Nezávislý odborný on-line magazín ICT Security

 Net Guru Link Podnikové systémy Reseller Channel Link

Banner

KALENDÁŘ AKCÍ






Budování efektivní ICT bezpečnosti PDF Tisk Email
Axenta_logo

Lukáš Verner, Dan Komosný

Bezpečnost ICT řeší zejména otázky prevence kybernetických útoků,

nežádoucích činností administrátor, monitorování provozu síťových zařízení a dodržování firemních politik. Tento článek popisuje základní principy návrhu a implementace zabezpečení ICT využitím technologií SIEM v kombinaci s doporučenými bezpečnostními politikami.

Bezpečnost Informačních a komunikačních technologií (ICT) představuje v současné době velmi důležitou součást firemní politiky. Většina společností je ale často zastáncem filozofie, že v případě, že síť funguje, není třeba řešit její bezpečnost. V České republice byl uveden v platnost zákon o kybernetické bezpečnosti, který společnostem ukládá povinnost řešit bezpečnost ICT. Proto je v současné době bezpečnost ICT dynamicky se rozvíjející odvětví.

1        Bezpečnost informačních sítí

1.1     Zavedení bezpečnosti ICT

Malé organizace mohou vyřešit bezpečnost ICT využitím outsourcingu, nicméně je zde vysoké riziko spojené s nebezpečím šíření interních informací. Proto je důležité stanovit přísnou bezpečnostní politiku, kde jsou povinnosti definovány dodavatelem a jsou přesně nastavená pravidla organizace spolupráce. Taktéž je důrazně doporučeno podepsat dohodu o mlčenlivosti.

Střední a velké organizace by si měly vytvořit vlastní SOC (Security Operation Center). Tento proces zabere mnoho času a je nutné jej důsledně naplánovat. Existuje několik aspektů, které je třeba řešit. Za prvé, vedení organizace musí určit zodpovědné lidi, jako jsou provozovatelé SOC, auditoři, bezpečnostní analytici, atd. Poté je nutné v rámci vývoje SOC postupně zavést základní bezpečnostní politiky a technické postupy řešení incidentů.

Odpovědi na následující otázky mohou pomoci vybudovat funkční SOC:

  • Jaké jsou základní aktiva společnosti, které by SOC měl chránit?
  • Jaké bezpečnostní rizika ohrožují aktiva organizace? (útoky, neoprávněné přístupy, provozní monitoring atd.)
  • Jaké jsou základní bezpečností politiky Vaší organizace?
  • Kdo je zodpovědný za zjištění a řešení bezpečnostních incidentů ICT? (operátoři SOC, bezpečnostní analytici, auditoři)
  • Kdo je zodpovědný za vývoj SOC? (dodavatelé, bezpečnostní analytici atd.)

1.2     Výhody výstavby vlastního SOC

Výstavba a provoz SOC přináší mnoho výhod, které vedou ke zvýšení stability služeb organizace a úspoře peněz. Mezi největší výhody patří:

  • Snížení finančních nákladů - Provoz SOC je levnější než náhrada škod spojených s řešením následků kybernetických útoků a jiných bezpečnostních incidentů.
  • Stabilita a vysoká dostupnost služeb – Zvýšení dostupnosti služeb bez výpadků působí více spokojených zákazníků.
  • Přehledný management – Centrální správa postavená na základě kontroly všech prvků ICT a dodržování definovaných postupů usnadňuje správu ICT a také její vývoj.
  • Efektivní řešení incidentů – V případě incidentu je znám jeho celkový dopad a je tedy možné jej efektivně řešit, případně podniknout kroky aby se stejný incident neopakoval v rámci jiných částí ICT.
  • Efektivita práce - Správce serveru má na starost pouze činnosti spojené s funkčností systému a není už zodpovědný za jeho zabezpečení. Tuto roli přebírá správa SOC.

1.3     Lidské zdroje

Základem kvalitního SOC jsou lidské zdroje. Je nutné vytvořit několik týmů, jako jsou bezpečnostní operátoři, analytici, auditoři, developeři a projektový manažeři. U všech těchto funkcí je velmi důležité zvolit lidi se správnými dovednostmi. Operátoři SOC by měli být lidé se základní IT znalostmi a dobrými dedukčními dovednostmi. Analytici a auditoři jsou lidé, kteří denně zkoumají kybernetické hrozby a bezpečnostní rizika ohrožující organizaci. Měly by proto být kvalifikování a informovaní o nejnovějších bezpečnostních rizikách, metodách jejich detekce a řešení. Z toho důvodu by analytici a auditoři měli být lidí s vyšší inteligencí a dravostí.

