SIEM: Analýza protokolů (logů)

16. 2. 2011

Sdílet

Technologie SEM (Security event management) analyzuje v reálném čase data z protokolů (logů) a událostí, aby zajišťovala sledování hrozeb, souvislostí událostí a odezvu na případný incident.

Podle IDC byl celosvětový obrat ze segmentu SIEM v roce 2008 přibližně 663,3 milionu dolarů a do roku 2013 se očekává nárůst až na 1,4 miliardy, což znamená průměrný meziroční nárůst o 16 procent. Gartner naopak odhaduje příjmy z řešení SIEM na 1 miliardu dolarů v roce 2008 a 30procentní nárůst v loňském roce. Každopádně se analytici shodují na tom, že právě SIEM bude v budoucích letech patřit mezi velmi atraktivní položky manažerů bezpečnosti.

 

Technologie SIEM (Security information and event management) zajišťuje podle Gartneru dvě hlavní funkce:

1. SEM (Security event management): Analyzuje v reálném čase data z protokolů (logů) a událostí, aby zajišťovala sledování hrozeb, souvislostí událostí a odezvu na případný incident. Data lze shromažďovat z bezpečnostních a síťových zařízení, systémů a aplikací.

2. SIM (Security information management): Shromažďuje, analyzuje a reportuje data protokolů (primárně z hostitelských systémů a aplikací, ale také ze sítě a bezpečnostních zařízení) za účelem podpory iniciativ pro dodržování směrnic, správy interních hrozeb či dodržování bezpečnostních zásad.

 

„Tento trh byl dříve poháněn především správou událostí (SEM), ale současný růst řešení SIEM souvisí hlavně s problematikou dodržování směrnic a sekundárními požadavky na efektivní sledování hrozeb,“ prohlašuje Kelly Kavanaugh, analytik Gartneru. Například standard PCI DSS (Payment Card Industry Data Security Standard -- standard zabezpečení dat z odvětví platebních karet) vyžaduje správu protokolů a zákon SOA (Sarbanes-Oxley Act) vyžaduje hlášení pro oprávněné uživatele, dodává.

Tradiční dodavatelé řešení SEM na to reagovali orientací svých produktů dříve zaměřených na upozorňování a správu událostí v reálném čase směrem k funkcím správy protokolů. Například firma ArcSight začala nabízet za účelem zajištění shody nové zařízení Logger a další funkce. Naproti tomu dodavatelé SIM jako SenSage nebo LogLogic přidávají schopnosti práce v reálném čase.

Jon Oltsik, analytik společnosti Enterprise Strategy Group, vidí trh jinak. Podle něj má největší vliv potřeba udržet krok se složitostí ochrany. „Lidé berou vážně fakt, že útoky na zabezpečení jsou stále důmyslnější a že obrana na úrovni systému je náročnější než na úrovni zařízení,“ vysvětluje. Shoda se směrnicemi je druhým nejdůležitějším faktorem pro nasazení moderních řešení SIEM, přičemž třetím je pak potřeba nahradit staré platformy správního softwaru bez možnosti škálování nebo poskytovat funkce určité úrovně analýzy a hlášení.

Agentura Forrester očekává v následujících 12 až 36 měsících mezi více než 20 dodavateli SIEM výrazné tendence ke konsolidaci.

 

Základní funkce

Podle Gartneru existuje pět důležitých funkcí určujících použití produktů SIEM pro SEM, SIM, nebo pro obě oblasti.

Správa protokolů. Zde jsou zahrnuty funkce podporující cenově efektivní shromažďování, indexaci, ukládání a analýzu velkého množství informací, včetně protokolů a dat o událostech, stejně jako schopnost je vyhledávat a reportovat. Funkce by měly zahrnovat předdefinované reporty, reporty typu ad hoc nebo možnost použití reportovacích nástrojů od dalších dodavatelů.

Reportování shody. Klíčové funkce zahrnují reportování přístupu uživatele nebo zdrojů.

SEM. Shromažďování dat v reálném čase, konzola bezpečnostních událostí, sledování souvislostí a analýza událostí v reálném čase či podpora správy incidentů.

