Okolina je postala prava džungla! Neoprezni pojedinci vrebaju sa svih strana, ciljajući na vaše podatke. Možda ne vas lično, ali sigurno vaše digitalne tragove. Više nije dovoljno da se štitimo samo od virusa, već i od raznih napada koji mogu ugroziti vašu mrežu i celu organizaciju. Usled sve većeg broja sigurnosnih sistema, kao što su antivirusi, zaštitni zidovi i sistemi za detekciju upada, mrežni administratori se sada suočavaju sa preplavljenim informacijama koje moraju da analiziraju i povežu kako bi dobili smisao. Tu u pomoć priskaču sistemi za upravljanje sigurnosnim informacijama i događajima (SIEM). Oni preuzimaju na sebe lavovski deo posla vezanog za obradu ogromne količine podataka. Kako bi vam olakšali izbor SIEM sistema, predstavljamo vam najbolje alate za upravljanje sigurnosnim informacijama i događajima.
Današnju analizu započinjemo razgovorom o modernim pretnjama. Kao što smo već napomenuli, problem nisu samo virusi. Zatim ćemo detaljnije objasniti šta je zapravo SIEM i razmotriti različite komponente koje čine SIEM sistem. Neke od njih mogu biti važnije od drugih, ali njihov relativni značaj može varirati u zavisnosti od individualnih potreba. Na kraju, predstavićemo naš izbor od šest najboljih alata za upravljanje sigurnosnim informacijama i događajima (SIEM) i ukratko opisati svaki od njih.
Savremene Pretnje
Računarska sigurnost je nekada podrazumevala zaštitu isključivo od virusa. Međutim, poslednjih godina pojavile su se razne druge vrste napada. Oni mogu imati oblik napada uskraćivanjem usluge (DoS), krađe podataka i mnoge druge. Uz to, pretnje više ne dolaze samo iz spoljašnjeg okruženja, već i unutar mreže. Zbog toga su razvijeni različiti zaštitni sistemi, pored tradicionalnih antivirusa i zaštitnih zidova, sada imamo i sisteme za detekciju upada i prevenciju gubitka podataka (IDS i DLP).
Naravno, što više sistema uvodite, više posla imate sa njihovim upravljanjem. Svaki sistem prati određene parametre abnormalnosti, beležeći ih i/ili aktivirajući upozorenja kada se otkriju. Zar ne bi bilo korisno kada bi se praćenje svih ovih sistema moglo automatizovati? Štaviše, nekoliko sistema može otkriti različite faze određenog napada. Ne bi li bilo mnogo bolje kada biste mogli da reagujete na sve povezane događaje kao na jednu celinu? Upravo to je svrha SIEM sistema.
Šta je SIEM?
Sam naziv govori mnogo. Upravljanje sigurnosnim informacijama i događajima podrazumeva proces upravljanja sigurnosnim informacijama i događajima. Konkretno, SIEM sistem ne pruža nikakvu direktnu zaštitu. Njegova primarna svrha je da olakša rad mrežnim i sigurnosnim administratorima. Ono što tipičan SIEM sistem radi jeste da prikuplja informacije iz različitih sigurnosnih sistema i sistema za detekciju, povezuje sve te informacije grupišući povezane događaje i reaguje na značajne događaje na različite načine. Često SIEM sistemi uključuju i neki oblik izveštavanja i kontrolne table.
Osnovne Komponente SIEM Sistema
Sada ćemo detaljnije istražiti svaku glavnu komponentu SIEM sistema. Ne uključuju svi SIEM sistemi sve ove komponente, a čak i kada ih imaju, njihova funkcionalnost može varirati. Ipak, ovo su najosnovnije komponente koje se obično nalaze u svakom SIEM sistemu, u ovom ili onom obliku.
Prikupljanje i Upravljanje Dnevnicima
Prikupljanje i upravljanje dnevnicima je ključna komponenta svih SIEM sistema. Bez toga, SIEM ne bi postojao. SIEM sistem mora da prikuplja podatke iz različitih izvora. Može ih povlačiti ili ih drugi sistemi za detekciju i zaštitu mogu slati u SIEM. Pošto svaki sistem ima svoj način kategorizacije i beleženja podataka, zadatak SIEM-a je da normalizuje podatke i učini ih uniformnim, bez obzira na izvor.
