SIEM a USM

SIEM a USM

SIEM –  Security Incident and Event Management

Je název pro management různých bezpečnostních událostí, které spolu zdánlivě nesouvisí. Jejich spojením, ale vznikne ucelený pohled na bezpečnost celé sítě, jejich komponent, nainstalovaných operačních systému a uživatelů.

SIEM sbírá s firemní sítě data z různých komponet a prezentu je jako související a komplexní celek.

Data která jsou shromažďována jsou např.:

  • Logy ze stanic, serverů, routerů, firewalů, apod.
  • Network monitoring
  • Uživatelem definovaná nastavení správnosti fungování jednotlivých komponent

S těchto dat se pak vytvoří nová entita, která dává ucelený pohled na bezpečnost.

Např. V síti není možné aby se uživatel bez přihlášení dostal do sdílené složky. Pokud tato situace nastane SIEM manager vytvoří požadovanou akci (většinou alarm pro administrátora).

Pokud chce administrátor tyto procesy kontrolovat manuálně, musí provézt minimálně dvě, časově náročné, operace. SIEM management je zvládne ve zlomku času a navíc je přehledně publikuje.

Administrátor má tak ulehčenu práci tím, že se nemusí zabývat zjišťováním odkud a jak se útok provádí, ale zabývá se pouze jeho eliminací a odstraněním.

Vedení firmy je do ruky dán i mocný nástroj pro reportování bezpečnosti celé sítě. V programech, zabývající se SIEM lze vygenerovat reporty týkající se veškerých rizik spojených s provozem prostředí.

 

SIEM- nevýhody

Ač by se mohlo zdát, že SIEM je to, co vaše společnost potřebuje k bezvadnému zabezpečení, prosím, čtěte dál.

Řešení programy SIEM je v dnešní době poněkud zastaralé a ne příliš pružné. Pomalu reaguje na vývoj nových trendů v síťové bezpečnosti.

Jelikož se logují veškeré bezpečnostní incidenty, lze jen s obtížemi určit, co je opravdu důležité řešit a co je pouze falešný poplach.

Jejich použití je ponekud složitější. Lze si vytvářet vlastní definice hrozeb, nebo přetvářet stávající, ale tato práce generuje zapojení lidí, kteří pravidla vytvářejí, což může vézt k nepřiměřené časové zátěži.

SIEM programy nelze spouštět opakovaně- Pokud je reportován bezpečnostní incident a administrátor přijde na to, že se jedná pouze o falešný poplach a přepíše pravidla, nelze scan znovu spustit a ověřit správnost pravidla.

SIEM řešení nebývají zpravidla nejlevnější. Korporace musí vzít v úvahu např. licencování (které se může odvíjet od počtu sledovaných objektů, velikosti sítě, apod.), výdaje na instalaci a nastavení, výdaje na administraci, na upgrade, na úpravu sledovaných objektů a v neposlední řadě na vyškolení personálu.

Firmy zabývající se SIEM managementem lze rozdělit podle toho, jak jednoduché jsou jejich projekty a jak vnímají pokrok v tomto odvětví bezpečnosti (jak ukazuje následující graf):

 

USM – Unified Security Management

Vhodnou alternativou pro SIEM mamagement se stalo řešení nazývané USM (Unified Security Management). Programy založené na tomto standartu podporují přehlednost, zobrazují minimum falešných poplachů, je snadné je implementovat, s minimem zásahů do běžících systémů, jsou levné, ale zároveň přebírájí od SIEM managementů jejich výhody, takže je napříkald možno definovat si vlastní pravidla incidentů.

Firma Solutia, s.r.o. vám nabízí program ze skupiny USM management s názvem Alien Vault USM. V tomto programu naleznete veškeré potřebné nástroje pro efektivní bezpečnostní zprávu a monitoring vaší sítě.

Alien Vault USM

Firma Solutia, s.r.o. hrdě prohlašuje, že se stala výhradním distributorem a partnerem firmy Alien Vault pro software Alien Vault USM v Českoé republice.

Se softwarem Alien Vault USM může vaše firma zabezpečit svou síť, jako nikdy před tím.

Lze využít realtimových komunikačních kanálů přímo s odborníky Alien vault, kteří vám pomohou odstranit váš konkrétní bezpečnostní incident. Sami si pak můžete monitorovat a zabezpečovat síť pomocí následujících funkcí:

Asset Discovery and Management

Monitoruje existenci zařízení, porovnává jejich existenci se seznamem schválených zařízení, případně umožňuje schvalování nových zařízení do systému.

Vulnerability assessment and management

Testuje zařízení v síti na přítomnost známých zranitelnosti na úrovní “blind-testů” u testů přístupovým heslem do testovaného systému.

Threat Detection

Detekce hrozeb na úrovní network i host based IDS.

File Integrity Monitoring

Monitoruje, řídí a chrání důležitá datová uložiště a sleduje integritu dat, přístupu k citlivým informacím vyhodnocuje neobvyklé situace.

Behavioral Analysis

Analýza chování uživatelů a aktivit na síti na základě analýzy logů, síťových toků, monitoringu dostupnosti jednotlivých zařízení a systému (Service Availability Monitoring), včetně možnosti záznamu kompletního síťového provozu a jeho analýzy v případě incidentu, monitoringu a report aktivit vybraných uživatelů, zejména s vyššími uživatelskými právy.

Security Intelligence

Analýza bezpečnostně relevantních událostí (pomoci USM a SIEM technologií) a systém automatizovaných reakcí na detekované incidenty.

Incident Response Handling

Umožňuje detailní analýzu dějů a procesů v případě incidentů, včetně zajištění základních kritérií a pravidel pro poskytování elektronických důkazů pro případné právní řízení na základě zjištěných incidentů.

Reporting

Detailní reporting a hodnocení úrovně bezpečnosti, možnost prokazování Compliance s definovanými standardy (např. ISO 27001) a regulativy.

 

Naše řešení komplexního monitoringu USM a SIEM obsahuje:

1. Samotné dodání a zprovoznění systému na HW/SW platformě zákazníka v režimu 24×7
2. Provedení analýzy a implementace řešení v souladu s analýzou
3. Otestování všech funkčností dodaného řešení
4. Školení administrátorů a superuživatelů (bezpečnostní manager, správce, auditor apod)
5. Podpora dodaného řešení od zahájení produkčního provozu

Firma Solutia, s.r.o. je certifikovaný partner společnosti Alien Vault.

Přihlášení k odběru zpravodaje

*povinné pole