Jednoduchost podpory a nasazení. Potřeba zajištění shody motivovala menší oddělení zabezpečení k zavedení produktů SIEM. Tito zákazníci potřebují předdefinované funkce a snadné nasazení i podporu pro pokročilé funkce a také rozsáhlé možnosti přizpůsobení. Budou shromažďovány velké objemy dat událostí a bude rozsáhle nasazováno analytické reportování. To vyžaduje architekturu podporující škálovatelnost a flexibilitu při nasazení.

Analýza přístupu uživatelů a zdrojů. Tato schopnost definuje zásady přístupu a zjišťuje a reportuje výjimky. Umožňuje organizacím přechod z monitorování aktivit na analýzu výjimek. To je důležité pro reportování shody, detekci podvodů a odhalování úniků informací.

 

SIEM -- co dělat a co ne

Zaangažujte více osob. Při vytváření požadavků zajistěte přispění od různých skupin, které mohou mít ze shromažďovaných dat protokolů užitek. To zahrnuje interní auditory, kontrolu zajištění shody, zabezpečení či provoz IT.

„Zcela jistě existují zákazníci, kteří hledají správu protokolů jen z důvodu požadavků na shodu a ani nemusí mít interní personál, který by se věnoval shromažďování a dokumentaci protokolů,“ tvrdí Kavanaugh. „Mnoho zákazníků si však uvědomuje, že schopnosti spojené se softwarem pro správu protokolů – tedy shromažďovat, prohledávat a vytvářet reporty -- jsou cenné pro provoz zabezpečení.“ Prohlašuje, že jakmile se do záležitosti zapojí bezpečnostní oddělení, zkoumají možnost zahrnutí síťových bezpečnostních zařízení, směrovačů a dalších oblastí síťového prostředí, kde nemají dostatečný přehled, a stejně tak komponenty pracující v reálném čase.

Do výběru produktu SIEM ve společnosti Liz Claiborne zapojil Mile Mahoney, manažer pro zabezpečení IT a dodržování shody, šéfy architektury z osmi skupin a požádal je o vyplnění podrobného dotazníku, který zkoumal možnosti pro zlepšení jejich práce. Nakonec to trvalo šest měsíců, než bylo toto vyhodnocení dokončeno. „Chtěl jsem nástroj, který by jim přinesl užitek z údajů shromážděných v protokolech,“ prohlašuje Mahoney.

„Společným bodem je nakonec správa protokolů, avšak analýzy lze provést pomocí dvou různých platforem,“ upozorňuje Oltsik. „Ať už potřebujete zabezpečení nebo shodu, používáte vždy stejná data protokolů.“

Zdůrazněte funkce sledování souvislostí. „Sledování souvislostí je klíčovým aspektem systémů SIEM,“ tvrdí Larry Whiteside, ředitel zabezpečení informací ze společnosti VNSNY (Visiting Nurse Service of New York). Tyto produkty normalizují protokoly z různých systémů, což umožňuje sledovat v čitelném formátu nejdůležitější potřebná data.

Také pomáhají dát do souvislostí události, kterých by si lidské oko nikdy nevšimnulo, ale pravidla pro sledování souvislostí je zjistit dokáží. „Používáte-li pravidla pro sledování souvislostí, můžete vytvořit report a dvě události, které jsou od sebe časově vzdáleny 10 minut, se objeví u sebe, protože spolu navzájem přímo souvisejí,“ prohlašuje White­side. „Když někdo něco udělá jednou za 30 minut, neexistuje způsob, jak to tradičním způsobem prohlížení protokolu zjistit.“

Mahoney souhlasí, že tato analýza je mimo lidské možnosti. Jedním z požadavků PCI DSS, byla podle něho každodenní kontrola protokolů událostí, která může zahrnovat miliony událostí za každý den. „Síla řešení SIEM spočívá právě se schopnosti normalizovat data a prezentovat je ve standardním formátu,“ vysvětluje. Ve firmě Liz Claiborne tráví jeden zaměstnanec každodenně dvě hodiny kontrolou událostí protokolu, což je možné díky pravidlům vytvořeným pro specifické případy.

Hledejte použitelnost. Když si Whiteside vybral produkt SIEM od Symantecu, přesvědčila ho nakonec použitelnost jeho rozhraní a také snadnost nastavení zásad a pravidel, vytváření ručních reportů a plánování automatických reportů. To skutečně vyřadilo mnoho jiných nabídek.

