Zdarzenia, incydenty i zarządzanie

Z powodzeniem może również zostać zastosowany model PDCA (Plan-Do-Check-Act, czyli Planuj-Wykonuj-Sprawdzaj-Działaj), wyrażony w normie PN/ISO 27001:2007. Czterofazowo do cyklu zarządzania incydentami podchodzi również wspominany wyżej ISO/IEC TR 18044:2004, z tą jednak różnicą, że norma ta odnosi się wprost do procesu zarządzania incydentami, podczas gdy PN/ISO 27001:2007 dotyczy systemu zarządzania. Tutaj fazy są następujące: Plan and Prepare, Use, Review, Improve (Zaplanuj i Przygotuj-Używaj-Przeglądaj-Usprawniaj). Nie będziemy dokładnie omawiać każdego etapu. To zupełnie osobny temat. Natomiast warto ogólnie spojrzeć na to, jakie elementy każda faza obejmuje.

W fazie planowania należy skupić się na przygotowaniu polityki bezpieczeństwa związanej z zarządzaniem incydentami oraz dokumentacji (np. formularzy, planu postępowania itp.). Tutaj też trzeba zebrać odpowiednie narzędzia wspomagające proces, powołać tzw. ISIRT (Information Security Incident Response Team), czyli zespół reagowania na incydenty, oraz rozpocząć akcję edukowania użytkowników.

Zdarzenia, incydenty i zarządzanie

NetIQ Security Manager

W kolejnej fazie należy skorzystać z tego, co zostało przygotowane w fazie pierwszej. Dzięki temu możliwe będzie rozpoczęcie monitorowania, zbieranie i analiza zdarzeń, a w przypadku wystąpienia incydentu wdrożenie procedur eskalacyjnych i podjęcie szybkich działań zaradczych. Już na tym etapie można również dokonywać wstępnej analizy incydentów i ich przyczyn.

Podczas etapu przeglądu (review) należy przeprowadzić dalszą analizę incydentów oraz wyciągnąć wnioski zarówno w stosunku do jakości bezpieczeństwa, jak i do przygotowanych w pierwszej fazie procedur i dokumentów.

Wreszcie w ostatniej fazie należy wyciągnięte wnioski przełożyć na rzeczywistość i wprowadzić odpowiednie poprawki. A jeżeli znowu dojdzie do incydentu... Cóż, proces rozpoczyna się od nowa.

SEM, SIM, SIEM - o co tu chodzi?

Zarządzanie incydentami bezpieczeństwa nie opiera się tylko i wyłącznie na znajomości norm i wytycznych. Potrzebne są również narzędzia, które wspomogą cały proces. W związku z nie do końca dojrzałym jeszcze rynkiem nie ma rozwiązań idealnych i nie każde będzie uniwersalne. Przed wyborem produktów należy zrozumieć różnice funkcjonalne pomiędzy nimi. W dużym uogólnieniu możemy wyróżnić ich trzy podstawowe kategorie: SEM (Security Event Management), SIM (Security Information Management) oraz SIEM (Security Information and Event Management).

Do grupy SEM zalicza się takie narzędzia, które pozwalają na monitorowanie (także w czasie rzeczywistym) i korelację zdarzeń oraz informowanie o nich administratora. Za pomocą takiego systemu można gromadzić informacje o poszczególnych zdarzeniach i dane z nimi powiązane. Możliwe jest również zdefiniowanie określonych działań w momencie wystąpienia zdarzenia czy incydentu.

Zdarzenia, incydenty i zarządzanie

Oprogramowanie RSA enVision

Podobnie wyglądają systemy SIM, nie są to jednak pojęcia tożsame. SIM pozwalają na prowadzenie analizy danych historycznych i na tej podstawie generują określone raporty czy alerty. W związku z tym mają mocno rozbudowane narzędzia raportujące, za pomocą których tworzone są często wielowątkowe, złożone zapytania. Z reguły systemy SIM nie potrafią korelować informacji w czasie rzeczywistym i od razu reagować, za to dobrze nadają się do przeprowadzania np. wewnętrznych audytów czy badania zgodności z regułami polityki.

Ewolucja zarówno systemów SEM, jak i SIM doprowadziła do wykrystalizowania się tworu pod nazwą SIEM, który stanowi połączenie cech obydwu koncepcji w jednym pakiecie. Systemy SIEM pozwalają zatem gromadzić, analizować, a następnie normalizować, agregować, korelować oraz czytelnie przedstawiać informacje pochodzące z szerokiego spektrum źródeł. Na bazie spływających informacji potrafią również tworzyć incydenty. Zdarzenia mogą napływać np. z systemów operacyjnych, aplikacji, urządzeń sieciowych, systemów bezpieczeństwa, baz danych i wszelkiego rodzaju logów. To wszystko analizowane jest w czasie rzeczywistym.

Zatrzymajmy się na chwilę przy pojęciach. Nie zawsze jest jasne, co każde z nich oznacza. Gromadzenie i analizowanie nie budzi wątpliwości, ale wyjaśnienia wymaga normalizacja, agregacja i korelacja. Normalizacja polega na takim przekształceniu informacji napływających z różnych źródeł i w różnej postaci (np. logi PIX czy SNORT), aby sprowadzone zostały do wspólnego formatu, który może zostać poddany dalszej obróbce przez system SIEM.

Czasami z procesem normalizacji połączona jest także wstępna segregacja, czy też kategoryzacja danych (np. pochodzące z zapory, systemu IDS, bazy danych). Agregacja jest procesem zebrania wielu podobnych do siebie zdarzeń w jedno (ze wskazaniem liczby wystąpień zdarzeń je tworzących). Procesowi agregacji niejednokrotnie towarzyszy wstępna filtracja, która pozwala na "odsianie" całej masy zdarzeń zupełnie nieistotnych z punktu widzenia bezpieczeństwa. Wreszcie korelacja - w jej toku odbywa się badanie związku pomiędzy wcześniej znormalizowanymi i zagregowanymi zdarzeniami. Jeżeli określony (rzadko automatycznie, częściej w drodze ręcznej konfiguracji) związek zostanie odnaleziony, wówczas mogą nastąpić kolejne etapy przetwarzania, np. wygenerowanie alertu czy stworzenie incydentu.

Producenci oferują systemy SIEM w dwojakiej postaci - appliance, np. Symantec SSIM, RSA enVision, Cisco (chociaż MARS pasuje bardziej do kategorii SEM), lub jako oprogramowanie, np. IBM Consul, Check Point Eventia Analyzer.


TOP 200