Ten klade kromě jiného důraz na nutnost sběru informací o bezpečnostních incidentech z ICT prostředí. Samotná povinnost je zahrnuta v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti.
Nutnost implementace SIEM se vztahuje, podle vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti § 23 – Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, na organizace specifikované v § 3 písm. c.) a d.) Zákona o kybernetické bezpečnosti. Konkrétně se jedná o správce informačních (komunikačních) systémů kritické informační infrastruktury.
Mezi ně patří nejenom úřady ale i další provozovatelé důležitých informačních systémů. Subjekty, které se musí tímto zákonem řídit stojí před výzvou, jak těmto podmínkám vyhovět. Problematika SIEM by měla ale zajímat i další subjekty, pokud chtějí mít svoje ICT prostředí opravdu bezpečné bez ohledu na zákon o kybernetické bezpečnosti.
Řešení SIEM poskytují tradičně pokročilé funkce a vysokou hodnotu organizacím a firmám, kterým na IT bezpečnosti opravdu záleží. Zejména subjektům chránícím svoje firemní aktiva. Dosud se firmy i úřady zaměřovaly především na klasické, on-premise řešení. To se při splnění všech legislativních požadavků však stává hodně komplexním a složitým.
Naproti tomu je zde SIEM jako Software as a Service (SaaS). Je to řešení dynamické, adaptabilní, rychle nasaditelné a tím i rychle použitelné. Co je nejdůležitější, v případě služby, SIEM řešení spravují odborníci v dané oblasti.
V tomto řešení nejsou výstupem pouze GB korelovaných, agregovaných, hodnocených dat a jejich náprava v případě incidentů, ale také odborný pohled na věc, komentáře, analýzy, upozornění na aktuální hrozby. A to vše od profesionálů z oblasti IT bezpečnosti.
Součástí pravidelných reportů, které si nadefinuje zákazník, bývá často rovněž ucelený, komplexní a aktuální pohled na bezpečnost ICT prostředí klienta jako takovou.
Vyspělá řešení SIEM renomovaných výrobců mají předdefinované „inteligenční“ vrstvy k detekcím hrozeb out-of-the-box, bez nutnosti časově náročného psaní pravidel a konfigurací systému.
Vestavěná detekce anomálií automaticky navazuje na základní úroveň běžných činností a zjišťuje změny, které mohou představovat nové hrozby. Mapování těchto hrozeb a rizik je kapacitně náročná činnost, proto je důležitým faktorem vědět v reálném čase - kdo, co, kdy, kde a jak provádí.
Možností nasazení SIEM je více a záleží jenom na zákazníkovi, kterou cestu si vybere:
a) implementace u zákazníka, jedná se o standardní on-premise řešení
b) implementace u obchodního partnera, který danou službu poskytuje
c) SIEM jako cloudová služba, konfigurace dle požadavků klienta
d) Kombinace nasazení vydefinovaná na základě požadavků klienta
V poslední variantě se často jedná o kombinaci řešení SIEM a dalších bezpečnostních technologií na sledování změn, na správu privilegovaných účtů (PUM), Identity a Access managementu (IAM).
Tip: Při skladbě těchto technologií je dobré pamatovat i na interoperabilitu jednotlivých segmentů uceleného IT bezpečnostního řešení. V případě pořízení uceleného řešení SIEM, PUM, IAM jsou výrobci a partneři ochotni připravit i zajímavé, zvýhodněné podmínky nákupu a implementace. NEWPS.CZ začíná s řešením bezpečnosti ICT od uživatele, lépe řečeno od IAM. Teprve pak doporučujeme implementovat PUM a následně SIEM.
Co lze očekávat od SIEM v podobě SaaS
a) Real-time monitoring stavu bezpečnosti operativně odkudkoliv a kdykoliv
b) Automatické předdefinované reakce a nápravy pod drobnohledem profesionálů
c) Pravidelné týdenní, měsíční, kvartální a roční reporty, dle stanovených požadavků
d) Informace o aktuálním stavu IT bezpečnosti
e) Flexibilní možnosti doplnění služby – např. zabezpečení proti vnitřním útokům
f) Možnost konzultací bezpečnostních incidentů a příprava preventivních opatření
g) Možnost doplnění služby o testy objektové bezpečnosti pomocí „Social Engineering Testing“
h) Příprava školení IT bezpečnosti pro uživatele a administrátory na základě vstupních analýz
Jaké jsou výhody SIEM v podobě SaaS?
Především je to snížení nákladů na pořízení a provozování řešení. Odpadají investice do hardware a software, plus personálu. Náklady jsou předem známé, lze je snadno plánovat.
Další nespornou výhodou je flexibilita služby. Její možné další škálování, které vychází z konkrétně vzniklých potřeb či požadavků. Tyto změny lze provádět kdykoliv v průběhu poskytování služby. Nesmíme zapomenout na dynamickou korelaci dat v různých formátech a z různých zdrojů, vše v reálném čase.
Licencování je flexibilní dle požadavků zákazníka, od možnosti využití permanentní licence, přes subscripce až po pronájem. Nejdůležitější přidanou hodnotou SIEM jako SaaS je možnost konzultací na straně partnera resp. poskytovatele služby.
Nevýhodou tohoto řešení může pro někoho být, že si do „kuchyně“ pouští někoho „zvenku“. Proto je u tohoto modelu služby nejdůležitější výběr obchodního partnera – poskytovatele služby. Tomu by neměly chybět bezpečnostní prověrky, bohaté zkušenosti v dané oblasti a samozřejmě možnost podpory 24/7.
SIEM je řešení, které úspěšnou implementací (nasazením) nekončí, právě naopak, vše teprve začíná. Je to systém, který se vyvíjí v čase, neobejde se bez permanentního ošetřování a přístupu. Čím více času SIEM dáte, tím víc vám pomůže.
SIEM jako SaaS stojí rozhodně k úvaze. Je pouze na zákazníkovi, kterou cestu nasazení si vybere. No v každém případě je SIEM jako takový důkazem, že to v dané společnosti s otázkou bezpečnosti myslí zodpovědní pracovníci skutečně vážně.
Nevíte se dopátrat počtu EPS (event per second)? Nevadí, rádi Vám pomůžeme.
Autor: Maroš Mihalič, Country Manager, Novell-Praha, s.r.o.
PŘEDPLATNÉ
ČLÁNKY DO MAILU