2        Bezpečnostní technické požadavky

Bezpečnost ICT obsahuje z technického hlediska následující kategorie:

  • Správa řízení přístupu.
  • Správa identit.
  • Detekce a ochrana proti kybernetickým útokům.
  • Detekce a ochrana proti virům a malware.
  • Prevence DoS / DDoS.
  • Security Information and Event Management (SIEM).

Většina z výše uvedených kategorií řeší bezpečnost pouze v určité části síťové infrastruktury. Jejich cílem je zabránit nežádoucím událostem v síti jako jsou například různé formy útoků, přístup neautorizovaných uživatelů k firemním datům, apod. Nevýhodou je, že nepřinášejí informace o celkovém stavu zabezpečení ICT.

Univerzálním řešením bezpečnostního monitoringu ICT je SIEM, který shromažďuje veškeré informace o zabezpečení do jednoho systému. To je obvykle důvodem, proč je SIEM jádrem celého SOC.

3        SIEM

Termín SIEM byl poprvé použit Markem Nicoletem a Amritem Williamsem ze společnosti Gartner. Byl definován jako produkt, který umožní sběr, analýzu a prezentaci informací z bezpečnostních zařízení a aplikací, aby tak pomohl řídit události v síti, bezpečnostní politiku a  identity management.

SIEM sbírá data z mnoha bezpečnostních prvků jako jsou firewally, servery pro ověření identity, DNS a DHCP server, mailové servery, datová úložiště, síťová zařízení atd. Poté zahájí operace nezbytné k monitorování a detekci bezpečnostních rizik za pomoci ICT sítě.

Funkcionality SIEM lze obecně rozdělit do následujících celků:

  • Sběr a ukládání dat v podobě logů.
  • Monitorování, detekce a upozornění na real-time hrozby.
  • Redukce falešných incidentů.
  • Kategorizace incidentů dle vlivu na aktiva organizace.
  • Implementace bezpečnostní politik a kontrola jejich dodržování.
  • Řízení incidentů a automatické reakce.
  • Měření kondice ICT z hlediska bezpečnosti, dashoardy a reporty.

Základní funkce SIEM byly rozděleny do tří komponent na základě metod logování: Log Management, Event Management a SIEM. Je důležité objasnit rozdíly mezi nimi.

4        Rozdíl mezi Log Management, Event Management a SIEM dat Expression

Vstupní data SIEM jsou obvykle logy. Logy jsou krátké textové zprávy generované operačními systémy, síťovými zařízeními a aplikacemi. Jejich obsah zahrnuje informace o zařízení, prováděné operaci nebo zprávy o stavu, jako jsou informační logy, upozornění, chybové zprávy atd. V současné době dokáže logy posílat většina zařízení ICT. Počet logů, které mohou generovat, závisí na mnoha aspektech. Aplikace mohou například generovat několik logů za den, protože na nich nikdo nepracuje, ale v případě jejich vytížení mnoha uživateli mohou generovat mnohonásobně vyšší počet logů.

SIEM musí být schopen zpracovat obrovské množství logů. Z tohoto důvodu se doporučuje, zpracování logů rozdělit do tří základních vrstev dle obrázku 1. Funkce každé vrstvy vede ke snížení počtu zpracovávaných údajů a zvýšení úrovně detailu událostí získaných s logů.

Axenta_pict_01

Obrázek 1: Základní komponenty SIEM

4.1     Log Management

Log Management (LM), se nezabývá obsahem logů. V některých případech poskytuje pouze základní možnosti vyhledávání založené na parametrech záhlaví logů. Na obrázku 2 je příklad logu v syrovém formátu včetně jeho normalizovaného záhlaví syslog. V tomto případě, LM server indexuje obsah hlavičky logu, který obsahuje časové razítko, kdy byl záznam vytvořen, zdrojový server logu a název aplikace. Díky indexování obsahu logů je možné provádět vyhledávací dotazy a filtrovat pouze důležité protokoly.

Axenta_pict_02

Obrázek 2: Log Management

Dle obsahu lze rozlišovat prioritu logů do různých úrovní. Mnoho z nich má pouze informační charakter. Není nutné, aby byly tyto logy zpracovávány v rámci dalších vrstev. Měly by však být archivovány v LM serveru a být tak k dispozici pro případné pozdější zpracování. Tímto způsobem, že je možné snížit objem zpracovaných dat ve vyšších vrstvách SIEM.

