Implementácia SIEM riešenia nemusí byť finančne a časovo bolestivá. Je však dobré vyhnúť sa chybám. Pozrime sa spoločne s Vladimírom Frčom, SOC bezpečnostným špecialistom z Alanata, na to, s čím sa trápia manažéri kybernetickej bezpečnosti a ako im môžeme pomôcť.
REGULÁCIE A VÁHANIE: ČO BRZDÍ NASADENIE SIEM?
Ani prichádzajúca regulácia a nový zákon o kybernetickej bezpečnosti, ktorý reflektuje európsku smernicu NIS2, nepriniesli vietor do plachiet produktom bezpečnostného monitoringu. Spoločnosti nielenže váhajú, ale ani neuvažujú o implementácii SIEM platforiem. Logicky teda necítia potrebu využívať služby SOCu (dohľadové centrum kybernetickej bezpečnosti). Túto skutočnosť reflektuje situácia v našom regióne, kde s menším počtom ľudí a ešte menším rozpočtom musia spoločnosti napĺňať tie isté požiadavky.
Aké sú hlavné dôvody, pre ktoré sa implementácia bezpečnostného monitoringu odkladá?
Implementácia v spoločnosti so stovkami IT a tisíckami OT systémov nemusí byť jednoduchá. Na spracovanie a ukladanie terabajtov dát je nutné navrhnúť adekvátnu architektúru. Na trhu sú však vyspelé riešenia, ako napríklad IBM QRadar s flexibilnou licenčnou politikou, ktorá vás nijako nebude obmedzovať.
Nedostatkom odborníkov momentálne trpí celý svet. Ich počet sa v najbližších rokoch rapídne nezvýši, preto sa netreba spoliehať na to, že sa objavia zo dňa na deň. Je nutné využiť služby outsourcingu a spoľahnúť sa na partnerskú spoločnosť.
Ak sa rozhodnete ušetriť na licenciách a zvolíte open-source riešenie, jeho údržba môže byť časovo a finančne ďaleko náročnejšia. Náklady na infraštruktúru sú pre menšie subjekty často neúnosné. Prevádzkové náklady môžu byť vysoké, pretože SIEM si vyžaduje neustálu údržbu a monitoring. Platforma sa tak môže stať skôr bremenom než pomocníkom.
Argumenty typu: „Nám sa to nemôže stať, naša spoločnosť nie je pre nikoho zaujímavá,“ vás môžu po úniku informácii vyjsť veľmi draho. Podceňovanie vedie k nižšej priorite investícií do kybernetickej bezpečnosti a tým aj do bezpečnostného monitoringu.
Na trhu sa objavujú nové produkty z rodiny EDR (Endpoint Detection and Response) a XDR (Extended Detection and Response), ktoré ponúkajú alternatívu k tradičným SIEM riešeniam. Tieto produkty môžu byť atraktívne z pohľadu rýchlosti nasadenia pomocou agentov a vstavaných detekčných pravidiel.
Niektoré z týchto dôvodov majú síce opodstatnenie, ale rozhodne by nemali byť príčinou, prečo by bezpečnostný monitoring realizovaný SIEM systémom nemal byť nasadený. Opomeňme politické rozhodnutia, ktoré bránia nasadeniu a pozrime sa na fakty hovoriace v prospech moderných SIEM systémov.
Čo je SIEM (Security Information and Event Management) a prečo je tak potrebný?
Čo je SIEM (Security Information and Event Management) a prečo je tak potrebný?
MODERNÉ SIEM RIEŠENIA: MENEJ KOMPLIKÁCIÍ, VIAC FLEXIBILITY
Ich nasadenie už zďaleka nie je také náročné ako v minulosti. Aj keď odporúčame, aby ste ich implementáciu a prevádzku zverili do rúk špecialistom, náklady na implementáciu už nie sú také vysoké. Pri moderných SIEM riešeniach, ako je IBM QRadar, je doba integrácie minimálna vďaka širokej podpore zdrojov logov dát. Neprekvapia vás ani neočakávané náklady alebo obmedzenia, ako je to v prípade licenčných modelov EPS alebo GB per day. Jeho MVS (Managed Virtual Server) licenčný model založený na počte serverov je dostatočne flexibilný a ľahko predvídateľný. Vďaka nemu viete oveľa presnejšie plánovať rozpočet na SIEM licencie.
