Czym jest system SIEM?
SIEM (czyli połączenie Security Information and Event Management) to system informatyczny ulepszający cyberbezpieczeństwo firmy poprzez zbieranie oraz analizowanie informacji o incydentach, błędach i podatnościach w czasie rzeczywistym (możliwa jest również analiza danych historycznych).
Dzięki symultanicznemu analizowaniu informacji pochodzących z wielu źródeł w obszarze sieci firmowej oraz dostarczaniu nie tyle samych informacji, ile dokładnej analizy ryzyka system SIEM odznacza się wyjątkową skutecznością.
Jak działa system SIEM?
System SIEM zestawia informacje zaczerpnięte z wielu źródeł, następnie sprawdza, czy jakieś zdarzenia korelują ze sobą, każdemu z nich nadaje priorytet, przewiduje również możliwe niebezpieczeństwa i powiadamia o nich. Czasami wykorzystuje możliwości sztucznej inteligencji.
Systemy SIEM są niezwykle ważne dla działu bezpieczeństwa wszystkich dużych organizacji (np. banków), gdzie każdego dnia występuje wiele różnych zdarzeń. Osobno sprawiają one niegroźne wrażenie, lecz połączone ze sobą – mogą świadczyć o ataku hakerskim lub zainfekowaniu. Wymaga to dogłębnej wieloskładnikowej analizy, a możliwości ludzkiego umysłu są w tym zakresie ograniczone.
Funkcje systemu SIEM
Agregowanie informacji
Łączenie w jednym miejscu informacji pochodzących z różnych źródeł tej samej sieci, np. danych z aplikacji, programów, serwerów, routerów, punktów dostępowych, urządzeń i oprogramowań.
Korelowanie
Szukanie wszelkich powiązań i relacji pomiędzy konkretnymi wydarzeniami dziejącymi się w czasie rzeczywistym, ale także tymi z przeszłości (m.in. alertami, podejrzanymi działaniami). Potencjalne zagrożenie wykrywane jest nie tylko na podstawie historii, bierze się pod uwagę także wzorce i przewidywania.
Powiadamianie
Błyskawiczne informowanie o nadchodzącym zagrożeniu lub podejrzanym działaniu, co umożliwia natychmiastowe przedsięwzięcie kroków zaradczych, np. obrony przed hakerskim atakiem.
Nowoczesny system SIEM – co powinien zawierać?
Podobnie jak inne komponenty branży IT systemy cyberbezpieczeństwa stale się rozwijają, aby sprostać coraz większym wymaganiom przedsiębiorstw. System SIEM nie stanowi wyjątku. Na co zwrócić zatem uwagę, planując zakup tego rozwiązania? Co powinien posiadać system SIEM najwyższej klasy?
Niezawodna architektura Big Data (dająca możliwość gromadzenia ogromnej ilości danych codziennie generowanych w firmie, aby zapobiec kosztownym przestojom).
Wbudowany moduł UEBA (pozwalający na analizę zachowań użytkowników sieci firmowej i wykrywanie anomalii w ich aktywnościach).
Automatyzacja procesów cyberbezpieczeństwa (która odciąży zespół ds. bezpieczeństwa).
Integracje z innymi narzędziami bezpieczeństwa IT (posiadanymi przez organizację).
Możliwość ustalania priorytetów związanych z reakcją na incydenty (co pozwoli spersonalizować przeciwdziałania w przypadku cyberataku).
Nawet jeśli nie jesteśmy specjalistami ds. bezpieczeństwa w naszej firmie, wciąż pozostajemy przedstawicielami homo sapiens dwudziestego pierwszego stulecia – w zdecydowanej większości zapalonymi użytkownikami Internetu. Warto zatem mieć choćby mgliste pojęcie o jego współczesnych możliwościach, cyberzagrożeniach i sposobach cyberobrony.
Więcej na ten temat w innych artykułach działu ABC Bezpieczeństwa.