S čím organizaci pomůže SIEM?
- Datum: 10.01.2024
- Autor: Jiří Diepolt
SIEM, zkratka pro Security Information and Event Management, představuje jeden z klíčových prvků při řízení kybernetické bezpečnosti. K čemu je SIEM vlastně dobrý?
Pojem SIEM byl (pravděpodobně) poprvé použit v roce 2002 společností IBM v dokumentu "IBM Security Information and Event Management: A Solution Overview". Zde byl SIEM definován jako "systém, který shromažďuje, ukládá a analyzuje bezpečnostní informace a události z různých zdrojů, aby poskytoval sjednocené rozhraní pro jejich správu a analýzu".
Vývoj konceptu SIEM byl v praxi spíše pozvolný a vznikal z potřeby integrovat funkce Security Information Management(SIM) a Security Event Management (SEM) do jedné platformy.
Vznik SIEM byl odpovědí na rostoucí potřebu lepší integrace a analýzy bezpečnostních dat v reakci na stále složitější a sofistikovanější kybernetické hrozby. SIEM se postupně stal jedním z klíčových prvků systému řízení kybernetické bezpečnosti.
Hlavní prvky SIEM
Mezi hlavní funkce komplexního SIEM patří následující:
Sběr a agregace dat: SIEM shromažďuje a konsoliduje logy a další bezpečnostní informace z různých zdrojů v síti organizace.
Detekce hrozeb: SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb.
Alarmy a upozornění: V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných incidentech.
Sledování a analýza událostí: Systém poskytuje nástroje pro sledování a analýzu bezpečnostních událostí, což provozním či bezpečnostním umožňuje včas reagovat.
Dodržování předpisů a compliance: SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.
Jak vybrat vhodné SIEM řešení?
SIEM je vhodný pro značnou část organizací z veřejného i soukromého sektoru. A pro řadu z nich bude také tento nástroj brzy povinný, protože bez funkčního SIEMu lze jen obtížně dosáhnout souladu s požadavky NIS2 směrnice a českých prováděcích předpisů, nařízení DORA, atd.
Jaký je doporučený postup výběru a implementace SIEM?
Definice požadavků a cílů: Tento krok zahrnuje podrobné porozumění bezpečnostním potřebám organizace a očekávaným výstupům od SIEM. Je důležité identifikovat specifické hrozby, kterým organizace čelí, a jak SIEM může pomoci tyto hrozby mitigovat.
Výběr dodavatele: Při výběru dodavatele je nutné posoudit, zda navržené řešení odpovídá požadavkům (není předimenzované nebo nedostatečné), zdali je nabízené řešení škálovatelné a jaké dodavatel nabízí možnosti technické podpory a dodatečných služeb.
Implementace: Implementace zahrnuje technické nasazení SIEM v organizaci. To zahrnuje zejména integraci s existujícími systémy, nastavení pravidel a konfigurací, zajištění, že všechny relevantní zdroje dat jsou správně připojeny, a zpracování příslušné dokumentace.
Školení a rozvoj pracovníků: Zajištění, že bezpečnostní tým je dostatečně vyškolený pro práci se SIEM, je zásadní nejen pro implementaci, ale rovněž pro jeho faktické provozování. Je potřeba, aby pracovníci věděli, jak interpretovat data a upozornění generovaná systémem a jak na ně efektivně reagovat.
Průběžné hodnocení a úpravy: Efektivní fungování SIEM systému vyžaduje jeho pravidelné vyhodnocování. To zahrnuje nejen aktualizace software, ale také úpravu jeho nastavení s ohledem na nově vznikající hrozby a hodnocení úspěšnosti a efektivity detekce bezpečnostních incidentů.
Jak poznat správně fungující SIEM
Trh nabízí širokou škálu řešení a nástrojů pro sledování IT infrastruktury, včetně pokročilých SIEM systémů. Ne každý nástroj se hodí ale pro každého. A zároveň pouhé zakoupení drahé krabičky neznamená, že organizace „vyřešila kyberbezpečnost“.
Efektivní nastavení a integrace SIEM do stávajícího prostředí jsou klíčové. To zahrnuje správné nastavení pravidel, upozornění a filtrů. Pokud je systém špatně nastaven, může to vést k nepřijatelně vysokému počtu falešných poplachů, které mohou ovlivnit efektivitu bezpečnostního týmu. Jelikož SIEM shromažďuje velké množství dat z různých zdrojů. Je důležité zajistit, aby tato data byla správně shromažďována a analyzována, aby bylo možné identifikovat potenciální hrozby. SIEM systémy také musí být pravidelně aktualizovány a udržovány, aby byly schopny efektivně reagovat na neustále se měnící hrozby.
Stejně důležité je mít kvalifikovaný tým, který rozumí SIEM a je schopen správně interpretovat výstupy a reagovat na incidenty. Rychlá a efektivní reakce na bezpečnostní incidenty je kritická. SIEM poskytuje data potřebná pro rychlé rozhodnutí a nápravné akce. Je důležité mít zavedeny procesy a postupy pro reakci na incidenty, aby bylo možné účinně reagovat na hrozby identifikované pomocí SIEM nástroje.
Je lepší provozovat SIEM interně nebo outsourcovat?
Vzhledem k různým faktorům - od finančních a organizačních, přes kapacitní omezení až po nedostatek kvalifikovaných odborníků na trhu - je vhodné zvážit, zda provozovat SIEM systém interně, nebo se obrátit na externího poskytovatele.