ALANATA MÁ ODBORNÍKOV, KTORÍ VÁM POMÔŽU
Aj keď je dostupnosť SIEM odborníkov na pracovnom trhu nízka, spoločnosť ako Alanata ich má dostatok. A nielen to. Máme široké integračné skúsenosti prakticky z každej oblasti IT aj OT. To nás predurčuje k rýchlej a kvalitne odvedenej práci.
Chcete sa dozvedieť viac o SIEM? Kontaktujte našich špecialistov
OPTIMALIZÁCIA NÁKLADOV NA SIEM RIEŠENIE
Cena práce a jej objem sú ďalšou veľkou nákladovou položkou. V prípade integračných prác so zdrojmi logov nie je veľký priestor na šetrenie. Platí tu však pravidlo – čím viac zdrojov SIEM pozná, tým je integrácia lacnejšia. Na druhej strane, neštandardné aplikačné logy môžu integráciu značne predražiť.
Ušetriť určite viete, ak údržbu zveríte do rúk dodávateľa a ešte viac ušetríte, ak sa pripojíte do SIEM platformy dodávateľa (SOC as a service). Dôvod je jednoduchý. Rapídne sa zníži objem prác spojených s konfiguráciou, nastavovaním pravidiel a údržbou systému.
CESTA K NEPRÍJEMNÝM INCIDENTOM
Podceňovanie kybernetických hrozieb je spojené s nevedomosťou, nízkou úrovňou znalostí kybernetických hrozieb a chýbajúcou analýzou rizík, ktorú by reflektoval plán rozvoja bezpečnostných opatrení. Ak nepoznáte riziká a s nimi spojené dopady na vašu spoločnosť, ťažko budete plánovať opatrenia posilňujúce bezpečnosť vo vašej spoločnosti. Chyby sa často prejavia až po nepríjemnom incidente.
EDR A XDR SÚ UŽITOČNÍ POMOCNÍCI, NIE NÁHRADA ZA SIEM
Silná je aj konkurencia zo strany produktov ako EDR a XDR. Tu naozaj niet čo spochybňovať a tieto produkty patria do repertoára bezpečnostných riešení, ktoré by mali byť nasadené. Vo väčšine prípadov by však nemali slúžiť ako náhrada SIEM systémov. Tieto produkty sú skvelou pomôckou, šetria veľa času pri vyšetrovaní bezpečnostných incidentov, ale stále sú len ďalším zdrojom pre SIEM. Okrem toho sa vlastnosti týchto produktov značne líšia od výrobcu k výrobcovi.
„SIEM nie je len ďalšia nákladová položka. SIEM poháňa kybernetickú bezpečnosť k lepšiemu.“
Spomeňme aspoň niektoré benefity, ktoré sa neobjavujú v marketingových materiáloch:
- Zlepšuje úroveň manažmentu aktív – SIEM vás núti mať databázu aktív aktuálnu. Integráciou zdrojov logov preveríte jej aktuálnosť.
- Objavuje skryté problémy – Často SIEM odhalí rôzne sieťové a aplikačné nedostatky alebo konfiguračné chyby, ktoré si vlastníci daných systémov nevšimli.
- Zmapuje nedostatky a chýbajúce prvky kybernetickej bezpečnosti – Vďaka SIEM objavíte nepokryté časti infraštruktúry.
- Zlepšuje viditeľnosť prostredia – SIEM spoločne s bezpečnostným dohľadom napĺňajú pravú podstatu bezpečnostného monitoringu. SIEM nie je odkázaný na konkrétneho výrobcu bezpečnostných produktov (vendor-agnostic).
- Pomáha priorizovať investície – Vďaka odhaleniu slabých miest vo vašej infraštruktúre sa dokážete lepšie zamerať na skutočné problémy. Z reportov zistíte, kde vzniká najviac bezpečnostných incidentov, na čo sa zamerať pri školeniach zamestnancov alebo kde máte nedostatky v procesoch. Vďaka tomu viete lepšie prioritizovať financie aj čas do oblastí, ktoré to vyžadujú.
Ak patríte medzi spoločnosti, od ktorých novelizovaný zákon o kybernetickej bezpečnosti vyžaduje monitoring kybernetickej bezpečnosti a ešte ho nemáte, neváhajte. Vyhnete sa tak zbytočným sankciám.