ELASTIC SIEM: Vaš elastičan odgovor na sutrašnje sajber pretnje

Sajber bezbednost je za dobar broj poslovnih ljudi pomalo ono što je zdravstvena ustanova za običnog čoveka. Plaćamo osiguranje, verujemo da smo zdravi, retko tamo idemo jer uvek imamo važnijih stvari, a ako prečesto budemo išli, mogli bismo nešto i da pronađemo što bi nas dosta koštalo u stresu, vremenu i novcu, pa je lakše da živimo u, neko bi rekao, blaženom status quo mod-u.

Za IT menadžere međutim, te „privilegije“ ne važe. Dok se vozite ujutro kroz gradsku gužvu do posla i razmišljate o vašim planovima i zadacima za danas, zovu vas kolege da vam kažu da je na 10 servera i 40 računara, od ukupno 250 koliko imate, od jutros detektovan neki generički trojanac, koji se uporno vraća nakon što ga vaša endpoint zaštita obriše. Ne, niko nije zvao niti pisao da traži nikakav novac. Još uvek.

Od planova naravno više nema ništa, stomak vam se već steže, a u glavi roji 1.000 pitanja. Imamo firewall, ažuriramo Windows-e i endpoint zaštitu. Kako su ušli? Kada? Kuda? Šta su već izneli? Šta je sve kompromitovano a mi još ne znamo? Ugasićemo Internet, za početak, to je najlakše. Uh, a klijenti? A zaposleni? A tek menadžment? Braniću se da mi nisu dali budžet koji sam tražio. Već znam, reći će mi da je trebalo da im pomognem da unapred sagledaju posledice i da su mislili da smo bezbedniji, da već plaćamo endpoint zaštitu itd.

SIEM rešenja postoje oko dvadesetak godina i može se reći da su s promenljivim uspehom bila prihvaćena u svetu sajber bezbednosti.

Dok razmišljam o tome da ću im reći da još ne postoji bezbednost „na dugme“, bez obzira na sredstva, setim se izreke da trenutak u kom ste napadnuti nije baš najbolji da smišljate odbrambenu strategiju. Nek računaju štetu za firmu i nove budžete, moj prioritet je da isteramo uljeze i vratimo mrežu u mirnodopsko stanje. Samo još da smislim odakle da krenemo…

Kao što nema dve jednake firme, tako nema ni dve firme s jednakim rizicima i potrebama po pitanju sajber bezbednosti. Ako odgovarate za sajber bezbednost u vašoj firmi, a već znate da vaša reputacija kao firme ili gubitak prihoda u slučaju da firma ne radi nekoliko dana ili čak nedelja vredi mnogostruko više nego što ste do sada investirali u sajber bezbednost, ovaj tekst je prvenstveno namenjen vama.

Šta bi, nakon što se izbore s napadom, na pitanje o tome šta predlaže kako da se nešto slično ne ponovi, naš IT menadžer verovatno preporučio svom menadžmentu? Da nabave neki moderan SIEM sistem, koji upošljava statističke modele (da ne kažem Machine Learning (ML) ili, još gore, da pomenem AI), da upoznaju vašu mrežu, pronalaze anomalije i igle u plastu sena, pale alarme i automatski preduzimaju akcije tamo gde je automatizacija moguća (npr. u slučajevima gde je dozvoljeno da se prvo puca u žbun pa se onda kroz dim proverava šta je pogođeno ili se otkrije da se žbun mrdao samo od vetra).

A kako bismo našem menadžmentu odgovorili na zdravorazumsko pitanje: „Koja bi bila suštinska razlika sa SIEM-om u odnosu na sadašnji pristup koji smo imali“? Zamislimo na trenutak kako bi izgledao TV prenos uživo velikog sportskog događaja pokrivenog kamerama, bez centralne sobe u kojoj režiser prenosa vidi šta svaka od kamera trenutno snima. Režiser bi kroz jedan ekran mogao da se poveže na svaku pojedinačnu kameru, ali kroz jedan ekran ni sam ne bi mogao da shvati šta se događa ni gde je potreban fokus, a kamoli da to omogući gledaocima kraj malih ekrana. Tako ugrubo izgleda cyber security bez SIEM sistema.

Elastic može biti dobar ulaz u SIEM svet. Vrlo je fleksibilan, ima veliku bazu korisnika i konektora, dobru podršku i viziju i stvarno pruža odličnu vrednost za investirani novac.

Šta treba da ima jedno savremeno SIEM rešenje kakvo je, na primer, danas holandski Elastic? Mora da ima agente (ili drugi mehanizam) za sakupljanje i uniformisanje logova sa radnih stanica, servera, mrežnih uređaja, aplikacija za upravljanje identitetom i autentifikacijom korisnika, Web servera i drugih nama bitnih sistema. Šta još? Mora da ima sistem za indeksiranje i analizu logova bitnih za vašu bezbednost, kako bi brzo bili dostupni kad i gde su potrebni. Potreban je i interfejs, pomoću kojeg se iz kontrolnih tabli, prikaza i alarma na jednostavan način razumeva šta se dešava u našoj mreži. Ovo sve smo imali i pre 20 godina. A danas?

Danas praktično u realnom vremenu odabrani ML algoritmi detektuju anomalije u odnosu na redovno stanje u našoj mreži i privlače nam pažnju na događaje koje naša endpoint zaštita jednostavno nije dizajnirana da uoči. Koje događaje? Na primer, neobičan obim saobraćaja kroz DNS protokol, što liči na izvlačenje podataka, zatim uspešna logovanja s neuobičajenih lokacija, što liči na kompromitovan nalog korisnika, povećani obim saobraćaja ka nekoj zemlji ili detekcija prebacivanja neuobičajeno velikog obima fajlova između dve radne stanice u mreži. Ovo su samo primeri, a ovde nam, kao što rekoh, retko koja endpoint zaštita može pomoći jer ovo nisu pretnje u tradicionalnom smislu, već pretpostavke izvedene iz korelacija, koje pružaju priliku da sami preventivno izrežiramo odgovor umesto da budemo statisti u tuđoj režiji.

Autor: Bojan Miljković, direktor, Extreme d.o.o.

Preuzeto sa: ELASTIC SIEM: vaš elastičan odgovor na sutrašnje sajber pretnje | PC Press