Systemy SIEM w organizacjach
- Patryk Królikowski,
- 15.04.2013
Fazy wdrożenia SIEM
Implementację systemów SIEM należy podzielić na fazy. Niewątpliwie najważniejszy jest etap analizy potrzeb. To tutaj określa się podstawowe cele do osiągnięcia, a na tej podstawie źródła, które zasilą system informacją, czy scenariusze korelacyjne, których materializacja doprowadzi do powstania incydentu. Tutaj wreszcie inicjuje się proces obsługi incydentów. Etap przygotowawczy z reguły traktowany jest po macoszemu i dość często spotykamy się z tzw. pójściem na żywioł. Potem przychodzi rozczarowanie. Istnieje duża szansa, że wyniki badania, które przeprowadziła niedawno firma eIQnetworks znajdują swoją przyczynę w zaniedbaniach poczynionych w tej właśnie fazie.
Patrząc od strony praktycznej, opierając się na doświadczeniu autora, pokusiliśmy się o wyróżnienie kilku najważniejszych etapów fazy przygotowawczej, nad którymi warto zapanować:
• FAZA: analiza potrzeb i przygotowanie do implementacji:
• Określenie celów - przypadków użycia
• Cel główny: wybór właściwej technologii/dobór funkcjonalności rozwiązania
• Oszacowanie skali:
• Cel główny: dobór właściwych parametrów technicznych rozwiązania, w tym:
• Zaprojektowanie architektury rozproszonej geograficznie (jeśli konieczne)
• Określenie wąskich gardeł np.
• identyfikacja źródeł danych generujących wolumen zdarzeń przekraczający możliwości komponentu zbierającego
• identyfikacja źródeł danych zlokalizowanych w odseparowanych segmentach sieci, gdzie konieczne staje się szczegółowe zarządzanie pasmem niezbędnych przekazania zdarzeń
• przestrzeni na dane
• konieczne określenie wymaganego czasu retencji
• określenie liczby oddzielnych repozytoriów zdarzeń - o ile takie podejście będzie konieczne i/lub możliwe do zrealizowania w danym rozwiązaniu
• Określenie źródeł informacji
• Cel główny: przeprowadzenie studium wykonalności, w tym oszacowanie możliwości podłączenia wymaganych źródeł informacji. Kluczowe będzie poprawne zidentyfikowanie wszystkich tzw. niestandardowych źródeł danych
• Przegląd procesów w organizacji, w które włączony zostanie system SIEM, a w szczególności proces obsługi incydentów
• Cel główny: uwzględnienie możliwości modyfikacji procesów w związku z toczącym się projektem
• Określenie struktury zarządzania rozwiązaniem:
• Cel główny: zaprojektowanie mechanizmu RBAC
• Przygotowanie listy oczekiwanych raportów i uzyskanie próbki z każdego z badanych rozwiązań
• Cel główny: określenie możliwości raportujących w interesujących nas obszarach
Zdecydowanie warto również pochylić się nad wyborem dostawcy. I to nie tylko od strony oferowanej technologii - ta w topowych narzędziach jest porównywalna (decydują konkretne przypadki użycia), ale przede wszystkim kompetencji wdrażającego. W naszych realiach normą jest, że organizacje poszukujące SIEM-a mają problem ze zdefiniowaniem najbardziej pożądanych przypadków testowych. Tutaj bezcenna jest wiedza (poparta doświadczeniem w boju) integratora.
Bezpieczeństwo fizyczne:
• Zalogowanie użytkownika w systemie bez uprzedniej rejestracji w systemie dostępu fizycznego.
• Próby dostania się do określonych pomieszczeń, np. wielokrotne lub jednokierunkowe (wiele wejść, brak wyjść).
Bezpieczeństwo IT
• Zmiana w konfiguracji kluczowych systemów o nietypowych porach dnia.
• Nadawanie lub zmiana uprawnień administracyjnych na kluczowych systemach. Tworzenie kont użytkowników w dni, kiedy proces wnioskowania o założenie takich kont nie jest realizowany.
• Logowanie do systemu przez użytkowników będących na urlopie lub już niepracujących.
• Wielkokrotne nieudane logowania do systemów, a następnie udane zalogowanie do systemu i założenie użytkownika administracyjnego.
• Wielokrotne nieudane logowanie na to samo konto z różnych lokalizacji geograficznych lub z wielu stacji w obrębie tej samej lokalizacji.
• Wykrywanie zalogowania w systemie z uprawnieniami jednego użytkownika, a następnie nawiązanie połączenia z wykorzystaniem protokołu RDP do innego systemu z uprawnieniami innego użytkownika.