Poptávka po řešeních SIEM (Security Information and Event Management, správa informací a událostí zabezpečení) je v současné době opravdu vysoká, ale to neznamená, že firmy tyto produkty dokážou využívat bez problémů.
Podle zprávy Gartneru velké organizace znovu vyhodnocují dodavatele SIEM v důsledku částečných, okrajových či dokonce nezdařených implementací. Zatímco základní technologie se v posledním desetiletí změnila jen málo, její případy použití a tempo, jakým ji firmy přijímaly, podle expertů vyvolaly určitou transformaci.
„SIEM byla komplexní technologie pro nejzakotvenější a nejprozíravější společnosti, ale v současné době vidíme její nasazování i v méně zralých organizacích,“ uvádí Anton Chuvakin, viceprezident výzkumu v Gartneru. „To u této technologie zapříčinilo vývoj, kterého jsme nyní svědky. Získává více mozkové kapacity.“
Ona mozková kapacita – převážně v podobě funkcí big dat – zvýhodňovala SIEM jako dlouhodobý archivační systém událostí, který firmy mohly nasazovat kvůli plnění základních požadavků předpisů. Nyní je ale její nasazování vyvolávané bojem proti podnikovým hrozbám.
„Dnes se SIEM využívá jako nástroj pro zajištění dodržování předpisů, k detekci v oblasti zabezpečení, pro bezpečnostní analýzy, pro forenzní úkony a jako platforma big dat,“ uvádí Joseph Blankenship, hlavní analytik ve společnosti Forrester.
„Existoval zde příslib, že SIEM nyní dokáže zvládnout hodně věcí, ale společnosti zažívají hodně problémů ve snaze tyto funkce využívat a nevidí úplné dodržení příslibu. To je důvod, proč vidíme toto selhání a částečná nasazení.“
Kořen problému je podle Chuvakina sdílený dodavateli i organizacemi. Zatímco se některé starší produkty SIEM pokusily o škálování a prokázaly svou efektivitu, některé firmy prostě nejsou připravené na náležité zvládnutí takového systému. „Systémy SIEM nejsou něco, co jen nainstalujete a počkáte, až se stane něco skvělého,“ vysvětluje Chuvakin.
Pokud váš systém SIEM neodpovídá vašim standardům, začněte nejprve zkoumat své prostředí, potřeby a schopnosti a poté vyberte odpovídající řešení, které bude vyhovovat právě vám. Zde je okruh 14 otázek, které je vhodné položit sobě i dodavateli před nákupem SIEM.
1. Je problémem váš současný systém SIEM?Přestože jsou některá řešení lepší než ostatní, výskyt špatného systému SIEM je spíše neobvyklý, upozorňuje Chuvakin z Gartneru. Pokud se vám nedaří získat očekávanou hodnotu, zvažte příčiny: Přidělili jste vhodný personál? Máte pro provoz dostatečnou šířku pásma?
„Systém SIEM může fungovat správně, pokud je spravovaný a pokud se vyhrazený personál stará o jeho ladění a provoz,“ popisuje. „Jestliže nemáte dobrý tým pro provoz systému SIEM, nevyřešíte tento problém náhradou systému za jiný.“
2. Můžete si to dovolit? Podívejte se podrobněji na své zabezpečení, abyste zjistili, zda si skutečně můžete dovolit provozovat SIEM, říká Chuvakin. Potřebujete pro monitorování smlouvu s poskytovatelem spravovaných služeb? Nebo jste dobře vybavení na jeho provoz?
„Z problému tzv. špatného systému SIEM se nakonec může vyklubat fakt, že není špatný, ale že ho jen nemůžete používat,“ vysvětluje. „Pokud nemáte nikoho, kdo by mohl sledovat jeho signály, nemůžete využít jeho potenciál.“
3. Co chci monitorovat? Dříve, než budete porovnávat produkty SIEM, musíte pochopit problém, který takovým systémem chcete řešit, vysvětluje Chuvakin. „Neptejte se dodavatele, co byste měli chtít, to musíte znát sami,“ upozorňuje. „Začněte tím, co chcete monitorovat a proč.“
Pokud zjistíte, že je nejlepší použít nový systém SIEM, položte následující otázky, abyste si vybrali dodavatele.
4. Jaký je váš závazek vůči současnému produktu SIEM? Velcí dodavatelé produktů SIEM jsou relativně stabilní a mají dobré finanční zázemí, uvádí Blankenship z Forresteru, ale pokud uvažujete o menším dodavateli nebo dodavateli, který se nespecializuje jen na SIEM, potřebujete vědět, jak si tato technologie stojí v kontextu celé společnosti dodavatele.
