Przykładowe źródła informacji na potrzeby korelacji i analityki w systemach SIEM
Na koniec warto spojrzeć na to, o czym pisaliśmy wyżej, ale w nieco innym kontekście - o gromadzeniu wielu danych z różnych źródeł. I tutaj zupełnie subiektywne spojrzenie autora. Ostatnio zadano mi pytanie, czy SIEM to narzędzie do Big Data? Na początku pomyślałem, "o matko, wszyscy teraz o tym Big Data". Jakiż to modny i nośny termin. Ale zacząłem się zastanawiać, czy faktycznie jest o czym mówić w kontekście naszych rozważań? W międzyczasie przeczytałem relację z konferencji RSA, która odbyła się na początku tego roku. Rozmawiano tam m.in. o Big Data w kontekście analizy informacji bezpieczeństwa. Podano przykład jednej z organizacji (Jefferies & Co - 5 000 pracowników), która dziennie gromadzi ok. 25 GB danych związanych z bezpieczeństwem. W procesie korelacji i zaprzęgnięcia analityki z tego zalewu informacji udaje się wyłowić ok. 50 problemów, ale faktycznie istotne okazują się 2. Podczas panelu w powietrzu zawisło pytanie: czy do obróbki takiej ilości danych potrzebne są wymyślne narzędzia do Big Data? David Hannigan z Zappos stwierdził, że wystarczą tutaj narzędzia "klasyczne" SIEM-y np. Splunk. Z kolei Stephen Moloney - oficer bezpieczeństwa w jednej z uczestniczących z konferencji firm - wnioskował, że kierunek powinien być trochę inny. W dzisiejszych czasach oczekiwałby raczej informacji o stanie bezpieczeństwa widzianym z lotu ptaka tzw. big picture. A żeby podgrzać atmosferę, moderator dyskusji - Rick Holland z Forrestera zapytał, ile osób ma u siebie wdrożonego SIEM-a. Las rąk - ponad połowa. I tutaj padło pytanie pogrążające - kto uważa, że wdrożenie zakończyło się sukcesem? W górze zostały pojedyncze ręce. To znowu rozgrzało dyskusję. Finał był taki, że uczestnicy doszli do wniosku, że nie ma znaczenia, czy mamy do czynienia z "Big Data", czy "Small Data". Ważne jest dobre zaprojektowanie procesów obsługi i analizy informacji, jasno wytyczony cel do osiągnięcia i zrozumienie tego, jakie gromadzone dane niosą za sobą znaczenie informacyjne. Na końcu liczy się więc człowiek, jego umiejętności i "nos".