Nakon normalizacije, prikupljeni podaci se često upoređuju sa poznatim obrascima napada, kako bi se što pre prepoznalo zlonamerno ponašanje. Podaci se takođe često upoređuju sa prethodno prikupljenim podacima kako bi se izgradila baza koja će dodatno poboljšati otkrivanje abnormalne aktivnosti.
Odgovor na Događaj
Kada se detektuje događaj, neophodno je reagovati na njega. Tu na scenu stupa modul za odgovor na događaj u SIEM sistemu. Odgovor na događaj može imati različite oblike. U svojoj osnovnoj implementaciji, poruka upozorenja će se generisati na sistemu konzole. Često se mogu generisati i e-mail ili SMS upozorenja.
Međutim, najbolji SIEM sistemi idu korak dalje i često pokreću neki korektivni proces. Ovo takođe može imati različite oblike. Najbolji sistemi imaju kompletan sistem radnog toka za odgovor na incidente, koji se može prilagoditi kako bi se obezbedio tačan odgovor koji vam je potreban. Kao što se očekuje, odgovor na incident ne mora biti isti za sve situacije, i različiti događaji mogu pokrenuti različite procese. Najbolji sistemi će vam dati potpunu kontrolu nad tokom odgovora na incidente.
Izveštavanje
Kada uspostavite sisteme za prikupljanje i upravljanje dnevnicima, kao i za odgovor na događaje, sledeći važan korak je izveštavanje. Možda toga niste svesni, ali izveštaji su neophodni. Višem rukovodstvu je potrebno da se uveri da se njihova investicija u SIEM sistem isplati. Pored toga, izveštaji su vam možda potrebni i zbog usklađenosti. Usklađenost sa standardima kao što su PCI DSS, HIPAA ili SOX može biti olakšana kada vaš SIEM sistem može da generiše izveštaje o usklađenosti.
Izveštaji možda nisu suština SIEM sistema, ali su ipak bitna komponenta. Često je izveštavanje ključni faktor koji razlikuje konkurentne sisteme. Izveštaja nikad nije previše. Naravno, najbolji sistemi će vam omogućiti da kreirate prilagođene izveštaje.
Kontrolna tabla
Na kraju, ali ne i najmanje važno, kontrolna tabla je vaš prozor u status vašeg SIEM sistema. Mogu postojati i više kontrolnih tabli. Pošto različiti ljudi imaju različite prioritete i interesovanja, savršena kontrolna tabla za mrežnog administratora će se razlikovati od one za sigurnosnog administratora, a izvršnom direktoru će biti potrebna potpuno drugačija.
Iako se SIEM sistem ne može oceniti samo na osnovu broja kontrolnih tabli, važno je odabrati sistem koji ima sve kontrolne table koje su vam potrebne. Ovo je definitivno nešto što treba da imate na umu prilikom procene dobavljača. Kao i kod izveštaja, najbolji sistemi će vam omogućiti da kreirate prilagođene kontrolne table po vašem ukusu.
Naših 6 Najboljih SIEM Alata
Postoji mnogo SIEM sistema. Previše ih je, u stvari, da bismo mogli da ih sve analiziramo ovde. Zato smo pretražili tržište, uporedili sisteme i sastavili listu od šest najboljih alata za upravljanje sigurnosnim informacijama i događajima (SIEM). Navodimo ih po našem izboru i ukratko ćemo opisati svaki od njih. Iako su navedeni po određenom redosledu, svih šest su odlični sistemi koje vam toplo preporučujemo da isprobate sami.
Evo naših top 6 SIEM alata:
SolarWinds Log & Event Manager
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (BESPLATNA 30-dnevna probna verzija)
SolarWinds je poznato ime u svetu mrežnog nadzora. Njihov vodeći proizvod, Network Performance Monitor, je jedan od najboljih alata za praćenje SNMP protokola. Kompanija je takođe poznata po svojim brojnim besplatnim alatima, kao što su Subnet Calculator ili SFTP server.
