Proč jsou systémy SIEM nasazovány?
Stále reálnější riziko zneužití informací zvenku či zevnitř ale také IT audity a rostoucí legislativní požadavky jsou nyní téměř ze dne na den součástí života většina podniků. Pod vlivem této zátěže tráví organizace mnoho času a energie prověřováním jejich zabezpečení. To sebou přináší řadu problémů:
- Náklady a rizika jsou příliš vysoké
Na trvale rostoucí požadavky na zvýšení rozsahu a řízení rizik společnosti reagují nasazením řady specializovaných nástrojů v kombinaci s „ručním“ reportingem. Takové řešení je nejen nákladné ale také neefektivní a poskytuje často rozporuplné výsledky.
- Chybí Integrace
Pokud jde o sledování a řízení událostí v ICT infrastruktuře, existuje mnoho osvědčených postupů ale malá nebo žádná centralizace. Bezpečnostní události jsou distribuovány v různých databázích, souborových systémech a aplikacích. Jak efektivně zvládnout monitoring jejich bezpečnostních událostí, které nepřetržitě chrlí síťové prvky, firewally, IDS, IPS, servery, operační systémy, databáze a aplikace?
- Bezpečnost je pohyblivý cíl
Bezpečnostní opatření na perimetru podnikové ICT infrastruktury jsou téměř kontinuálně „testována“ útoky z prostředí Internetu. Mění a vyvíjejí se také hrozby potenciálního vnitřního ohrožení podnikových systémů. Je téměř nemožné udržet si před nimi náskok
- Plná shoda s legislativou se zdá těžko dosažitelnou metou
Bez řešení pracujících v reálném čase, budete doslova mimo soulad dřív než se to dozvíte. Aby toho nebylo málo, řada společností musí splnit mnohé předpisy a nařízení v různých navzájem mnohdy nekorespondujících termínech. To vede k nikdy nekončícímu závodu za souladem s časem.
Co je správně: SIM, SEM nebo SIEM?
Systémy SIM (Security Information Management) navazují na sběr systémových logů, často provádějí jejich normalizaci a jsou také, s většími či menšími omezeními, schopny je analyzovat. Vytváří také dlouhodobé archívy systémových logů.
Systémy SEM (Security Event Management) jsou více orientovány na monitoring událostí a incidentů v reálném čase, korelace událostí s cílem vyhodnotit jednotlivé informace a rozpoznat syndrom bezpečnostního ohrožení. Doplňují je funkce notifikace a reportingu.
Systémy SIEM (Security Information and Event Management – SIEM) zahrnují funkcionalitu obou předchozích systémů tím, že automatizují identifikaci a řešení incidentů na základě předdefinovaných pravidel, což umožňuje včasné upozornění na kritické události, zajišťuje soulad se zákonnými normami, ale především přispívá k reálnému řízení bezpečnosti napříč společností.
Co systémy SIEM především zajišťují:
- sběr logů
- korelace událostí (correlation)
- generování výstrah (alerting)
- reporting
- analýzu událostí/incidentů
- vyšetřování incidentů
Jaké jsou přínosy využití systému SIEM?
K využití SIEM systémů nás vedou 2 hlavní důvody:
- reálné řízení bezpečnosti napříč společností
- zvýšení účinnosti a efektivity provozu IT
Tradičně nejdůležitější důvod je snížení počtu bezpečnostních událostí na úroveň, která je zvládnutelná a oddělení reálných bezpečnostních incidentů od incidentů, které tak pouze „vypadají“ (false-positive).
Významným rysem nasazení SIEM je také zmíněné zvýšení účinnosti a efektivity provozu IT, které se projevuje:
- schopností rychle analyzovat provozní problémy
- nízkou dobu neplánovaných výpadků
- přesnější plánování rozvoje kapacit a výkonnosti ICT zdrojů
Proč je společnost Service & Support vhodným partnerem pro řešení SIEM:
- zaměřujeme se na komplexní řízení bezpečnosti ne pouze na perimetr nebo infrastrukturu
- při návrhu systému řízení bezpečnosti sledujeme business přínosy pro zákazníka
- SIEM chápeme jako základní podpůrný systém pro implementaci ISMS (Information Security Management System)
- disponujeme silným technickým a analytickým týmem
- máme zkušenosti z velkých projektů pro významné zákazníky