Prípadová štúdia Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme Implementácia riešenia na zber a vyhodnocovanie bezpečnostných udalostí a incidentov (SIEM)
Pôvodný stav: Požiadavky: Základnými požiadavkami na implementáciu riešenia na zber a vyhodnocovanie bezpečnostných udalostí a incidentov (SIEM), bola interná potreba využívania jednotného centrálneho manažmentu na vyhodnocovanie logov, ako aj požiadavka z externého auditu, ktorý poukázal na tento chýbajúci prvok z pohľadu bezpečnosti. Cieľom teda bolo nielen naplnenie požiadaviek auditu, ale aj poskytnutie silného nástroja na správu bezpečnosti v rámci informačného systému. Pred samotným nasadením bolo potrebné zodpovedať otázky týkajúce sa technických parametrov nasadzovaného riešenia, aktuálnej úrovne logovania v zmysle požiadaviek legislatívy a bezpečnosti jednotlivých komponentov IT infraštruktúry. Analytická fáza je totižto dôležitou súčasťou implementácie SIEM riešenia, nakoľko poskytuje základné vstupné údaje a prehľad stavu integrovaných systémov. Z tohto dôvodu sme pred samotnou implementáciou vykonali analýzu legislatívnych a regulatórnych požiadaviek vo vzťahu k spracovaniu logov, analýzu existujúceho stavu z pohľadu aktuálnej úrovne logovania na jednotlivých systémoch vrátane dopadov na tieto systémy v prípade, ak by sa menila úroveň logovania na požadovaný rozsah. Výstupmi z tejto analýzy boli: Analýza požiadaviek a prostredia Návrh logovania Na základe týchto výstupov bolo možné detailne definovať jednotlivé výkonnostné, kapacitné a prevádzkové požiadavky na samotné riešenie SIEM. Zákazník tiež získal kalkuláciu dopadov na jednotlivé integrované systémy a aj jadro SIEM v prípade, že by sa rozhodol zvýšiť úroveň logovania na požadovanú úroveň.
Implementácia Implementácia prebiehala vo viacerých fázach, v súlade s výstupmi úvodnej časti. Prvým krokom bola inštalácia jadra riešenia, ktorá bola realizovaná vo virtuálnom prostredí zákazníka. Kapacitné a výkonnostné požiadavky na jadro riešenia, najmä potrebný diskový priestor na ukladanie zozbieraných logov, bol v zmysle výstupov nadimenzovaný v dostatočnej miere tak, aby spĺňal požiadavky na efektívnu prácu so SIEM-om, vrátane uchovávania a archivácie údajov. Súčasťou tejto inštalácie bola konfigurácia jednotlivých súčastí a komponentov SIEM tak, aby bolo jadro aktualizované a pripravené na ďalšiu fázu. Následne sme v spolupráci s príslušnými správcami jednotlivých systémov pristúpili k integrácií zdrojov. Súčasťou integračného procesu boli taktiež úpravy logovania jednotlivých integrovaných systémov aby poskytovali relevantné informácie, na základe ktorých bolo možné naplniť navrhované use casy. Priebežne počas integrácie sme realizovali úpravu korelačných pravidiel takým spôsobom, aby sme v maximálnej možnej miere dosiahli efektívne vyhodnocovanie spracovávaných udalostí aj napriek tomu, že do systému ešte neboli integrované všetky zdroje. Týmto prístupom mal zákazník okamžitý prehľad o tom, aké udalosti a incidenty Implementáciou SIEM riešenia získal manažment spoločnosti predovšetkým istotu kontroly nad hrozbami v informačnej bezpečnosti s možnosťou reagovať na ne. V reálnom čase. Pavol Dovičovič, Senior IT security specialist spoločnosti EMM
Prevádzkovanie informačných systémov si v súčasnosti vyžaduje dostupnosť informácií o aktuálnom stave a úrovni bezpečnosti. Dôležitým faktorom efektívne pracujúceho bezpečnostného systému je predovšetkým schopnosť priebežne poskytovať informácie o stave bezpečnostných opatrení, ktoré sú implementované na ochranu informačných aktív. Implementáciou SIEM riešenia v spoločnosti sme získali sofistikovaný nástroj, ktorý tieto požiadavky napĺňa. Michal Michalec, Security Officer spoločnosti Wüstenrot sa vyskytujú v informačnom systéme ešte pred finálnym ukončením celej implementácie. Riešenie teda poskytovalo ucelený pohľad na bezpečnostné udalosti krátko po začatí jeho implementácie, čo výrazne urýchlilo celý proces konfigurácie a optimalizácie. Po zaintegrovaní všetkých požadovaných zdrojov udalostí prebehlo finálne ladenie celého riešenia, ktoré obsahovalo úpravu korelačných pravidiel, optimalizáciu indexovania udalostí, úpravy reportov a false positive udalostí. Vzhľadom na rozsah činností a objem analyzovaných zdrojov sa tento projekt podarilo uskutočniť v plánovanom rozsahu troch mesiacov od úvodného kick-off stretnutia, až po odovzdanie kompletného riešenia do správy zákazníka. V súčasnosti poskytujeme zákazníkovi podporu pri riešení incidentov a pri realizácií špecifických požiadaviek na úpravu pravidiel, integráciu štandardných a aj neštandardných zdrojových systémov.
Čo prináša SIEM riešenie Bezpečnostný systém, ktorý slúži na ochranu aktív v súčasnosti predstavuje množstvo implementovaných bezpečnostných mechanizmov od rôznych výrobcov. Z hľadiska bezpečnosti je kritickým faktorom schopnosť poskytnúť informácie o aktuálnom stave bezpečnosti informačného systému ako celku v reálnom čase. Práve SIEM riešenia, ktoré v reálnom čase poskytujú relevantné informácie z monitorovaných častí, poskytujú možnosti okamžitej identifikácie a reakcie na vzniknuté udalosti alebo ohrozenia. Rovnako sú k dispozícii uchovávané záznamy pre potreby spätných analýz a vyšetrovania bezpečnostných incidentov. SIEM riešenia okrem toho prinášajú: Analýzu sieťovej prevádzky Detekciu zraniteľností Detekciu anomálií Risk management Incident management
EMM, spol. s r. o., Sekurisova 16, 841 02 Bratislava 42 tel +421 2 602 54 111, fax +421 2 602 54 901 www.emm.sk