SolarWindsov SIEM alat, Log and Event Manager (LEM), najbolje se može opisati kao SIEM sistem početnog nivoa. Međutim, to je verovatno jedan od najkonkurentnijih sistema za početnike na tržištu. SolarWinds LEM ima sve što možete očekivati od SIEM sistema. Ima odlične karakteristike upravljanja i korelacije dnevnika, kao i impresivan mehanizam izveštavanja.
Što se tiče funkcija odgovora na događaje u alatu, one su izuzetne. Detaljan sistem odgovora u realnom vremenu aktivno reaguje na svaku pretnju. A pošto se zasniva na ponašanju, a ne na potpisima, zaštićeni ste od nepoznatih ili budućih pretnji.
Međutim, kontrolna tabla alata je verovatno njegova najbolja prednost. Jednostavnog dizajna, nećete imati problema da brzo identifikujete anomalije. Početna cena je oko 4.500 dolara, što ga čini pristupačnim. Ako želite prvo da ga isprobate, dostupna je besplatna, potpuno funkcionalna probna verzija od 30 dana.
2. Splunk Enterprise Security
Verovatno jedan od najpopularnijih SIEM sistema, Splunk Enterprise Security– ili Splunk ES, kako ga često nazivaju – posebno je poznat po svojim analitičkim sposobnostima. Splunk ES prati podatke vašeg sistema u realnom vremenu, tražeći ranjivosti i znakove abnormalne aktivnosti.
Sigurnosni odgovor je još jedna od jakih strana Splunk ES-a. Sistem koristi ono što Splunk naziva Adaptive Response Framework (ARF) koji se integriše sa opremom više od 55 dobavljača sigurnosti. ARF sprovodi automatizovan odgovor, ubrzavajući ručne zadatke. Ovo vam omogućava da brzo steknete prednost. Dodajte tome jednostavan i pregledan korisnički interfejs i dobijate dobitnu kombinaciju. Ostale korisne karakteristike uključuju funkciju „Notables“ koja prikazuje korisnički prilagodljiva upozorenja i „Asset Investigator“ za obeležavanje zlonamernih aktivnosti i sprečavanje daljih problema.
Splunk ES je proizvod namenjen prvenstveno preduzećima i ima cenu koja odgovara njegovom nivou kvaliteta. Informacije o cenama ne možete pronaći na Splunkovom veb-sajtu, već morate kontaktirati odeljenje prodaje. Bez obzira na njegovu cenu, ovo je odličan proizvod i možda bi trebalo da kontaktirate Splunk i iskoristite besplatnu probnu verziju.
3. RSA NetWitness
Od 20016. godine, NetWitness se fokusirao na proizvode koji podržavaju „duboku mrežnu situacionu svest u realnom vremenu i agilan mrežni odgovor“. Nakon što ga je kupio EMC, koji se potom spojio sa Dell-om, NetWitness poslovanje je sada deo RSA ogranka korporacije. To je dobra vest, jer je RSA poznato ime u oblasti sigurnosti.
RSA NetWitness je idealan za organizacije koje traže kompletno rešenje za analizu mreže. Alat uključuje informacije o vašem preduzeću, što pomaže u određivanju prioriteta upozorenja. Prema RSA, sistem „prikuplja podatke na više tačaka hvatanja, računarskih platformi i izvora obaveštajnih podataka o pretnjama od drugih SIEM rešenja“. Tu je i napredno otkrivanje pretnji koje kombinuje analizu ponašanja, tehnike nauke o podacima i obaveštajne podatke o pretnjama. Konačno, napredni sistem reagovanja poseduje mogućnosti orkestracije i automatizacije kako bi vam pomogao da uklonite pretnje pre nego što utiču na vaše poslovanje.
Jedan od glavnih nedostataka RSA NetWitness-a je što ga nije najlakše koristiti i konfigurisati. Međutim, dostupna je sveobuhvatna dokumentacija koja vam može pomoći u postavljanju i korišćenju proizvoda. Ovo je još jedan proizvod za preduzeća, pa ćete morati da kontaktirate prodaju da biste dobili informacije o cenama.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager pomaže u identifikaciji i određivanju prioriteta sigurnosnih pretnji, organizovanju i praćenju aktivnosti odgovora na incidente i pojednostavljivanju aktivnosti revizije i usklađenosti. Ranije se prodavao pod brendom HP, a sada se spojio sa Micro Focus-om, još jednom HP-ovom podružnicom.