4.2.     Event Management

Vrstva Event management (EM) je odpovědná za analýzu obsahu logů a separaci jeho důležitý částí do normalizovaných parametrů a jejich ukládání do databáze v podobě událostí. Obrázek 3 popisuje příklad události analyzován z logu na obrázku 2. Na základě analýzy této události víme, že server1.company (g_hostname) akceptoval vzdálené připojení pomocí veřejného klíče (event_id) z IP adresy 192.168.200.2 (s_ip) prováděné uživatelem Novák (user_id).

Axenta_pict_03

Obrázek 3: Separace důležitých částí logů

4.3.   Security Information and Event Management

Vrstva SIEM pracuje s abstraktním vyjádřením významu události. Abstraktní význam je získán překladem předmětu události na abstraktní, tzv. taxonomizací. Tímto způsobem dochází k normalizaci událostí z jednotlivých zdrojů událostí a možnosti sladit korelace bezpečnostních incidentů napříč různými technologiemi.

Obrázek 4 popisuje taxonomizaci události z obrázku 3. Událost definovaná identifikátorem (event_id) zde získává abstraktní popis (nsm_type). Dále jsou přidány detailní informace události označené tučně. User_id je přeložen jako ldap_user Jozef Novak z domény TECHNICS. Původce události (g_hostname) patří do zóny linux.servers (g_zone), zdrojová IP adresa (s_ip) patří do zóny vpn.users (s_zone) a cílový port byl překladem protokolu SSH2 nastaven na 22 (výchozí komunikační port protokolu SSH je 22).

Axenta_pict_04

Obrázek 4: Taxonomizace událostí SIEM

Přidání detailních informací na úrovni SIEM umožňují snadněji pochopit význam události, tvořit korelace, agregovat události a pochopit dopad případných incidentů.

5        SIEM jako základní prvek SOC

SIEM je zvláště vhodný nástroj pro sledování a odhalování bezpečnostních rizik v sítích ICT. Nicméně doporučuje se kombinovat SIEM s dalšími nástroji detekce stavu ICT sítě, zejména s nástroji provozního monitoringu. Obrázek 5 ukazuje příklad architektury SOC, kde SIEM tvoří páteřní systém řízení bezpečnosti ICT. Tato architektura přináší značné výhody, které vedou ke zlepšení a efektivnější bezpečnosti ICT. Mezi hlavní výhody patří:

  • Všechny provozní a bezpečnostní události jsou korelovány v jednom systému a je možné řešit jejich vzájemné vztahy.
  • V rámci korelace incidentů je možné detailně pokrýt bezpečnostní rizika včetně jejich konsekvencí.
  • Je možné snadno udržovat přehled o aktuálním bezpečnostním stavu sítě ICT.
  • Centralizované dashboardy a reporty.
  • V případě bezpečnostních incidentů, SIEM poskytuje základní informace o události. Podrobnosti lze zkontrolovat v jiných zabezpečovacího zařízení v závislosti na detektoru incidentu.

Axenta_pict_05

Obrázek 5: Architektura SOC

SOC mohou technicky obsahovat neomezené množství bezpečnostních systémů. K další kapitole budeme popisovat pouze SIEM jako základní prvek SOC

6        Proces implementace SIEM

Implementace SIEM je drahý a časově náročný proces. Před jeho zahájením by organizace vždy měli provézt analýzu rizik. Díky tomu mohou pak snadněji vybrat vhodný produkt, který splňuje všechny požadavky z hlediska licence a funkcionalit.

6.1.     Analýza bezpečnostních rizik

Analýza bezpečnostních rizik představuje seznam všech komponentů ICT sítě organizace. U každého z nich zkoumá potencionální míru bezpečnostních rizik, které mohou komponenty způsobit v případě jejich poškození ztráty, či zneužití. Obecně lze součásti analýzy bezpečnostních rizik rozdělit na:

  • Seznam aktiv společnosti a potencionálních nebezpečí na ně působících.
  • IP adresní plán prvku ICT sítě.
  • Seznam bezpečnostních perimetrů.
  • Geografické členění ICT sítě.
  • Analýza bezpečnostních politik organizace.
  • Analýza uživatelských přístupů v rámci organizace.
  • Analýza existující dokumentace.

Kvalitní analýza rizik pomáhá rapidně snížit míru nevědomosti organizace  a stanovit priority a efektivní řešení bezpečnostních rizik. V případě implementace SIEM obsahuje důležité data pro konfiguraci SIEM jaký mi je například seznam datových zdrojů, jejich kontext včetně priority a seznam požadovaných korelací k detekci nejkritičtějších bezpečnostních incidentů.

6.2.    Implementace SIEM

Implementace SIEM se nejčastěji provádí koordinací spolupráce výrobce produktu SIEM, dodavatele a oddělení bezpečnosti ICT v rámci organizace. Obrázek 6 představuje architekturu funkčních prvků SIEM, na jejíž základě můžeme rozdělit i procesy jeho implementace.  