„Jak velká míra pečlivosti a důslednosti se platformě u výrobce věnuje? Je SIEM důležitou, nebo nedůležitou součástí společnosti? Hledejte stabilitu,“ radí Blankenship.
5. Jaké budou náklady? Některé licence SIEM zpoplatňují uživatele podle množství dat zpracovaných systémem SIEM. Přidávání zařízení, která budou produkovat další protokoly a varování, může zvyšovat náklady, varuje Blankenship.
6. Bude možné integrovat analýzy zabezpečení? Protože výběr nového dodavatele SIEM pravděpodobně vyústí v dlouhodobý vztah (SIEM není něco, co chcete každých pár měsíců či let měnit), potřebujete pochopit, kde se dodavatel v oblasti analýz zabezpečení nachází dnes a jak to zapadá do jeho budoucích plánů, vysvětluje Blankenship.
„Potřebujete zjistit, jak probíhá evoluce od technologie SIEM založené na velmi přísných pravidlech směrem k analytické platformě v budoucnu,“ popisuje Blankenship.
7. Jak podporujete cloudová prostředí? Pokud vaše firma, stejně jako většina, přesouvá více dat a infrastruktury k poskytovatelům cloudu, chcete získat viditelnost v cloudovém prostředí takovou, jakou byste měli ve své vlastní infrastruktuře, říká Blankenship.
8. Jak umožníte automatizaci v budoucnu?Přestože bezpečnostní profesionálové nemají rádi narušení svých tradičních rolí, Blankenship uvádí, že je nezbytné pamatovat na budoucnost a na nasazení automatizace.
„Dodavatelé SIEM nyní hledají způsoby automatizace některých procesů. Je to součástí nové vlny, na kterou si stále více zvykáme,“ vysvětluje. „Zeptejte se toho svého, jak můžete implementovat větší rozsah automatizace. Jak nás připravíte na automatizaci našich pracovních postupů?“
9. Kdo jsou vaši partneři? Partneři dodavatele jsou ukazatelem toho, jak snadné nebo obtížné bude zajistit integraci, prohlašuje Blankenship. Zeptejte se také na dostupná rozhraní API pro připojení dalších technologií a funkcí.
10. Jak budete SIEM vylepšovat? Stejně důležité jako oddanost dodavatele technologie SIEM jsou hranice, které posouvá, tvrdí Chuvakin. „Dodavatelé SIEM přidávají větší mozkovou kapacitu, více analytiky a algoritmů, aby směřovali ke skutečným funkcím mozku a aby nešlo jen o pomůcku pro dobře trénovaný lidský mozek,“ vysvětluje.
11. Chci spravovat SIEM ve vlastní infrastruktuře.Jaká pomoc je k dispozici?Bezpečnostní profesionálové mají při řízení systému SIEM dva přístupy, uvádí Blankenship: Buďto ho chcete vlastnit a řídit, protože zvládnete zabezpečení lépe než jiní, nebo ho chcete outsourcovat. Pokud jste ten první případ, stále existuje důvod žádat o podporu, říká.
„Existuje možnost využití externího řízení systému SIEM, vytváření protokolu a poskytování školení, aby byli všichni v obraze. Jsou také způsoby zajištění podpory bez řízení, které jsou rozhodně důležité.”
12. Chci využít outsourcing. Jak mne budete podporovat? „Když mluvíme o neúspěšných a částečných nasazeních, vidíme lidi, kteří říkají, že už dále nezvládnou podporovat SIEM ve vlastní infrastruktuře,“ zmiňuje Blankenship.
„Je-li to také váš případ, potřebujete vědět, zda lze správu systému SIEM outsourcovat.“ To zahrnuje dotazy týkající se dostupných poradenských služeb a možnost jejich zahrnutí přímo do smlouvy, doporučuje Blankenship.
13. Jaká školení jsou k dispozici pro náš tým? Ptejte se na všechny možnosti osobního i on-line školení, které jsou dostupné pro zvýšení zkušeností bezpečnostního týmu s produktem SIEM a pro školení nových zaměstnanců v budoucnu, radí Blankenship. Existuje uživatelská komunita, kde mohou lidé klást otázky?
14. Můžete vyřešit můj konkrétní případ použití? Jestli dokáže dodavatel vyřešit problém jako ten váš a jakvyřešili problém jako ten váš, to jsou otázky s rozdílnými odpověďmi.
Zaměřte se na doklady toho, že dodavatel dokáže (a dokázal) vyřešit problémy v prostředí podobném tomu vašemu, radí Chuvakin. „Požádejte dodavatele o nějaký důkaz, že zvládnou vyřešit vaše potřeby. Požádejte je o možnost zavolat dalším zákazníkům, abyste se mohli zeptat na jejich zkušenosti,“ uzavírá Chuvakin.
Tento příspěvek vyšel v Security Worldu 3/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU