Siem

280 dni, tyle średnio wynosi czas wykrycia intruza wewnątrz sieci. Skuteczny monitoring infrastruktury IT oraz usług, to nie lada wyzwanie, nawet przy małej sieci mamy do czynienia z wieloma technologiami. Błędnym założeniem jest lekceważenie możliwość ataku na naszą organizację. Czasami ataki nie odbywają z zewnątrz ale poprzez nieuczciwych pracowników. Potencjalnych możliwości, ataku jest sporo, większa część z nich została opisana w tablicach MITRE, przy takiej ilości manualne próby wykrycia intruza mogą być wręcz niemożliwe. Na szczęście w IT wszystko da się zautomatyzować, i tu z pomocą przychodzą rozwiązania klasy SIEM, Security Information and Event Management.

Dlaczego SIEM jest taki ważny

Dbanie o bezpieczeństwo jest procesem ciągły, a liczba ataków na systemy teleinformatyczne stale rośnie. Niestety, ale nadal wśród wielu firm panuje przekonanie, że nas to nie dotyczy, bo dlaczego ktoś miałby zaatakować naszą firmę. W niektórych przypadkach, to nie my musimy być celem ataku, Wanna Cry czy Not Petya skutecznie pokazały jak dużym zagrożeniem jest atak ransomware, który tak na prawdę celowany był w Ukrainę. Na obecną chwilę samo zastosowanie firewalla nie jest już wystarczające do zabezpieczenia sieci. W dobie pandemii i pracy zdalnej wykorzystujemy cały zestaw narzędzi takich jak MDM, EDR, IPS/IDS, NAC, nie jest istotne czy wybierzemy wersje Open Source czy płatne rozwiązanie. Monitoring każdego z narzędzi wiąże się z analizą dużej ilości logów i eventów. W połączeniu ze zdarzeń z kontrolera domeny otrzymuje ogromną ilość danych. Korelacja między różnymi zdarzeniami, to potęga urządzeń klasy SIEM, a dodatkowo otrzymujemy raportowanie i priorytetyzacje zdarzeń, co znacznie ułatwia pracę analityka.

Jak działa SIEM?

Nawet najmniejsza infrastruktura może liczy po kilka dziesiąta urządzeń. Przełączniki, router, urządzenia bezpieczeństwa, zdarzenia z oprogramowania antywirusowego generują spora ilość zdarzeń. Głównym zadaniem urządzeń klasy SIEM jest centralizacja gromadzonych danych oraz nadanie im odpowiednich kategorii, które uławiają późniejszą analizę. Teoria teorią, ale jak to wygląda w praktyce.

Idealnym przykładem działania SIEM mogą być logi z kontrolera domeny, który jest sercem każdej organizacji. Przejęcie konta administratora domeny może równać się z kompromitacją całej organizacji. Większość nowoczesnych systemów posiada szereg wbudowanych reguł korelacyjnych. Załóżmy, że otrzymujemy zdarzenie na nieudane logowanie na konto administratora. Ok, może się zdarzyć, przecież każdy może się pomylić, ale co w przypadku, gdy mamy 10 takich prób w ciągu minuty? Nie posiadając SIEM, analityk musiałby ręcznie policzyć wystąpienia i czas w jakim wystąpiły. Dzięki regułą korelacyjnym, dostaniemy informację szybciej i w postaci jednego alertu. 

Innym przykładem jest kategoryzacja zdarzeń. Systemy SIEM potrafią grupować zdarzenia po ich typie, np. zdarzenia odpowiedzialne za autoryzację. Dzięki kategorią system jest nie ważny, może być to logowanie po SSH, z wykorzystaniem konta domenowego, czy zwykłe logowanie do web aplikacji. Zdarzeń z błędnym logowaniem będą zaliczane do tej samej kategorii, a co za tym idzie, wystarczy jedna reguła, aby zapanować nad autoryzacją.

Normalizacja i korelacje

Główna zaletą urządzeń klasy SIEM, jest możliwość gromadzenia logów niezależnie od formatu i uzyskanie z nich niezbędnych informacji. Taki proces nazywamy normalizacja. Urządzenia wysyłają logi w różnych format, np. zdarzenia z Active Directory możemy otrzymać w formacie XML, bądź zwykłego tekstu. SIEM powinien bez większych problemów wyciągnąć najważniejsze pola, takie jak Event Code, Date, Security ID, etc. Podobnie jest w przypadku logów z systemów UNIX. Pomimo różnego zapisu dla dat, nazwy użytkownika, SIEM zmapuje odpowiednio pola. Niestety nie zawsze jest tak idealnie, i w niektórych przypadkach sami musi napisać parsery do wyciągania interesujących nas pól. Tworzenie własnych parserów jest skomplikowane, dlatego warto skorzystać z regex101.

Zgromadzone dane poddawane są analizie i wyszukiwaniu anomalii. SIEM potrafi korelować zdarzenia z różnych urządzeń i wykryć potencjalne anomalie. Posiada szereg wbudowanych reguł korelacyjnych, wykrywających najczęstsze zagrożenia. W większość pojawia się także integracja z matrycą MITRE, a w połączeniu z różnymi opracowaniami ataków możemy dość sprawie tworzyć własne reguły. Przydatnym narzędziem jest SIGMA, dzięki której możemy przekonwertować reguły pod różnych producentów SIEM.

Dashboard

Poza zbieraniem i korelowaniem danych, dużym plusem urządzeń klasy SIEM jest ich późniejsza prezentacja, w postaci wykresów, paneli, które pozwalają zauważyć anomalię czy też trendy występujące w naszej infrastrukturze. Większość nowoczesnych SIEMów posiada wbudowane panel i wykresy jednak nic nie stoi na przeszkodzie, aby samemu tworzyć własne dashboardy, wykresy. Nic nie działa tak dobrze na spotkaniach zarządu jak kolorowe słupki:)

Reakcja na indcydenty

Oprócz wizualnej prezentacji zgromadzonych danych, SIEM potrafi także zaareagować na incydenty. W zależności do producenta reakcje mogą być bardzo zróżnicowane. Od wysłania zwykłego powiadomienia push, email, do zablokowania stacji końcowej. Nowoczesne urządzenia posiadają szereg wtyczek ułatwiających integracje z innymi urządzeniami bezpieczeństwa.

Czy potrzebujesz SIEMa

Dla działów Security Operation Center SIEM jest niezbędnym narzędziem podczas codziennej pracy. Centralizacja logów przyspiesza wykrywania niepożądanych zdarzeń, a w niektórych przypadkach pozwala zauważyć anomalie, które przy manualnej weryfikacji mogłyby zostać pomięte. Niestety urządzenia klasy SIEM wymagają ciągłego monitoringu i dbania o jakoś zbieranych danych. Bardzo łatwo z SIEM zrobić zwykły kolektor logów, z którego nic nie wyciągniemy, a przeszukiwanie danych może trwać wieki. Każdej firmie posiadającej kontroler domeny zalecam zapoznanie się z SIEM, niekoniecznie musi być to płatne rozwiązanie. Obecnie na rynku jest sporo darmowych SIEMów.

Jak wybrać SIEMa

Każde urządzenie bezpieczeństwa powinniśmy dopasować do naszych potrzebne. Przy pierwszym kontakcie z SIEM i prytanami typu, ile dziennie danych przesyłacie albo ile EPS(event per second) generujecie, może okazać się kłopotem. Różni producenci oferują kalkulatory epsów, logów, dopasowanych do rodzaju źródła(AD, Syslog, firewall), warto w pierwszej kolejności przygotować Excela z obliczeniami.

Na co zwrócić uwagę przy wyborze SIEM:

• Skalowalność: wielkość SIEM powinna zależeć od infrastruktury w jakiej ma pracować. Dużo firm błędnie podchodzi wyboru SIEMa inwestując na start zbyt dużo, dlatego bardzo ważne jest, aby system był łatwo skalowany i rozwijany w sposób dobrze zaplanowany i przemyślany.
• Wydajność: urządzenie odpowiedzialne będzie za gromadzenie ogromnej ilości danych, ich agregacje i korelacje, a także za wykrywanie incydentów w czasie rzeczywistym.
• Integracje: ważnym aspektem jest możliwość integracji z innymi producentami
• Interfejs: poza zaletami funkcjonalnymi czy sprzętowymi, GUI powinno być czytelne i przejrzyste, w innym przypadku wielogodzinna praca może być udrękom,
• Wdrożenie, koszty utrzymania: niestety utrzymanie rozwiązań klasy SIEM, to proces ciągły. Nie powinniśmy dopuścić do stanu w, którym SIEM służy jako kolektor logów i nikt nie nad nim kontroli. Wdrożenie takiego rozwiązania jest bardzo ważnym punktem startowym. Źle wdrożony system może całkowicie zmienić funkcjonowanie SIEM.

Dostępne systemy

Na rynku jest sporo rozwiązań klasy SIEM. Dla mnie numer jeden jest SPLUNK, po prostu zakochałem się w tym systemie. Na pewno jeszcze nie raz przeczytacie o Splunku u mnie na blogu. W zależności od dojrzałości i wielkości firmy, przy wyborze urządzenia SIEM, na pewno traficie na Magic Quadrant od Gartnera, znajdują się tam najlepsze rozwiązania na rynku. Z mojeg własnego doświadczenia mogę polecić AlienVault OSSIM oraz Security Onion.