Az alábbi módszerekkel a SIEM (Security Information and Event Management) licencdíjakat akár 40 százalékkal is lehet csökkenteni, miközben a SIEM-ek teljesítménye jelentősen nő, azaz a lehetséges fenyegetéseket és biztonsági kockázatokat hamarabb érzékeljük, így kivizsgálásuk és a megfelelő válasz is gyorsabb lesz.

Összehangolni a biztonságot a költségekkel

A költségek és a hatékonyság optimalizálása minden szervezet életében kulcsfontosságú feladat. Mivel mára gyakorlatilag minden szervezet részben IT-szervezetté is vált, a kiberbiztonsággal megbízott osztályokra különösen nagy nyomás nehezedik, hogy egyre jobb teljesítményt nyújtsanak egyre kevesebb erőforrás felhasználásával. Ahogyan a szervezetek fokozatosan digitalizálódnak, úgy válik az információs infrastruktúra állapotának és biztonságának folyamatos monitorozása és a begyűjtött adatok megfelelő felhasználása egyre nyomasztóbb teherré még a jól felkészült, profi IT-biztonsági csapatoknak is.

Nem meglepő tehát, hogy a SIEM-ek gyakran a nagyvállalati biztonsági rendszerek központjaiként szolgálnak, és kulcsfontosságúak bármely sikeres IT-biztonsági stratégia megvalósításában. De azzal, hogy minden digitalizálódik, az adatmennyiség, amit a cégeknek kell gyűjteniük, tárolniuk és feldolgozniuk, nagyon gyorsan kezelhetetlen mennyiségűvé válik – olyannyira, hogy a szervezetek vagy folyamatosan növelni kényszerülnek a SIEM-ekre fordított költségeiket, vagy egyszerűen a szerencsére kell bízniuk magukat a nagy kockázatú biztonsági fenyegetések esetén. És ne feledkezzünk meg arról sem, hogy a SIEM-ek főként elemzések és jelentések gyártására szolgálnak, nem pedig arra, hogy javítsanak azok alapjául szolgáló információforrásokon: a naplóállományokon, azaz a logokon.

A SIEM-ek optimalizálása – akár a költségek csökkentése, akár a biztonság növelése céljából – legkönnyebben és leghatékonyabban a logmendzsment optimalizálásával valósítható meg. Néhány bevált gyakorlat alkalmazása azonnali és hosszú távú javulást eredményezhet, amely nem csak a SIEM működésében, hanem egyéb területeken – mint például a compliance auditok során – is előnyt jelent majd, és egyben megkönnyítik a SOC (Security Operations Center) csapat életét is.

Ez a nyolc legjobb gyakorlat

1. Kerüljük a kompatibilitási problémákat! Egy elemzés csak annyit ér, amennyit az adat, amiből készül. Mivel a legtöbb hálózat heterogén, a logmenedzsment eszköz kiválasztásakor mindig a legtöbb platformhoz alkalmazkodó és a legszélesebb forrástámogatással rendelkezőket (syslog formátumok, plain text fájlok, adatbázisok, SQL, Oracle, SNMP trapek stb.) keressük.

2. Szűrjük a releváns információt – tápláljunk be kevesebb adatot! A SIEM-et tápláló eszköznek képesnek kell lennie strukturált és strukturálatlan adat kezelésére is, továbbá rendelkeznie kell különböző adattranszformáló képességekkel (szűrés, parszolás, újraírás, osztályozás stb.). Az így feldolgozott adatokból csak a legértékesebbet célszerű a SIEM-be táplálni. Ezzel jelentősen csökkenthetők az eseményalapú licencköltségek. (Valós use-casekben éves szinten 40 százalékos csökkenést is kimutattak.) Esetleg dúsítsuk vagy „formattáljuk” újra a logfolyamot a könnyebb elemzés érdekében.

