Návratnost investic do nástroje SIEM

Trouble Ticket
Co řešit: CIO a finanční ředitel chtějí vědět, jaký přínos mělo 200 tisíc dolarů vynaložených na nástroj SIEM.
Akční plán: Ukázat jim, jak to pomohlo ochránit duševní vlastnictví.

Náš nástroj SIEM (Security Information and Event Management) funguje už téměř čtyři měsíce. Teď nastal čas účtování. Ne ale toho doslovného – více než dvě stě tisíc dolarů jsme za naši omezenou implementaci už zaplatili. Nyní však chtějí CIO s finančním ředitelem vědět, jaký užitek tyto investované peníze přinášejí. To je velmi dobrá otázka, a tak nyní musím připravit správnou odpověď.

Ne že bych si nebyl jistý, že se právě tento produkt vyplatil. Potřebuji ale shromáždit závažná fakta, abych to zmíněným manažerům doložil.

V současnosti zaměstnáváme analytika, který tráví cca 20 % svého času údržbou, laděním a analýzou našeho systému SIEM, jeho datových výstupů a také reagováním na bezpečnostní události, které nastávají. Přál bych si, aby tomu mohl věnovat více času, ale máme bohužel ctižádostivý program ochrany dat a jen omezené lidské zdroje.

Naše nová infrastruktura nicméně situaci mění. Nyní dokážeme sledovat aktivity a formulovat události na základě dat, která jsme dříve neměli k dispozici. Můžeme například jednoznačně identifikovat počítače a servery infikované malwarem, který otevírá tajné kanály pro řídicí servery umístěné například v Rusku a Číně, nebo můžeme určit neautorizované pokusy o přístup k našim důležitým aplikacím finančního či personálního oddělení.

Vytvářím pro našeho CIO i finančního ředitele prezentaci v PowerPointu týkající se správy zranitelností se speciálním zaměřením na nasazení nástroje SIEM. Chci jim ukázat, že právě SIEM není pouhým zdrojem alarmů ohledně bezpečnostních událostí, ale že také hraje zásadní roli v naší důkladné obranné strategii.

Tato taktika vychází z mé zkušenosti bezpečnostního profesionála, že neexistuje žádné jediné zázračné řešení. Potřebujeme více technologií. Kromě sběru dat událostí ze SIEM získáváme další údaje o incidentech z našich firewallů, skenerů zranitelností, od antivirového softwaru a také od dalších subjektů, jako jsou třeba vládní agentury.

Je to nezbytné, protože nehledě na to, kolik dat do SIEM vložíme, stejně zůstanou věci, které mezerami proklouznou. Některé z ostatních reportů jsou méně komplikované. Systém SIEM i firewally mi třeba umožňují vytvářet zprávy týkající se porušení přijatelného použití zdrojů – jako je třeba použití nepovoleného softwaru pro vzdálený přístup (jako Symantec pcAnywhere), avšak reporty z firewallů jsou vizuálně zajímavější.

Se systémem SIEM bych musel vynaložit mnohem více úsilí, abych data dostal do patřičného formátu.

Moje prezentace bude obsahovat určité vysvětlení významu a funkcí nástroje SIEM, abych si zajistil, že posluchači budou rozumět tomu, co říkám. Poté proberu architekturu a rozsah či typy dat, kterými systém plníme, a událostí, které dokážeme generovat. Vysvětlím též, kdo jak na které události reaguje.

K jádru věci
Skutečně zajímavé však bude popisovat vše v peněžním vyjádření, tedy jak se nám vracejí investice. Tento úkol bude obtížnější, protože návratnost investic (ROI) lze měřit jen za určitou dobu. Ukážu však například, že pokud bychom SIEM neměli, nezpozorovali bychom určité události, které by vedly ke ztrátě duševního vlastnictví. Nebudu jim, doufám, muset vysvětlovat finanční dopady toho, co by se stalo, kdyby naši konkurenti získali náš zdrojový kód, obchodní plány a seznamy zákazníků.

Mohu také ukázat, že proaktivní odhalování nebezpečných hrozeb ještě před jejich rozšířením šetří náklady i naší lince technické podpory a omezuje ztráty produktivity (například když musí dojít k přeinstalaci počítače zaměstnance).

V hrubých číslech mohu zdůraznit události, které odhalil systém SIEM ve srovnání s kombinací všech našich ostatních detekčních metod. Už toto číslo samo o sobě ospravedlňuje investice do nástroje SIEM a mohlo by mi zajistit schválení dalších finančních prostředků do rozšiřování nasazení SIEM nad rámec nyní monitorovaných 40 % datových přenosů.

Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera bezpečnosti napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.