Například DeepSight Threat Management System od společnosti Symantec poskytuje aktualizace ohledně hrozeb probíhajících ve světě a hledá souvislosti těchto informací s upozorněními pocházejícími z vašich vlastních zařízení.

„Můžete například dostat upozornění ze systému detekce narušení (IDS) nebo firewallu, které je klasifikováno jako nezávažné, ale při zjištění souvislosti s informacemi správy hrozeb Symantecu, které záležitost evidují jako vzrůstající aktivitu, dojde ke zvýšení klasifikace důležitosti upozornění,“ tvrdí Whiteside. „Získáváme tak scénář odpovídající skutečným okolnostem.“ Můžeme také včas zavést opatření, takže v případě nárůstu aktivity jsme již ochráněni.

Hledejte snadné vytváření pravidel souvislostí. „Kromě základní použitelnosti je důležité také podrobněji prozkoumat, jak snadno systém zvládne provést činnosti obvykle požadované po lidech,“ radí Brian Cincera, ředitel celosvětové technologické infrastruktury ve společnosti Pfizer. Příkladem je vytvoření pravidel pro souvislosti, které pomohou jeho personálu zaměřit se na oblasti s nejvyšším rizikem.

„Zjistili jsme, že vytváření pravidel a dostupnost zásad, které by spolehlivě zastoupilo činnost člověka, jsou dvě zcela rozdílné věci,“ tvrdí Cincera. „Můžete použít libovolný z těchto systémů a vytvoří vám spoustu červeně blikajících kontrolek. Významné ale je to, že mám jen omezené množství skutečně chytrých lidí, kteří se zaměřují jen na pár nejdůležitějších událostí v nejvýznamnějších oblastech dat a rizik, takže musím udržet neustále rostoucí úroveň „rušení“ na uzdě – a jediný způsob, kterým to lze zrealizovat, je využití techniky.“

„Funkce snadného použití v produktu ArcSight obsahují samotné rozhraní, dodávané propracované sady pravidel, rozevírací nabídky (drop-down boxes) či schopnost vytvářet výrazy podobné angličtině namísto složitých vzorců,“ vysvětluje Cincera. „Nechcete přece tak složitý systém, že abyste mohli vytvářet pravidla zastupující lidskou práci, potřebovali byste mít titul Ph.D,“ dodává Cincera.

Zvažte schopnosti prozkoumání. „Jednou z nejoblíbenějších funkcí QRadaru od společnosti Q1 Labs je schopnost správy dat na úrovni 7. vrstvy,“ tvrdí Mahoney. To mu poskytuje pohled nejen na chování sítě, ale také na chování uživatelů a aplikací. „Dochází k identifikaci aktivity na vyšší úrovni a zjištění konkrétnějšího chování aplikace,“ vysvětluje, „a zaznamenávají se data v paketech pro interní zkoumání. Mohu zobrazit aktivity, které uživatelé provedli v síti, použité aplikace a navštívené weby.“

Rovněž lze sledovat specifické databáze na specifických serverech a evidovat, kdo k nim přistupuje. Nebo je možné získat protokoly událostí a monitorovat, jaké aplikace komunikují s jinými a jaké databázové tabulky jsou tím dotčeny. „To je mnohem více než jednoduché shromažďování protokolů,“ prohlašuje Mahoney.

Pokud například server A komunikuje se serverem B a aktivita vrcholí ve 22 hod. v neděli večer, lze provést podrobnější zkoumání a dozvědět se, jaké stolní počítače s tím mají co společného. „Z perspektivy zkoumání je to velmi důkladné,“ pochvaluje si.

Zvažte možnosti nasazení. Zákazníci pořizující si systémy SIEM si mohou vybírat ze široké řady možností nasazení. I když je software tradiční podobou, Kavanaugh tvrdí, že by dodavatelé měli ve větší míře přicházet se zařízeními typu „vše v jednom“, která by prováděla shromažďování dat, analýzu a hledání souvislostí a měla by používat vlastní vestavěné databáze k ukládání kopií protokolů. Existuje také mnoho smíšených nabídek, kde server provádí analýzu, hledání souvislostí a monitoring v reálném čase, přičemž appliance se stará o shromažďování protokolů.

