Typickým příkladem složité a velmi nákladné bezpečnostní technologie, se kterou si často organizace tak trochu nevědí rady, je SIEM. Jde o technologii pro sběr bezpečnostních událostí (logů), jejich automatizované vyhodnocování a odhalování bezpečnostních incidentů. Jistě není pochyb o tom, že pro ochranu rozsáhlejších kritických IT infrastruktur je nasazení SIEM nezbytností.

Odhalení i těch složitějších útoků

Denně se objevují tisíce nových hrozeb a pro napadení přitažlivých cílů mohou útočníci připravit specifický malware. Takovéto útoky jsou standardními ochrannými mechanismy obtížně odhalitelné. Je třeba počítat s tím, že ochrana systému bude dříve či později překonaná, a pak je SIEM (Security Information and Event Management) neocenitelný pomocník.

V reálném čase identifikuje neobvyklé chování prvků sledované infrastruktury a upozorní na to operátory. Ti následně musejí co nejrychleji takové podezření ověřit a případně proti začínajícímu incidentu zasáhnout dříve, než se rozšíří a způsobí rozsáhlé škody, únik obchodního tajemství nebo osobních údajů.

Takto to zní jednoduše, že? Stačí koupit SIEM a hurá na to! Ale tady už od začátku začínají typické zádrhely:

a) Jaké výkonnostní parametry SIEM mám pořídit? Pokud zvolím parametry na současné potřeby, půjdou upravit podle toho, jak se pružně mění naše firemní infrastruktura? Když zvolím velkou výkonnostní rezervu, obhájím podstatné navýšení nákladů?

b) Jaké prvky infrastruktury je účelné monitorovat a jaké konkrétní události na nich sledovat?

c) Má moje organizace nastavené procesy řízení bezpečnostních incidentů? Tedy je stanovené, jak ověřit podezřelou událost a jaké kroky k řešení incidentu se budou realizovat? Jsou v tomto smyslu nastavené komunikační kanály uvnitř organizace?

d) Jsou k dispozici dostatečné personální zdroje pro rutinní obsluhu SIEM a řešení incidentů? Jak se budou řešit události vzniklé mimo pracovní dobu?

Problémy se zaváděním bezpečnostních technologií

Musím z praxe bohužel říct, že řada organizací přes uvedená typická úskalí neprojde dobře. První problém se škálováním se zpravidla řeší pořízením SIEM s rezervní kapacitou. Což vede ke zbytečně vysoké vstupní investici, a většinou se stejně nepodaří vývoj infrastruktury správně predikovat. Nicméně pořízení se podaří.

Další nastíněná úskalí však mnoho organizací nepřekoná vůbec, a SIEM proto zůstává jen nevyužitou hračkou. Co a jak monitorovat, nelze vybírat podle toho, co je předpřipravené v daném SIEM, jak to často vidím, ale podle konkrétních požadavků analýzy rizik dané infrastruktury. Bez bezpečnostní politiky, která určuje odpovědnosti a procesy řešení bezpečnostních incidentů, nelze ochranu účinně realizovat.

A v neposlední řadě zůstává problém personálních kapacit. Ani velké firmy nejsou schopny zajistit adekvátní množství kvalifikovaného personálu. Nemluvě vůbec o situaci, kdy by měl být zajištěn 3směnný provoz v režimu 24 × 7. Ekonomicky jsou takové provozní náklady pro většinu organizací neodůvodnitelné. Bez reakce na nálezy SIEM v reálném čase se však většina jeho přínosů neprosto vytrácí.

T-Mobile – partner v oblasti cybersecurity

A jak tedy s naší pomocí zákazníci projdou přes zmíněná úskalí? Zákazník může čerpat SIEM jako službu a nemusí předem plánovat škálování. Může každý měsíc zvětšit či zmenšit rozsah sledované infrastruktury a platí jen za výkon, který opravdu spotřebuje. Zásadní je ale využívání našeho Střediska kybernetické bezpečnosti. Tedy pracoviště s nepřetržitým provozem, obsazené certifikovanými cybersecurity profesionály.

Odtud se nepřetržitě dohlíží na chráněné systémy, manuálně se ověřují podezřelé události a v případě potřeby se koordinuje řešení kybernetických bezpečnostních incidentů či následné forenzní šetření. A že jsem zapomněl na procesní stránku? Ale kdepak. Zákazník a naše Středisko kybernetické bezpečnosti tvoří jeden tým.

Jsou mezi námi nastaveny adekvátní komunikační kanály, pravomoci a odpovědnosti. Naše středisko se vlastně chová jako interní tým zákazníka včetně dohodnuté komunikace dovnitř jeho organizace. Zákazník má pak k dispozici špičkový cybersecurity tým, pracující podle jeho potřeb a požadavků, ale za zlomek nákladů budování a provozu interního týmu.

Motto T-Mobile je „Life is for sharing“. V IT bezpečnosti je toto motto zvláště příhodné. Sdílení zdrojů je jednoznačnou výhodou pro všechny zainteresované. Jsem moc rád, že se mohu podílet na tomto úsilí. Moc mě těší, když vidím u našich zákazníků dobře fungující bezpečnostní procesy. Navíc za nízké náklady, jakých by tradičním způsobem při dané úrovni nemohli dosáhnout.

A co vy? Přidáte se také? Koukněte, jak to v našem Středisku kybernetické bezpečnosti vypadá.