bazie ruchu sieciowego oraz aktywności systemowej w oparciu o mechanizmy uczenia maszynowego, które pozwalają wywnioskować zagrożenia na podstawie poprzednich aktywności. Dla zobrazowania działania mechanizmu podam przykład, który zostanie wykryty przez system UEBA/UBA: Pani Maria z HR próbuje się połączyć z sieci lokalnej na serwer administracyjny za pomocą protokołu SSH o godzinie 22. System wykrywa to jako zdarzenie/anomalię ze względu na fakt iż pani Maria głównie na co dzień korzysta z serwisów takich jak Linkedin/Pracuj/FB i nigdy wcześniej nie łączyła się z serwerem administracyjnym a tym bardziej nigdy wcześniej nie korzystała z połączenia SSH. Czy system UEBA/UBA wykluczając działanie systemu SIEM? Nie. System SIEM koreluje zdarzenia z wielu źródeł a nie je wykrywa więc nie ma konfliktu interesów (te narzędzia należy traktować jako dopełniające się rozwiązania niżeli bezpośrednia konkurencja).

 

Np. QRadar.

Jest to jeden z najlepszych systemów typu SIEM firmy IBM, który posiada wiele predefiniowanych reguł, które znacznie ograniczają wymuszoną ingerencję administratora nad systemem oraz mają najlepszą efektywność korelacji zdarzeń. Główne zalety rozwiązania Qradar: wiele gotowych reguł, intuicyjny interfejs, łatwość wdrożenie rozwiązania, duża łatwość w modyfikowaniu danych rozwiązań, transparentna cena w zależności od wielkości środowiska, wykresy Garnera, prosta integracja z innymi narzędziami itd. Ponadto system QRadar SIEM posiada w swojej ofercie dodatki odpowiedzialne za analizę behawioralną. Więcej na temat UBA/UEBA w przyszłych artykułach.

 

 

2017-10-12T12:32:30+00:00

Zostaw komentarz