Żyjemy w czasach, w których cyfryzacja stała się czymś, z czego korzysta każdy niezależnie czy tego chce, czy też nie. Stało się to już tak powszechnie, że niejednokrotnie nie jesteśmy świadomi tego, że korzystamy z takich rozwiązań. Zwróćmy uwagę obecnie większość z urządzeń jesteśmy w stanie podłączyć do internetu. Czy kiedyś pomyślałbyś, że w przyszłości twoja lodówka może połączyć się z internetem, a Ty będziesz w stanie sprawdzać jej stan? Myślę, że nikt sobie tego nie wyobrażał. Jak i również sądził, że to będzie miało jakieś praktyczne zastosowanie. Jednak stało się. Obecnie możemy łączyć się z lodówką zdalnie. Sprawdzać jej stan i wykorzystywać jej wszystkie dostępne funkcje lub jakąś część z nich. Warto się jednak odpowiednio zabezpieczyć, poczytaj więc dzisiaj czym jest system bezpieczeństwa SIEM.
Choć może się wydawać nieprzydatne to chyba, przyznasz, że fajną opcją jest jak wracasz po pracy do domu, a domowników nie ma w domu. Ty w sposób zdalny łączysz się ze swoim ekspresem do kawy i określasz mu godzinę, na którą ma przygotować twoją ulubioną kawę. Wchodzisz do domu i wita Cię przyjemny zapach.
Jednak ta wygoda niesie za sobą dość spore konsekwencje. Piszę tutaj o ryzyku jakie niesie za sobą urządzenie, które jest podłączone do internetu. Zdajesz sobie sprawę z tego, że jeżeli czajnik, czy też lodówka ma możliwość połączenia internetowego, jest tak samo narażone na ataki hakerskie, jak na przykład komputer. W związku z tym nawet w sieci domowej nie powinniśmy mówić o zabezpieczeniu jednego urządzenia, tylko o zabezpieczeniu wszystkich urządzeń mających dostęp do sieci.
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Sposoby zabezpieczeń
W większości urządzeń domowych stosujemy pakiet oprogramowania, który powszechnie nazywa się Internet Security. Taki zestaw narzędzi zawiera zabezpieczenie typu firewall i antywirusa. Obecnie wielu dostawców takich usług dostarcza również VPN czy też menedżera haseł, które są dodatkowym zabezpieczeniem naszych danych. Tego typu rozwiązania w środowisku domowym w większej mierze jest wystarczające. Natomiast jeżeli chcesz, to od czasu do czasu korzystasz jeszcze z innych skanerów, na przykład podatności. To jest nasza sieć domowa, znajduje się w niej kilka urządzeń. W związku z tym nie ma konieczności wdrażania jakiś bardzo zaawansowanych systemów służących temu celowi. Najczęściej są one dość kosztowne, jak i nie ma potrzeby monitorowania sieci 24 godziny na dobę. Oczywiście jeżeli chcesz nikt Ci tego nie zabroni, ale w większość przypadków nie stosuje aż tak rygorystycznej hierarchii u siebie w domu.
Inna sytuacja ma miejsce w przypadku gdzie tych urządzeń jest bardzo dużo. Są to najczęściej firmy, korporacje, instytucje czy też uczelnie w których takich urządzeń jest ogromna ilość. Tak jak w naszym domu większa część, jak i nie wszystkie z tych urządzeń jest podłączona do sieci czy też internetu. W związku z tym istnieje ryzyko wspomnianego ataku hakerskiego. Jednak zwróć uwagę, w twoim domu znajduje się kilka takich urządzeń, a tutaj mówimy o setkach które trzeba monitorować 24/h na dobę. Szczególnie te które są włączone w trybie ciągłym. Zadbanie o nie z wykorzystaniem tylko narzędzi, których używamy w domu oraz zasobów ludzkich jest prawie rzeczą niemożliwą. Choć jest w tym pewne przekłamanie, bo wszystko jest możliwe, ale wymagałoby zatrudnienia ogromnej ilości pracowników. Musieliby nadzorować urządzenia przez całą dobę. W związku z tym w takich wypadkach korzysta się z systemów SIEM.
Co to jest system bezpieczeństwa SIEM?
