Prečko 1a, Zagreb
+385 1 3855 855
Uskoro smo u 2025. SIEM ne smije biti problem.

Uskoro smo u 2025. SIEM ne smije biti problem.

Piše: Tomislav Pongrac

Kad razgovaram o SIEM-u imam osjećaj kao da razgovaram o nekoj jako staroj tehnologiji. Nešto kao Fortran, Cobol ili DECnet (pitam se tko uopće zna za DECnet). Tehnologija je toliko dugo na tržištu da se čini da je među nama oduvijek. Nešto kao i dobri stari firewall.

Zaista, čini se da su i sami proizvođači počeli izbjegavati naziv “SIEM”.

Neki dodaju fancy imena, npr. Exabeam: Fusion SIEM, Securonix: Unified Defense SIEM.

Neki jednostavno izbjegavaju tu riječ, npr. Splunk (sad dio Cisca): Enterprise Security, Microsoft: Sentinel, Palo Alto: XSIAM.

Osim samog imena, i SIEM kao funkcija je značajno evoluirao. Proizvođači u njega rutinski dodaju funkcije koje se nekako prirodno nadovezuju uz ono što je SIEM-u tradicionalno core business: prikupljanje logova iz najrazličitijih izvora, njihova obrada, korelacija, analitika i prezentacija.

Npr. često se dodaju

  • UEBA – za praćenje anomalija u ponašanju korisnika i uređaja
  • osnovni SOAR – za automatizaciju i orkestraciju akcija
  • endpoint agenti – za dublje prikupljanje informacija s krajnjih računala
  • threat intelligence feedovi – obavezno za obogaćivanje alerata dodatnim informacijama

 

Problem

I tako, tehnologija je dugo s nama, proizvođači je kontinuirano obogaćuju novim funkcijama, u popisu je najosnovnijih sigurnosnih alata, ali i dalje često predstavlja nepremostiv problem za korisnike. Relativno su rijetke kompanije u kojima je SIEM implementiran na puni i zadovoljavajuć način.

Najčešće se izdvajaju 3 problema:

  • Visoka cijena
    • Uobičajeno je licenciranje kroz godišnju pretplatu u kojoj se plaća određena količina događaja u sekundi ili količina logova.
    • Ako se integriraju svi potrebni sustavi, to će sigurno imati za posljedicu značajnu količinu događaja. To će se onda reflektirati i u povećanoj cijeni.
  • Nema se tko za njega brinuti
    • Nema ljudi koji bi se alocirali za kontinuiranu njegu SIEM-a. Alerte treba pogledati, obraditi, politike i algoritme treba prilagođavati
  • Za integracije je potrebna velika količina različitih stručnjaka
    • Svaki od sustava koji se integrira treba svog domain experta koji će znati što je važno za njegovo područje

 

Rješenje

U svojoj osnovi, SIEM se koristi za 2 temeljna primjera upotrebe (ili use case-a):

  • “Ne dogodilo se”
    • Situacija u kojoj se dogodila kompromitacija i potrebno je odraditi forenzičku analizu koja će pokazati što je afektirano, koji je bio vektor i vrijeme ulaska
    • Sve podloge za ovakvu analizu mogu se dobiti iz dobro konfiguriranog SIEM-a
  • “Business as usual”
    • Događaji na SIEM-u se prate i obrađuju kako pristižu
    • Izdvajaju se najsumnjiviji alerti i po njima se izvršavaju akcije: zovu se korisnici, izvršavaju akcije na sigurnosnoj, mrežnoj i sistemskoj opremi

Prvi primjer upotrebe predstavlja apsolutni minimum koji bi svatko trebao imati. U pravilu se može realizirati bez velikog troška u 2 osnovna koraka:

  1. Implementirati open source Elasticsearch ili čak najosnovniji log management.
  1. Integrirati ga s minimalno potrebnim sustavima (Microsoft i Linux serveri, osnovni mrežni servisi, DNS, DHCP, firewall, VPN, autentifikacijski sustavi)

Ovime će se riješiti prvi use case. U situaciji “ne dogodilo se” imat ćemo izvor logova koje će forenzički timovi sigurno tražiti. Ovaj će izvor dati dragocjene informacije o vektorima kompromitacije, njenom utjecaju i opsegu. Bez SIEM-a odnosno log managementa forenzički timovi bi bili prisiljeni koristiti izravan pristup opremi kako bi skupili logove i informacije. Ne jednom sam naišao na situaciju u kojoj – eto Murphy – logovi na opremi se vide samo zadnjih n dana. Naravno da je sve upućivalo da je vrijeme prve kompromitacije bilo prije n + 1 dan.

Dobro posložen i zaštićen SIEM/log management to rješava.

Drugi use case je malo kompliciraniji, ali i njega se može riješiti bez ogromnog stresa. Najviše posla i mjesto gdje se najviše firmi spotakne nije implementacija, nego to su praćenje i prilagodbe (tuning) pravila. To je posao koji traži upornost. (Skoro) svaki dan spojiti se na sustav, prepoznati false positive alerte, njih maknuti i spriječiti da se drugi put pojave. S druge strane na true positive alerte treba adekvatno reagirati. Ovdje za prve “good enough” rezultate ne treba trošiti enormne resurse. U srednje velikoj organizaciji često i 1-2 sata dnevno može biti dovoljno za postizanje vidljivih početnih poboljšanja.


Naš pristup

SIEM je jedan od alata kojim se koristimo preko 15 godina. S QRadarom smo radili dok je još bio u Q1Labs (prije IBM akvizicije), a danas, osim s QRadarom, radimo i s nizom drugih komercijalnih rješenja i, naravno, opensource Elasticsearch stackom. Često pomažemo korisnicima u implementaciji, ali i praćenju i prilagodbama nakon instalacije. Dodatnu vrijednost u fazi praćenja i optimizacije čini naš tim domain experta (Microsoft, Linux, mrežni i sigurnosni eksperti) koji je u stanju izraditi ili prilagoditi pravila koja će brzo identificirati potencijalno opasne aktivnosti. Tome dodajemo i naš Data Science tim koji koristi AI algoritme za prepoznavanje anomalija u velikoj količini logova. Ne treba zaboraviti i eksperte našeg DevOps & Automation tima koji se, zajedno s domenskim stručnjacima, brinu za uspješnu integraciju svih elemenata (uključujući i onih koji nisu previše integration i API friendly).

Ovakav pristup odgovara na sva tri inicijalno identificirana problema i omogućava uspješnu implementaciju ove esencijalne sigurnosne funkcije.

Vraćam se na naslov. S obzirom na svoju važnost, SIEM danas više nikako ne smije biti problem već učinkoviti dio svake cyber obrane.

Povratak na Novosti