SIEM a DLP: sňatek, který dává smysl

22. 2. 2011

Sdílet

Problematika SIEM, tedy správy a analýzy bezpečnostních logů z informačního systému, a DLP, tedy ochrany citlivých dat před jejich únikem z firmy, spolu již na první pohled velice úzce souvisí.

Ano, společnost RSA vám nabídnout dvě oddělená sofistikovaná řešení pro správu logů a pro monitoring citlivých dat. Nové reporty, podpora více systémů, jednoduchá správa -- jako taková ta vábnička na nové zákazníky. Ale my jsme řekli ne! Uvědomili jsme si, že vzájemná symbióza a propojení těchto dvou řešení je přesně to, co budou zákazníci v blízké době hledat. Praxe ukazuje, že jsme měli pravdu.

 

Problematika SIEM, tedy správy a analýzy bezpečnostních logů z informačního systému, a DLP, tedy ochrany citlivých dat před jejich únikem z firmy, spolu již na první pohled velice úzce souvisí. Ostatně, který „bezpečák" zodpovědný za správu citlivých data ve firmě by neocenil mít kompletní přehled o tom, kdo a kam ve firmě přistupuje k citlivým datům a co s nimi následně dělá? Všichni, se kterými jsem měl možnost na tato témata v posledních měsících hovořit, aktuálně takové řešení hledají.

Až do května minulého roku ale nebyl na trhu dodavatelů nikdo, kdo by mohl zákazníkům takové řešení nabídnout. Buď vám nabídli řešení SIEM pro sledování systémů, nebo řešení DLP pro monitoring citlivých dat. Řešení SIEM a DLP jsme tedy u nás v RSA jako první za vás propojili, otestovali a dnes vám ho s hrdostí lídra v této blasti nabízíme.

 

SIEM – RSA enVision Platform

První částí integrovaného řešení je produkt RSA enVision, který reprezentuje oblast SIEM, tedy sběru logů ze systémů a aplikací, jejich bezpečné uchování, analýzu a transformaci do smysluplných informací, alertů, reportů, atd.

Pokud vás tedy okolnosti (interní/externí bezpečnost či legislativa) tlačí do lepšího monitoringu vlastní informační infrastruktury a potřebujete přesně vědět, co se v ní v každém okamžiku děje, pak potřebujete RSA enVision. Tato platforma pro vás bude v reálném čase sbírat desetitisíce událostí z tisíců vašich systémů a tyto události okamžitě využívat ve váš prospěch.

Vůbec přitom nejde o to, jak heterogenní a distribuovanou infrastrukturu provozujete. RSA enVision může sbírat data buď jen z několika serverů v jednom datovém centru, nebo naopak z tisíců serverů, síťových zařízení, aplikací, databází a dalších systémů roztroušených po celém světě.

Systém dokonce umožňuje sbírat a analyzovat logy z aplikací, které jste si sami vyvinuli, a je tedy otevřený pro jakékoliv budoucí aplikace a systémy. Operátoři a bezpečnostní analytici pak jen on-line sledují případné incidenty a jejich souvislosti, generují reporty, a na základě detailních informací provádějí případné opravné zásahy.

 

DLP – RSA Data Loss Prevention Suite

Druhou částí řešení je produkt RSA Data Loss Prevention Suite (dále jen RSA DLP), které je schopno na základě obsahu dokumentu rozpoznat jeho „citlivost" a podle toho omezit uživatele s jeho nakládáním. Na rozdíl od SIEM řešení se tedy oblast DLP nezabývá logy a jejich analýzou, ale pouze citlivými informacemi a soubory, se kterými aktuálně někdo pracuje nebo je někam ukládá, posílá, atd.

Implementací technologie RSA DLP tak zákazník získá kompletní přehled o tom, kde všude má uložena svá citlivá data, jak jsou zabezpečena, kdo s nimi pracuje a zda se neznaží je zcizit a případně zneužít. Nestane se pak, že osobní údaje zaměstnanců, zdrojové kódy, informace o nových produktech či „jen" čísla kreditních karet se budou povalovat po celé firmě a nebude tak možné je mít pod kontrolou. Mimochodem, zkuste si někdy u vás ve firmě prohledat sdílené disky, SharePointy, intranety, atd. s cílem najít nějaké citlivá data. Jsem přesvědčen o tom, že najdete dost citlivá data zrovna tam, kde by vůbec neměla být.

A možná to nejdůležitější - nejnovější verze produktu RSA DLP přináší podporu dalších jazyků včetně češtiny a je tedy plnohodnotně nasaditelná i v našem prostředí. V současné době máme již také certifikaci dle Common Criteria a FIPS 140-2.

 

Příklad z praxe

Pro úplně pochopení výhod integrace řešení SIEM a DLP je vhodné uvést příklad z praxe. Nejmenovaný zákazník z oblasti finančnictví měl problém s únikem citlivých dat o svých klientech (čísla smluv, data narození, atd.). Potřeboval tedy nejdříve zjistit, kteří zaměstnanci či které skupiny zaměstnanců k těmto datům často přistupují, aby mohl následně u těchto zaměstnanců více kontrolovat způsob, jakým s těmito daty nakládají.

Protože byly citlivé soubory uloženy na více místech, firma nejdříve nastavila řešení SIEM tak, aby upozorňoval na každý přístup k těmto souborům. Po krátké době se ukázalo, že k souborům přistupuje mnohem více uživatelů, než by z titulu své funkce mělo. Firma tak získala nějen informace o tom, kdo ze zaměstnanců má o data zájem, ale i o tom, jak lépe nastavit přístupová práva, aby se k nim v budoucnu dostal opravdu jen oprávněný uživatel.

Protože už ale měli někteří uživatelé citlivá data zkopírována na svých počítačích, bylo třeba nastavit integrovaný systém DLP tak, aby uživatelům zamezil v dalším šíření těchto dat. Všechny incidenty, tedy pokusy uživatelů citlivá data dále sdílet (kopírovat, posílat, tisnkout, atd.), pak byly okamžitě odhaleny, uživatel byl upozorněn, jeho akce byla zablokována, a incident byl zaslán do systému SIEM k vyhodnocení.

Ten byl tak schopen okamžitě alertovat pokusy o únik dat a současně je archivovat pro případné budoucí využití, ať už interně ve firmě nebo i jako důkaz u případného soudního líčení.

 

Závěrem

Chcete-li dnes, stejně jako mnoho českých firem, vyřešit oblasti SIEM a DLP, není už nutné to řešit několika dodavateli a několika nesourodými systémy. Stačí se obrátit na společnost RSA, která vám po krátké analýze navrhne vhodné kombinované řešení přímo na míru vašim potřebám.

 

Autor pracuje jako RSA Sales Consultant.

Technologickým partnerem tohoto příspěvku je společnost EMC.

bitcoin_skoleni

 

Tento článek vyšel v tištěném SecurityWorldu 2/2010.