Rozhodnutí závisí na faktorech, jako jsou potřeby konkrétní firmy, dostupnost personálu podpory, doby údržby, síťová architektura a omezení šířky pásma. „Například maloobchodní prodejce může disponovat pomalou datovou linkou s problematickým odesíláním dat zpět do ústředí firmy, a proto může chtít zařízení umístěné na pobočce stejně jako možnost posílat protokoly do centrály k dalšímu zpracování kvůli shodě až po skončení otevírací doby,“ tvrdí Kavanaugh.

Whiteside prohlašuje, že dalším aspektem při volbě možností nasazení SIEM je úložiště. Některá zařízení nabízejí pouze místní úložiště bez možnosti odesílat data do sekundární databáze. To by mohl být problém při sběru dat protokolů ve více regionech a potřebě provádět dotazy vzdáleně. Potřebuje-li někdo provádět dotazy pro evropskou pobočku, ale z USA, nemá určitě zájem, aby dotaz pracoval s databází umístěnou v aplianci přímo v Evropě, vysvětluje. „Nebylo by to efektivní.“

Ve firmě VNSNY používá Whiteside vícevrstvou architekturu. Zařízení SIEM Symantecu shromažďuje protokoly ze síťového provozu firewallů, směrovačů, přepínačů a systémů detekce narušení (IDS). Systém pro správu protokolů od firmy LogLogic zajišťuje shromažďování a reportování pro aplikace a systémové protokoly. Tyto protokoly jsou poté předány systému SIEM od Symantecu, kde dojde k použití pravidel pro zjišťování souvislostí pro data všech protokolů.

Mahoney naopak uvádí, že mu vyhovuje používání zařízení „vše v jednom“ pro 4 500 zařízení v síti Liz Claiborne, která odesílají události protokolů. „Nechci se starat o záplatování ovladačů, o nároky na diskový prostor ani o údržbu databáze,“ vysvětluje. U jiných systémů byla data ukládána v databázi SQL, ale u tohoto zařízení se ukládají do jeho samotného. „Nemusíte se tak o nic starat,“ pochvaluje si.

Pete Colley, manažer provozu zabezpečení ve firmě CSC ve Velké Británii, tvrdí, že jím používané řešení SIEM RSA enVision nabízí několik možností nasazení. Protože má firma CSC velmi velkou distribuovanou síť se 4 tisíci zařízeními, ze kterých je nutno shromažďovat protokoly, vybral si Colley distribuovaný systém, který využívá aplikaci a databázi na serveru a dále úložiště typu NAS. Data jsou stahována ze šesti nebo sedmi vzdálených sběrných systémů. „Zařízení typu vše-v-jednom by to nedokázala,“ tvrdí Colley. Největší applianci tohoto typu, které viděl, bylo omezeno licencí pro tisíc koncových bodů.

Nezapomeňte na možnost poskytovatele spravované služby (MSP, Managed Service Provider). “V minulosti firmy zvažovaly služby externích poskytovatelů jen kvůli funkcím SEM,“ uvádí Kavanaugh. Pro shromažďování a správu protokolů naopak volily interní systémy. Nyní však nabízí schopnosti správy protokolů více poskytovatelů MSP a přesouvají logy z prostor zákazníka do provozního centra zabezpečení a tam zajišťují jejich archivaci a příslušné reportování. „Ačkoli by to nefungovalo pro společnosti s velkým počtem protokolů nebo s mnoha různými zařízeními, ze kterých by muselo probíhat shromažďování, je tento model velmi vhodný pro střední či malé organizace,“ doporučuje Kavanaugh.

Nepřeceňujte konzolu pro sledování v reálném čase. Když Whiteside začal poprvé používat produkty SIEM, domníval se, že konzola sledování v reálném čase je nejdůležitějším aspektem této technologie. Nakonec si však uvědomil, že jeho tým sledoval konzolu jen 5 % času a zbývající čas byl věnován na spouštění dotazů. „Varování v reálném čase je extrémně důležité, ale konzola je postradatelná,“ porovnává. „Důležitost systémů SIEM spočívá v jejich podpůrné inteligenci a systému varování.“

Whiteside tvrdí, že největším nedostatkem produktů SIEM a správy protokolů je reaktivní chování na libovolný incident. „Získáte však minimálně konsolidovaný přehled událostí z různých systémů,“ dodává.