System bezpieczeństwa SIEM, czyli Security Information and Event Management jest to system, dzięki któremu zadbamy o bezpieczeństwo w sieciach złożonych w sposób który wymieniłem w poprzednim paragrafie. Zalicza się on do rozwiązań dość kosztownych, dlatego też stosowany jest w miejscach, które są w stanie wyłożyć taką sumę. Niemniej jednak stosowanie tego typu rozwiązania niesie za sobą szereg udogodnień. Choć wspomniałem o dużych nakładach finansowych należy przeliczyć ile wykładamy środków na systemy niezautomatyzowane, jak na przykład zasoby ludzkie. Może się okazać, że wdrożenie takiego systemu okaże się tańsze i bezpieczniejsze.
Natomiast sam SIEM można wyjaśnić jako system nadzorujący naszą sieć. To on zbiera informacje dotyczące wszystkiego, co w niej się dzieje. Dzięki takiemu zbiorowi administrator otrzymuje kompleksowy wgląd w to wszystko i jest w stanie bardzo szybko zareagować. Monitoruje w trybie ciągłym, czyli 24/h na dobę w związku z tym nie wymaga ciągłej kontroli. Natomiast posiada wbudowaną funkcję informowania o zdarzeniach. Sposób, w jaki to wykonuje jest uzależniony od konfiguracji oraz podziału wartości zdarzenia jakie wystąpiło. Natomiast ta wyjątkowość tego systemu polega na połączeniu dwóch funkcji. W nim został połączony system monitoringu z systemem bezpieczeństwa, gdzie pomiędzy wymienionymi istnieje ścisła i jasna współpraca. Dzięki temu informacje, jakie otrzymujemy, są bardzo rzetelne i pochodzą z wielu źródeł z naszej sieci.
Na czym polega system bezpieczeństwa SIEM
Choć trochę informacji związanych z obecnym paragrafem już opisałem w poprzednim to jednak nadal nie jest ona kompletna.
Na czym polega system SIEM?
Nim go wdrożysz, dobrze byłoby byś wiedział, o co w nim chodzi. Tak jak większość swoich opisów, wolę obrazować to w sposób bardziej naturalny. Czyli odwołuję się do rzeczy, miejsc z naszego codziennego otoczenia. W tym wypadku wyjaśniając czym ten system jest, chcę zrobić tak samo.
Urządzenia w naszej sieci domowej posiadają firewall, bynajmniej każdy z nich powinien mieć. Taki firewall działa na zasadzie określonych reguł, do których się stosuje. Zezwala, blokuje lub pyta użytkownika co ma zrobić w przypadku danego wystąpienia zdarzenia. Każdą czynność, jaką ma wykonać możemy określić wspomnianym przed chwilą zdarzeniem. To ono jest zapisywane do logów systemowych lub logów firewalla. Co ważne, większość czynności, jakie wykonujemy mających jakiś wpływ na program lub system jest umieszczane w logach w formie takiego zdarzenia. Są one generowane przez większość programów. Posiadając odpowiednie uprawnienia możesz takie przeglądać i analizować co dokładnie się wydarzyło. Dla przykładu w systemie Linux pliki z logami znajdują się w folderze /var/log/. Jeżeli wyświetlisz listę zauważysz tam kilka plików posiadających rozszerzenie .log.
Wyobraź sobie teraz, że masz logi systemowe, logi zdarzeń z firewalla, antywirusa i tak dalej. To wszystko dotyczy jednego urządzenia. I teraz masz takich urządzeń na przykład 100. W jaki sposób przeanalizować jesteś w stanie wszystko?
W sposób ludzki wydaje się to niemożliwe do wykonania. Jednak takie sytuacje mają miejsce. Wykrywalność zagrożenia w przypadku użycia zasobów ludzkich w tym wypadku jest bardzo niskie, bo często sięga rzędu nawet poniżej 5%. Natomiast chciałbym wspomnieć o tym, co napisałem na początku tego materiału. Żyjemy w świecie gdzie cyfryzacja występuje w każdej sferze naszego życia, dlatego ilość zagrożeń z tym związanych wzrasta.