Axenta_pict_06

Obrázek 6: Základní funkční komponenty SIEM

Instalace komponentů SIEM

Komponenty SIEM mohou být nainstalovány na vice serverů a nebo seskupeny do jedné funkční jednotky. Záleží velikosti implementace SIEM a množství dat, které SIEM musí zpracovat. Sběr dat, separace obsahu do proměnných a taxonomyzace  by měly být nainstalovány společně na vice serverů na základě množství a typu datových zdrojů. Log management server by vždy měl být nainstalován separátně. Prvek korelace událostí a jejich prezentace poté mohou být nainstalovány na hlavním serveru SIEM.

 

Sběr dat

Míra využití SIEM a také úrovně sledování zabezpečení sítě ICT závisí na množství připojených systémů napříč celou infrastrukturou ICT sítě organizace. V současnosti je možné zpracovávat logy z nejrůznější operačních systémů, aplikací, programů, bezpečnostních prvků a měřících zařízení. Primární rolí administrátorů ICT sítí je, v případě vytvoření nových systémů, zajistit napojení jejich logování do bezpečnostního systému SIEM. Tato povinnost by se měla stát jednou z bezpečnostních politik organizace.   

Log Management

Informace ze všech datových zdrojů by měly být ukládány v jejich původní podobě v archivu log management serveru. Archiv by měl ukládat data šifrovaně, včetně časové značky jejich příchodu. Bezpečnostní analytici a auditoři poté rozhodují, jaká konkrétní část informací bude odeslána ke zpracování do vyšších vrstev SIEM.

Separace obsahu logů a Taxonomizace

Separace logů do normalizovaných proměnných se provádí pomocí šablon složených z regulárních výrazů. Šablony jsou děleny dle operačních systémů, typu logů a nebo dle aplikačních systémů. Tímto způsobem lze paralelizovat zpracování informací do více segmentů a zvýšit tak rychlost. Dodavatel může také snáze kontrolovat korektnost zpracování a provádět aktualizace šablon.

Correlations and Evaluation

SIEM umožňuje provádění jednoduchých korelací na základě výskytu a počtu opakování události v určitém čase. Například mohou detekovat pokus o prolomení přihlašovacích údajů v případě, že dojde k pěti a více neúspěšným pokusům o přihlášení v rámci krátkého časového období.

                Dále je možné provádět rozšířené korelace, které detekují incidenty na základě konsekvence událostí. Například pokud po pěti neúspěšných přihlášeních do systému pod jedním účtem dojde k úspěšnému přihlášení, může být tato konsekvence pokládána za úspěšné prolomení přihlašovacích údajů a na základě incidentu lze automaticky reagovat zablokování účtu a nebo změnou hesla. 

                Rozšířené korelace mohou také analyzovat incidenty využitím kontextových dat z jiných systémů a tak jednoduše detekovat incidenty včetně úrovně a priority jejich dopadu. Incidenty týkající se páteřních prvků ICT infrastruktury organizace mají vždy nejvyšší prioritu a poukazují tak na nejzávažnější bezpečnostní problémy.

 

Eskalace a reportování

Eskalace a reportování událostí se provádí pomocí nejrůznějších dashboardů, periodických report a notifikací. Je velmi důležitou součástí SIEM zejména pro SOC operátory, bezpečnostní analytiky a manažery.

7        Závěr

V současné době dramaticky roste počet a rozsah a různorodost kybernetických útoků. Organizace musí proto čelit čím dál většímu množství bezpečnostních incidentů příchozích z vnější i vnitřní sítě ICT, činností zaměstnanců atd. Z toho důvodu se doporučuje nějakých způsobem řešit bezpečnost a monitorovat nežádoucí bezpečnostní rizika, které mohou vzniknout. Zavedení bezpečnosti ICT  v podobě  bezpečnostního operačního centra je v praxi velmi drahá a časově náročná operace.  Do budoucna však přináší značné přínosy v podobě zlepšeni managmentu ICT sítí a finanční kompenzaci v podobě nákladům ušetřeným za včasnou detekci a reakci na bezpečnostní incidenty.

                Provozování bezpečnostního centra SOC neřeší bezpečnost ICT automaticky. Je nutné aby obsahovalo organizovanou skupinu kvalifikovaných zaměstnanců v podobě SOC operátoru, bezpečnostních analytiků a auditorů a také byli stanoveny vhodné bezpečnostní politiky.

Joomla Templates and Joomla Extensions by JoomlaVision.Com