Nepřehlížejte podporu dodavatele. Mahoney uvádí, že podpora dodavatele pro něj byla rozhodující, protože technologie SIEM v žádném případě nepatří do kategorie „nastav a zapomeň.“ Popisuje, že SIEM je pro firmu Q1 Labs stěžejní produkt ve srovnání s jinými společnostmi, které nabízejí SIEM produkty získané prostřednictvím akvizic.

„U některých dodavatelů to po telefonickém kontaktu trvá několik dní, než se někdo ozve s řešením vašeho problému,“ vysvětluje. Mahoney testoval, jak dlouho to trvalo dodavatelům z jeho krátkého seznamu, aby se mu ozvali zpět s řešením problému. Dodavatelé věděli, že provádí vyhodnocení a že jsou v přímé soutěži s dalšími společnostmi. Firma Q1 se mu ozvala zpět s řešením za dva dny, zatímco jeden z ostatních dodavatelů se mu dokonce neozval vůbec.

Nepřehlížejte úložnou kapacitu. Dalším aspektem je to, kolik dat dokáže systém uložit, zejména když směrnice mohou vyžadovat dostupnost dat on-line po určitou dobu. Při počtu 4,5 tisíce zařízení zasílajících události do protokolu a špičkami tvořenými až 2 biliony událostí k vyhodnocení každý měsíc, bylo úložiště důležitých faktorem, uvádí Mahoney. „Musíme tato data uchovat po dobu jednoho roku, abychom splnili požadavky PCI/DSS,“ vysvětluje. Mahoney tvrdí, že zná jiného ředitel IT, který zjistil, že jeho systém SIEM dokáže uchovat data on-line pouze po dobu čtyř dní. Zcela zásadní je podle něho komprese. „Zkoumám redukci dat v poměru 63 000:1. Dochází ke kompresi a já mohu přejít zpět a prohlédnout si každou událost v protokolu, kterou dostanu v původním formátu,“ dodává.

Whiteside uvádí, že jeho systém dokáže skladovat data on-line po celý rok, ale přesto zvolil ukládání pouze po dobu 180 dní.

Hledejte škálovatelnost. Oltsik zdůrazňuje, že hlavním současným požadavkem je shromažďovat data z více zařízení co nejrychleji. „Dodavatelé to měří udáním počtu událostí za sekundu“ a tento údaj podle něho narostl z tisíců na stovky tisíc.

Nepřehlížejte skryté náklady. Cincera upozorňuje, že při nasazení technologie SIEM činí výdaje na hardware a software polovinu či méně z celkových nákladů na vlastnictví (TCO). Zbytek jsou podle něho náklady na pracovní sílu při vytváření a nasazování technologie. „Nemůžete jen tak někoho posadit ke konzoli a získat tím denně 10 dobrých pravidel zjišťujících souvislosti,“ vysvětluje. „Personál musí rozumět tomu, jaké události musí být zpracovány, jakým způsobem či pomocí jaké úrovně rozlišení." To vyžaduje funkci, která určí, jaké události se mají zohlednit a jaké akce se mají vykonat. „Náklady na organizaci jsou založeny právě na tom, jak tato funkce pracuje,“ tvrdí Cincera.

Dalším nákladem je údržba, která zahrnuje udržování aktuálnosti pravidel, správu skupin, oprávnění, upozornění, sledování a metrik. „Je nutné provádět správu rozhraní ke sběrným systémům, tj. pečovat o zdroje informací pro stroj, který následně provádí zpracování,“ uvádí Cincera. „Musíte se o to neustále starat a zajišťovat vzájemnou synchronizaci připojení. To může být úmorná práce.“ Upozorňuje však, že množství práce může významně vzrůst v závislosti na počtu sběrných systémů, která zasílají data na zpracování.

Třetím zásadním výdajem jsou pracovní náklady. „Každou událost, kterou se rozhodnete neignorovat, musíte zpracovat, i když to bude jen opatření poznámkou,“ vysvětluje Cincera. „Každá taková akce ale něco stojí.“ Peníze stojí i je vyřazení z provozu. Cincera upozorňuje, že v určitou chvíli pravidla, upozornění a odpovídající akce ztrácejí smysl a měly by být vyloučeny ze seznamu.

Celkové náklady na vlastnictví (TCO) žádný dodavatel nesděluje dobře, dodává Cincera. „Nechtějí, abyste si všechny tyto výdaje uvědomili.“

ICTS24

 

Tento článek vyšel v tištěném SecurityWorldu 2/2010.