W tym miejscu z pomocą przychodzi system SIEM. To on zbiera wszystkie wspomniane logi, a następnie poddaje je analizie. W tym przypadku to, co maszyna jest w stanie wykonać w chwilę, człowiek musiałby poświęcić sporą ilość czasu. Jeżeli przeglądałeś lub przeglądasz logi z różnych miejsc, to na pewno zauważyłeś, że to samo zdarzenie może być zapisane w zupełnie inny sposób. Systemy SIEM są skonstruowane w sposób taki, aby poddawać je analizie i pomimo różnic występujących w zapisie wykrywać te same zdarzenia.
Mechanizmy systemu SIEM
Wszystko co do tej pory przeczytałeś wiąże się z pewnym przyjętym mechanizmem omawianych systemów. Wiesz już, że monitoruje on logi. Pewnie domyśliłeś się, że w sposób czytelny przedstawia wszystko osobie za to odpowiedzialnej. Wszystko to, co do tej pory przeczytałeś można przedstawić w formie pewnego schematu, prezentowanego poniżej.
Agregacja
Jest to podstawowa forma zdobywania informacji od urządzeń znajdujących się w sieci. Jest głównym zasobem uzyskiwania informacji. Szczególnie ważną wbudowaną funkcją jest analiza logów różnych formatów, które informują o tym samym. To, że system SIEM rozpoznaje wspomniane pomimo różnic świadczy o jego przydatności. Jednak to nie wszystko. Dzięki tej agregacji zebrane dane magazynuje się w jednej centralnej lokalizacji tworząc coś w rodzaju wspólnej bazy danych.
Korelacja
Jest to czynność jaka musi wystąpić po zebraniu danych. Korelacja jest to nic innego jak wydobywanie istotnych danych z informacji jakie zebrano. Polega na porównywaniu ich i wyszukiwaniu incydentów bezpieczeństwa. Stosuje się ona do ustalonych wcześniej reguł, dlatego wydobywa z nich tylko te istotne informacje, których potrzebujemy. W tym wypadku istotne jest to, że porównywane następuje w związku z tymi, które obecnie występują jak i tymi, które wystąpiły jakiś czas temu. Dzięki takim porównaniom istnieje ogromna szansa wykrycia bardzo złożonych ataków hakerskich.
Wyświetlanie danych
Po zebraniu i przeanalizowaniu danych pozostaje ich zaprezentowanie w czytelny sposób dla użytkownika. W systemach SIEM zaimplementowano różnego rodzaje prezentacje wizualizacyjne, dzięki którym w łatwy sposób dla oka jesteśmy w stanie zaobserwować każde ze zdarzeń jakie miały miejsce.
Obsługa zdarzeń
Jednym z kluczowych elementów całego systemu jest jego obsługa. Co z tego, że jakieś krytyczne zdarzenie miało miejsce, jak ktoś nie wie co w takiej sytuacji powinien zrobić. Dlatego przy wdrażaniu tego typu systemów istnieje potrzeba wdrożenia również zasad związanych z reagowaniem. Osoba obsługująca musi wiedzieć co ma zrobić, gdy wystąpi któreś ze zdarzeń, dlatego jest to bardzo istotny punkt całego systemu. Natomiast równie ważna jest zasada odpowiednio wykwalifikowanej osoby na danym środowisku. Jeśli wdrażasz system warty sporo nakładów finansowych, natomiast do obsługi systemu zatrudniasz lub wyznaczasz osobę nie mającą o tym pojęcia, to zmarnujesz cały wspomniany nakład finansowy.
Podsumowanie – system bezpieczeństwa SIEM
Systemy SIEM, jak się da zauważyć, są bardzo pomocne, jeżeli chcemy zachować wszelkie środki bezpieczeństwa w naszej działalności. Czy powinniśmy go wdrożyć – musisz przeanalizować to sam. Na pewno po podjęciu pozytywnej decyzji należy rozejrzeć się za odpowiednią firmą wdrożeniową, z odpowiednim doświadczeniem. Natomiast jeżeli zastanawiasz się nad samymi kosztami, warto przeanalizować takie czynniki, jak na przykład ile stracę jak ktoś włamie się i wtedy poddać to kalkulacji pod względem wdrożenia SIEM.
