Image
31.7.2019 1 Comments

Ako implementovať monitorovanie bezpečnosti vo veľkej platforme

Špeciálny projekt

V dnešnom svete kybernetickej bezpečnosti je SIEM (Security information and event monitoring) kľúčovou súčasťou skladačky k úspešnému riešeniu incidentov a prípadových štúdií. Pred zavedením systému SIEM je dôležité mať správne vedomosti o prostredí a všetkých požiadavkách. Najdôležitejšie je porozumieť dátam nachádzajúcim sa v platforme. Najprv  musíme navrhnúť implementačné technológie na vybudovanie infraštruktúry vrátane vhodného dimenzovania a celkovú architektúru. Musíme zvážiť viaceré faktory - odhad množstva údajov, ktoré budú uložené, vyhľadávané a majú aj možný budúci rast.

Použiteľné a cenné dáta

Vo väčšine veľkých prostredí je potrebné spĺňať minimálne požiadavky na dostupnosť, výkonnosť a ovládateľnosť. V rámci nástrojoch SIEM sa používa podobné poňatie, výber preto závisí od vašich potrieb. Zamerajme sa na riešenie SIEM, založené na produkte Splunk Enterprise s aplikáciou Premium Enterprise Security.

Cieľom je pripraviť strojové dáta (machine data) - použiteľné a cenné pre všetkých zainteresovaných ľudí a premeniť ich na odpovede.

Strojové dáta vstupujú do systému prostredníctvom prepravných agentov (forwarders), kde sa spracúvajú, potom sa presúvajú do indexerov, kde sú uložené. Následne sú sprístupnené používateľom alebo SOC tímu prostredníctvom vyhľadávacích hláv (search heads).

Zoskupovaním inštancií do klastra a nastavením konfigurácie dosiahneme riešenie s vysokou dostupnosťou a odolnosťou voči chybám ako strata záznamov či poruchy komponentov. Do SIEM je možné nakonfigurovať podporné aplikácie, doplnky  alebo prémiové riešenie - Enterprise Security. 

Doplnok pri získavaní dát

Splunk ekosystém pozostáva okrem vyššie spomenutých procesných inštancií aj z riadiacich komponentov. „Hlavný uzol" (master node) s funkciou „orchestrátora" je zodpovedný za aktualizácie a koordináciu indexového klastra. Informuje vyhľadávaciu hlavu, kde sa dá vyhľadávať. Po nainštalovaní a nakonfigurovaní platformy SIEM je totiž dôležité venovať pozornosť získavaniu dát.

V tejto fáze by sme mali zvážiť, aké a ako budú strojové dáta konzumované platformou. Nesprávny formát dát spôsobí problémy počas vyhľadávania, môže prerušiť spoluprácu s inými aplikáciami. Pre normalizáciu dát existujú bezplatné technické doplnky alebo aplikácie, ktoré pomáhajú našim údajom získať význam a pridanú hodnotu. Za zmienku stojí podporujúci doplnok Common Information Model, ktorý normalizuje štítky (tags) a polia počas vyhľadávania, čím umožňuje koreláciu medzi zdrojmi údajov a zjednodušuje vyhľadávanie. 

Spektrum vstupných dát je takmer neobmedzené - od operačných systémov a sieťových zariadení, cez bezpečnostné zariadenia a aplikácie až po údaje o zraniteľnostiach a dopravných tokoch. Riešenie pre vstup dát vždy závisí od zdrojov, typu a ďalších bezpečnostných požiadaviek.

Zbieranie dát bez agentov

V niektorých prípadoch, ak ide napríklad o systémy tretích strán, nie je dovolené inštalovať agenta na zbieranie údajov. V tomto prípade zriadime monitorovanie bez agentov - zmeníme vrstvu univerzálnych prepravcov nainštalovaním prechodného „ťažkého” (heavy) prepravcu. Toto riešenie predpokladá, že systémy používajú štandardné alebo podporované typy na zber dát na diaľku, napríklad Syslog. Systém SIEM jednoducho spustí plánované úlohy, aby odtiaľ zhromaždil všetky dáta.

Akonáhle sú strojové dáta správne konzumované prepravcami, spracované a uložené do udalostí pomocou indexerov, sú pripravené na vyhľadávanie. Srdcom Splunku je „Jazyk spracovania vyhľadávania" (SPL), ktorý slúži na vyhľadávanie, filtrovanie, modifikáciu i obohacovanie dát. Dalo by sa povedať, že je to Google pre naše dáta. Potom už je čas pre pravidlá korelácie v reálnom čase, upozornenia, vyšetrovania incidentov, vlastné informačné panely, správy a pokročilé analýzy. Vytvorenie bezpečnostného prístupu pre organizáciu je náročnou úlohou, ale vynikajúcim štartovacím bodom sú “CIS” kritické bezpečnostné kontroly.

V krátkosti sme si predstavili základný koncept SIEM, ako dosiahnuť viditeľnosť, analýzu, akcie nad dátami aj ako získať úplný prehľad o tom, čo sa deje v platforme.

Autor: T-Systems Slovakia s.r.o
Pripravil: 
Ľubomír Juraško, Senior ICT Engineer


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Technológie

IT GALA 2019: Odovzdávanie technologických „Oskarov“ už čoskoro

13.09.2019 14:42

Bratislava, pondelok 16. septembra 2019 – Tradícia udeľovania prestížnych cien IT firma roka, IT osobnosť, IT produkt a IT projekt roka pokračuje už devätnásty rok. Tento rok bude po prvýkrát vyhlásen ...

Technológie

Armádna technológia ATLAS je ďalším krokom k autonómnym zbraniam ala Terminator

13.09.2019 00:10

Na autonómnu technológiu vo vojenskom priemysle existujú dva rôzne názory. Jedna skupina hovorí, že pokusy o vytvorenie „virtuálneho člena posádky“, ktorý by nahradil ľudí v tankoch a pozemných vozidl ...

Technológie

Závažné rozhodnutia AI by mali byť preverované. Buducnosť patrí auditovateľnej AI

13.09.2019 00:05

Systémy s umelou inteligenciou dnes rozhodujú o pôžičkách, lekárskych diagnózach či prepustení na kauciu. No sú to nepriehľadné systémy, navyše náchylné na zaujatosť. Z technických aj obchodných dôvod ...

q

1 Comments

  1. :D reakcia na: Ako implementovať monitorovanie bezpečnosti vo veľkej platforme
    31.7.2019 13:07
    Zakaz mobily, zrus internet a zakaz pripojenie prenosnych medii na PC a urob tlacenie cez server s kodmi pre ludi. Tym dosiahnes to co v clanku a za skoro nulove peniaze.
    Reagovať

Vyhľadávanie

IT GALA stvorec 2019

Najnovšie videá

SlovakiaTech 2019