3. Már a loggyűjtésnél biztosítsuk a compliance-et! A különböző logtranszformációs metódusok, például az anonimizáció vagy a pszeudonimizáció, kulcsfontosságúak a nemzetközi szabályozásoknak való megfelelésnél. Ezeket a PCI-DSS, a HIPAA vagy az Európai Unióban hamarosan életbe lépő GDPR is megköveteli.

4. Alacsony a sávszélesség? Tömörítsünk! Érdemes megjegyezni, hogy az az intranetek és internet sávszélessége is roppant változó lehet, éppen ezért a logmenedzsment eszközünknek képesnek kell lennie arra, hogy rendkívül korlátozott sávszélességű környezetben is zavartalanul működjön. Ebben segíthet a tömörítés. Ha a logüzeneteket folyamatos tömörítjük, az nagymértékben csökkentheti a sávszélességigényt, miközben a központi loggyűjtést gyorsítja – és egyben rövidebb válaszidőt is eredményez.

5. Egyetlen logot se hagyjunk veszni! Mi történik, ha elvesztünk egy logüzenetet? Valószínűleg semmi, hacsak nem éppen az az egyetlen log tartalmazta  egy épp folyamatban levő incidens egyetlen nyomát. Ezért kulcsfontosságúak az adatvesztést megelőző képességek, a pufferelés, a failover destination támogatása, a message rate kontroll vagy az alkalmazásszintű hitelesítés. Mindig győződjünk meg arról, hogy egyetlen logot sem veszítünk el a logmenedzsment infrastruktúra hiányosságai vagy időleges kiesése miatt.

6. A sokoldalúság csak a megbízhatósággal és a skálázhatósággal együtt hasznos. A robusztus architektúrával rendelkező, különleges eszközök képesek a másodpercenkénti néhány száz logtól az akár másodpercenkénti több százezres eseménytömegű adatforgalmat is feldolgozni. Rengeteg a változó, az egymástól függő érték és folyamat, azonban általánosságként elmondható, hogy nem szabadna adatforgalmi problémáknak jelentkezniük, még aktív indexelés esetén sem.

7. Egyesítsünk! Tápláljunk be Privileged Activity Monitoring adatokat! Noha a legtöbb felhasználói tevékenység hagy nyomokat maga után, vannak olyanok is – főleg a kiemelt felhasználóké, akik SSH-t vagy RDP-t használnak –, melyek nem követhetők nyomon a logokban vagy a SIEM elemzésekben. A SIEM és a Privileged Activity Monitoring megoldások összevonásával a legkockázatosabb felhasználói tevékenységeket is bevonhatjuk az elemzésbe, és így elejét vehetjük a legveszélyesebb kibertámadásoknak és a kiemelt felhasználók által elkövetett visszaéléseknek is.

8. Priorizáljuk a riasztásokat! Túl sok logadatot vagy téves riasztást kap a már amúgy is túlterhelt biztonsági csapatunk? Egy átlagos biztonsági szakértőnek mindössze hét perce jut egy riasztás kivizsgálására, például annak kiderítésére, hogy nem történik-e éppen adatlopás, vagy nem nyitott-e meg egy felhasználó egy adathalász e-mailt. A kérdéses felhasználó jogosultságaitól, valamint attól függően, hogy a felhasználó viselkedése mennyire tér el az eredeti viselkedést rögzítő ún. baseline-tól, a viselkedéselemző megoldások (UBA – User Behavior Analytics) képesek pontosan jelezni a legkockázatosabb biztonsági problémákat. És éppen ez az, amiért SIEM-et üzemeltetünk: hogy nagymértékben csökkentsük a problémák felderítéshez, kivizsgálásához és megválaszolásához szükséges időt, és hogy végül újra teljes biztonságban tudhassuk érzékeny vállalati adatainkat és informatikai infrastruktúránkat.

A hatékony logmenedzsment-infrastruktúrák építésében több mint tizenöt éves tapasztalattal rendelkező Balasys csapata most kedvező előfizetéses konstrukcióban teszi elérhetővé naplózó eszközeit. További információért látogasson el a Balasys szolgáltatásának oldalára.