Manažer bezpečnosti: Optimální využití SIEM

6. 7. 2013

Sdílet

 Autor: © Tommi - Fotolia.com
Šéf IT není přesvědčen o dostatečné hodnotě investic do nástroje SIEM pro správu událostí a incidentů zabezpečení.

Trouble Ticket
Co řešit: Ředitel IT chce znát návratnost investic do nástroje SIEM ještě před povolením rozšíření jeho nasazení.
Akční plán: Najít nové způsoby, jak odvodit hodnotu z nástroje SIEM.

Náš ředitel IT i nadále pokračuje ve zpochybňování hodnoty naší investice 250 tisíc dolarů do nástroje pro správu událostí a incidentů zabezpečení (SIEM, Security Incident and Event Management). Chci po něm v rozpočtu na příští rok více peněz, aby bylo možné SIEM rozšířit i do dalších našich regionů, a on chce vědět, co za ty peníze dostane.

Moje obvyklá odpověď je, že můžeme lépe odhalit škodlivou aktivitu v síti díky sofistikovaným korelačním pravidlům, které můžeme vytvořit. To mu však nestačí, takže musím myslet nekonvenčně.

Jeden nápad jsem dostal během setkání s naším manažerem auditů a rizik, který zmínil, že jednou z jeho povinností je provádět audit finančního systému. Tato poznámka mě vedla k vytvoření pravidla, které sleduje, kdo se přihlašuje do finančního systému a jaké protokoly jsou vytvářeny při vykonání finančních transakcí, jako jsou vystavení šeku nebo zpracování platby při elektronickém přenosu finančních prostředků.

Toto pravidlo říká, že kdykoliv je vystaven šek pro přihlášenou osobu nebo pro libovolného zaměstnance, mělo být dojít k vydání odpovídajícího varování. Další nové pravidlo zase vygeneruje upozornění, když se někteří lidé přihlašují do systému s neobvyklou četností za den.

Také jsem zaměřil svou pozornost na účty správců domény. Držitelé těchto účtů si například mohou zobrazit e-maily, kalendář i kontakty našeho šéfa IT nebo se u libovolné osoby podívat na sdílený disk, počítač nebo knihovnu dokumentů Microsoft SharePoint.

Když jsem poprvé přišel do této firmy, byly účty správy domény doslova rozdávány jako lízátka. Pokud jste například byli zařazeni na pracoviště technické podpory, automaticky jste takové oprávnění dostali.

Jsi nový správce IT? Zde máš účet správce domény. Vítejte v naší společnosti! Od té doby jsem tuto praxi zarazil a zavedl podmínky k vytvoření účtu správy domény, mezi které patří můj souhlas. Tato opatření pomohla snížit počet účtů správy domény o 60 %.

Čas od času však stále dochází k vytvoření takových účtů i bez mého souhlasu. Vytvořil jsem proto pravidlo v našem nástroji SIEM k zaznamenání událostí spojených s identity managementem, když dojde k vytvoření účtu správy domény – a samozřejmě nastane také varování. Pokud vidím, že nebyl udělen souhlas, dojde k řešení problému.


SIEM pozoruje DMZ
Také jsem si všiml možnosti využívat nástroj SIEM při mých snahách lépe kontrolovat umístění zdrojů v DMZ (demilitarizovaná zóna), což je část naší sítě, která je dostupná z internetu.

Jak jsem již vysvětlil dříve, zdroje v DMZ jsou v zaměřovačích hackerů a dalších zlomyslných jedinců. I když jsem tvrdě zakročil proti zdrojům, které zbytečně způsobovaly naši zranitelnost, a odstranil je, nebylo snadné identifikovat všechny nebezpečné počítače, které jsou umístěny v nějaké z mnoha našich DMZ.

Skutečnost, že se náš ředitel IT velmi zajímá o problémy s DMZ, významně zvyšuje atraktivitu monitorování DMZ pomocí SIEM. Napsal jsem tedy pravidlo pro detekci nových IP adres přidaných do sítí DMZ porovnáním dat s našimi skeny Nessus. Je-li zdroj přidán bez souladu s řízením změn nebo bez přezkoumání architektury, nastane odpovídající reakce.

Moje nová pravidla mi poskytla solidnější odpověď, až se mne příště ředitel IT zeptá na návratnost investic, kterou lze očekávat v souvislosti s nasazením nástroje SIEM.

Kromě standardní odpovědi, že jsme zabránili úniku citlivých dat ze společnosti prostřednictvím tajných kanálů řídicích serverů hackerů, mohu říci, že jsme zabránili přidání deseti neautorizovaných serverů do jím bedlivě sledované DMZ a také jsme zabránili čtyřem uživatelům ve zbytečné možnosti číst jeho e-maily.

Z finančního systému dosud žádné údaje nejsou, ale když budou, myslím, že to našeho šéfa IT konečně přesvědčí.

bitcoin školení listopad 24


Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.


Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.