A biztonsági információ- és eseménykezelő (Security Information and Event Management – SIEM) rendszerek régóta velünk vannak, és gondoskodnak a vállalati adatok és erőforrások védelméről. Mivel mindig új fenyegetések és támadási módszerek jelennek meg az egyszerűbb vírusoktól kezdve a túlterheléses támadásokon és a jelszavak feltörésén át az adathalász-kísérletekig, illetve a belső fenyegetésekig, a védelmi megoldásoknak is muszáj velük együtt fejlődniük – összegezték a Micro Focus szakértői.

SIM és SEM, az „ősök”

A SIEM kifejezést először 2005-ben használta a Gartner. Előtte, a kétezres évek elején külön működtek a biztonsági információkezelő (Security Information Management) és biztonsági eseménykezelő (Security Event Management) rendszerek.

Az előbbiek a naplómenedzsment-szoftverek képességeire építve nem csupán gyűjtötték és tárolták az egyes eszközök naplóinak adatait, de a hosszú távú megőrzésre is alkalmasak voltak. Továbbá elemezni is tudták az adatokat, és jelentéseket készíteni belőle, összegezve a biztonsági fenyegetésekre és eseményekre vonatkozó információkat. A SEM megoldások pedig valós időben monitorozták az eseményeket, szükség esetén riasztásokat küldtek, és rávilágítottak bizonyos összefüggésekre az egyes incidensek között.

Amikor ezt a két megoldást elkezdték integrálni a szoftvergyártók, azzal nagyobb kontrollt adtak az IT-biztonsági szakemberek kezébe, illetve jobb rálátást biztosítottak a különféle eseményekre. Az így létrejött rendszereket azonban egy idő után nem lehetett megfelelően skálázni, ami korlátozta a működésüket.

Az adatcunami korszaka

A 2010-es évek elejére megnőtt a SIEM rendszerek kapacitása, és akár már 20 ezer eseményt is képesek voltak elemezni másodpercenként. Egy idő után pont ez lett a hátulütőjük. A rendszerek nagy teljesítménye arra ösztönözte a szakembereket, hogy minden információt betápláljanak az összes rendelkezésre álló forrásból. Így viszont a túl sok adat elemzése után a végeredmény is túl sok információból állt.

Míg tehát az első SIEM-megoldások rálátást kínáltak a szakértők számára az infrastruktúrában zajló, addig láthatatlan folyamatokra, a későbbi, fejlettebb eszközök pont ezt a tisztán látást vették el a temérdek adattal. A szakértők munkáját valamelyest segítette, hogy a rendszerekben meghatározhattak szabályokat, amelyekben körülírták, mi számít veszélyes jelenségnek és tevékenységnek, és ezekről riasztásokat kérhettek. Így azonnal tudtak foglalkozni a sürgős esetekkel. A folyamatosan átalakuló környezetben és a gyorsan változó fenyegetések mellett ez azonban már nem volt elég.

A következő lépcső a viselkedéselemzés

Az elmúlt néhány évben az előzetesen konfigurált értesítések helyett egyre nagyobb szükség lett a kockázatalapú megközelítésre. Erre nyújt lehetőséget a viselkedéselemzés (User and Entity Behavior Analytics – UEBA), amellyel előre meghatározható, milyen viselkedés számít általánosnak és természetesnek a cég infrastruktúráján belül tevékenykedő felhasználók és eszközök esetében. A rendszer pedig csak arról küld riasztást, ami ettől eltér.

Akadtak olyanok, akik azt gondolták, ezek a megoldások teljes egészében le fogják váltani a biztonsági információ- és eseménykezelő rendszereket. Számos olyan eset van azonban, amely hagyományos SIEM-megoldással jobban kezelhető. Az ideális tehát az, amikor a két technológia kiegészíti egymást.

Akcióban az okos SIEM

A Micro Focus szakértői szerint is egyesíteni kell a SIEM és az UEBA előnyeit, ezért vásárolta fel egy éve a szoftvervállalat az Interset kiberbiztonsági céget, amely gépi tanulást is alkalmazó UEBA-megoldást fejlesztett ki.

Az eszköz képes felügyelet nélküli gépi tanulást alkalmazva magától elemezni és megállapítani, milyen aktivitások számítanak megszokottnak a felhasználóknál, és melyek adnak okot gyanúra. Ilyen lehet például, ha egy munkatárs olyan, érzékeny információkat tartalmazó dokumentumokat nézeget, amelyekre nincs szükség a mindennapi munkájához, vagy nagy mennyiségű céges anyagot küld át a privát e-mail címére.

Az ArcSight megoldás minimális számú fals pozitív találatot ad, így a legmodernebb, „okos SIEM”-képességeknek köszönhetően a biztonsági szakembereknek csak azokkal az esetekkel kell foglalkozniuk, amelyek valóban figyelmet érdemelnek.

Az eszköz ráadásul nem csupán a fenyegetések felderítését automatizálja, de a válaszreakciókat is. Ezen felül olyan képességek is elérhetők, amelyek révén az képes magától megtenni a szükséges lépéseket egy incidens esetén. Például a feltört fiókokat automatikusan zárolja, SMS-ben értesíti a felhasználót, és új jelszót is generál.