Sa više od petnaest godina iskustva, ArcSight je još jedan izuzetno popularan SIEM alat. On prikuplja podatke iz različitih izvora i vrši opsežnu analizu podataka, tražeći znakove zlonamerne aktivnosti. Da biste brzo identifikovali pretnje, možete pogledati rezultate real-time analize.
Evo kratkog pregleda glavnih karakteristika proizvoda. Ima moćnu distribuiranu korelaciju podataka u realnom vremenu, automatizaciju toka posla, sigurnosnu orkestraciju i bezbednosni sadržaj koji vodi zajednica. Enterprise Security Manager se takođe integriše sa drugim ArcSight proizvodima, kao što su ArcSight Data Platform i Event Broker ili ArcSight Investigate. Ovo je još jedan proizvod za preduzeća – kao skoro svi kvalitetni SIEM alati – za koji ćete morati da kontaktirate ArcSightov prodajni tim da biste dobili informacije o cenama.
5. McAfee Enterprise Security Manager
McAfee je svakako još jedno veliko ime u industriji sigurnosti. Međutim, poznatiji je po proizvodima za zaštitu od virusa. Enterprise Security Manager nije samo softver, već i uređaj. Možete ga dobiti u virtuelnom ili fizičkom obliku.
Što se tiče njegovih analitičkih sposobnosti, McAfee Enterprise Security Manager mnogi smatraju jednim od najboljih SIEM alata. Sistem prikuplja dnevnike sa širokog spektra uređaja. Takođe je izuzetan u pogledu svojih mogućnosti normalizacije. Korelacijski mehanizam lako kombinuje različite izvore podataka, što olakšava otkrivanje sigurnosnih događaja dok se dešavaju.
Da budemo iskreni, McAfee rešenje obuhvata više od samog Enterprise Security Managera. Za kompletno SIEM rešenje, potreban vam je i Enterprise Log Manager i Event Receiver. Srećom, svi proizvodi se mogu objediniti u jednom uređaju. Za one koji žele da isprobaju proizvod pre kupovine, dostupna je besplatna probna verzija.
6. IBM QRadar
IBM, verovatno najpoznatije ime u IT industriji, uspeo je da razvije svoje SIEM rešenje. IBM QRadar je jedan od najboljih proizvoda na tržištu. Alat omogućava sigurnosnim analitičarima da otkriju anomalije, napredne pretnje i uklone lažne pozitivne rezultate u realnom vremenu.
IBM QRadar se može pohvaliti paketom funkcija za upravljanje dnevnicima, prikupljanje podataka, analitiku i detekciju upada. Zajedno, oni pomažu da vaša mrežna infrastruktura bude u funkciji. Postoji i analitika modeliranja rizika koja može simulirati potencijalne napade.
Neke od ključnih karakteristika QRadar-a uključuju mogućnost postavljanja rešenja na lokalnoj mreži ili u cloud okruženju. To je modularno rešenje i može se brzo i jeftino dodati više memorije i procesorske snage. Sistem koristi obaveštajnu ekspertizu iz IBM X-Force-a i neprimetno se integriše sa stotinama IBM-ovih i ne-IBM proizvoda.
Pošto je IBM IBM, možete očekivati da ćete platiti premium cenu za njihovo SIEM rešenje. Ako vam je potreban jedan od najboljih SIEM alata na tržištu, QRadar bi mogao da bude vredan investicije.
Zaključak
Jedini problem sa kojim se možete suočiti prilikom kupovine najboljeg alata za praćenje sigurnosnih informacija i događaja (SIEM) je preveliki izbor odličnih opcija. Upravo smo predstavili šest najboljih, od kojih su svi odlični izbori. Onaj koji ćete izabrati će u velikoj meri zavisiti od vaših konkretnih potreba, budžeta i vremena koje ste spremni da posvetite njegovom postavljanju. Nažalost, početna konfiguracija je uvek najteži deo i tu stvari mogu poći naopako, jer ako SIEM alat nije ispravno konfigurisan, neće moći da obavlja svoj posao kako treba.
Tekst 50 – 2300