Hlavní navigace

Nemít přehled? To v IT vadí! Se SIEM budete o hrozbách vědět včas (1.)

22. 3. 2013
Doba čtení: 3 minuty

Sdílet

 Autor: © Sergej Khackimullin - Fotolia.com
Auditor, bezpečnostní manažer, management společnosti, všichni tito lidé chtějí mít přehled o tom, co se děje v bezpečnostním zázemí IT infrastruktury. Každý z nich má jiný úhel pohledu na to, co znamená mít přehled, ale tento zájem je spojuje, stejně jako zkratka SIEM.

Bezpečnostní manažer: Když se podíváme na bezpečnostního manažera, jeho cílem je získat přehled o všech zařízeních, které se v síti nachází, a o jejich vzájemné provázanosti. To se může mnohdy zdát jako nadlidský úkol, jelikož počítačové sítě lze považovat za heterogenní prostředí plné serverů, bezpečnostních prvků, směrovačů a dalších zařízení. Všechna tato zařízení jsou zpravidla od různých výrobců a jejich výstupy jsou v rozmanitých formátech.

Bezpečnostní auditor: Podívejme se na situaci z pohledu bezpečnostního auditora. Výše popsaná heterogenní síť se musí chovat podle dříve stanovených bezpečnostních politik, a pokud by došlo k nějakému vybočení, auditor by měl být o takové situaci objektivně informován. Když vezmeme v úvahu obrovské množství záznamů generovaných každou minutu, není situace auditora vůbec záviděníhodná.

Člen managementu: Poslední skupinou, kterou jsme v úvodu zmínili, je samotný management společnosti. Ten se nestará o to, jak zařízení pracují či zda jsou všechny operace v souladu s firemní politikou. Jeho největším zájmem je samozřejmě návratnost a užitečnost investic, ať do firemní infrastruktury nebo jejího zabezpečení. Tyto faktory jsou totiž rozhodující pro další rozvoj finančního plánování infrastrukturního rozvoje. Management potřebuje ucelené reporty, které slučují různorodé události v síti do srozumitelně označených skupin a dávají tak globální přehled.

příloha_ovladnete_sva_data

Veškerá výše popsaná problematika je svým způsobem výčtem služeb, které kvalitní SIEM (Security Information and Event Management) řešení dokáže pokrýt. Pokud se tedy ztotožníte s rolí některé z výše zmíněných zodpovědných osob, právě jste nalezli řešení svých problémů. Jaké požadavky je třeba v rámci kterékoli společnosti klást při výběru správného SIEM řešení? V prvé řadě byste měli hledat ucelené řešení zajišťující sběr logů, normalizaci, vyhodnocení spolu s korelacemi a případné jeho uchování pro budoucí audity. A mluvíme-li o zařízení určeném ke komunikaci s dalšími zařízeními různých výrobců, měly by být všechny jeho součásti uniformní a spolupracující. V žádném případě tedy nelze doporučit používání jednotlivých součástí SIEMu od různých výrobců. Pokud se již rozhodnete využít pouze některé z výše uvedených funkcí, je třeba vždy hledět do budoucna a volit takové řešení, které lze kdykoli rozšířit o další funkce, tj. SIEM řešení musí být vysoce škálovatelné.

Pokračování→

Byl pro vás článek přínosný?