Příprava na log management a SIEM ve 3 krocích
Sledování a reportování bezpečnostních událostí není jen novou povinností v připravované NIS2. Log management a SIEM pomáhají v bezpečnostní prevenci a přináší i strategické výhody. Poradíme, kde a jak začít.
Nástroje pro sledování a práci s událostmi jsou žhavým tématem posledních měsíců. Je to hlavně díky vznikající směrnici NIS2, která nařizuje ohlašovací povinnost bezpečnostních incidentů a hrozeb. Pro zhruba šest tisíc subjektů se stanou log management a SIEM klíčovými ke splnění této povinnosti. To je určitě výzva. Můžete z ní ale i vytěžit.
Co se v článku dozvíte:
- podstatu log managementu a SIEM;
- hlavní přínosy event managementu;
- jak na analýzu svých systémů z pohledu logování;
- jak zjistit počet EPS (events per second) a potřebné GB;
- na co se zaměřit při výběru nástroje pro event management.
Log management je proces sběru a ukládání logů (událostí) z různých serverů a služeb na centrální místo v jednotném formátu. SIEM (Security Information and Event Management) funguje nad log managementem a umožňuje analýzu logů, korelaci, reporty i alerty.
Definice přesného předělu mezi log management a SIEM prakticky neexistuje. Zjednodušeně lze ale říct, že zatímco log management logy pouze shromažďuje a ukládá, SIEM umožňuje pokročilé nastavení pravidel pro jejich zpracování a analýzu.
Připravte se na NIS2
Získejte komplexní řešení pro sběr, správu a analýzu logů. Zajistíme platformu, konfiguraci pravidel i údržbu systému. Bez licencí a bez poplatků za počet EPS.
Sběr logů přináší strategické výhody
Problematika event managementu získala nálepku něčeho nepopulárního. Pro firmy znamená složitou analýzu prostředí, veškerých provozovaných systémů a další investice do implementace nástrojů i jejich údržby. Argument číslo jedna? Splnění regulačních požadavků.
Co už tolik nezaznívá je, že log management – a obzvláště SIEM – jsou především strategické nástroje. Pomáhají předcházet bezpečnostním hrozbám, ztrátám dat, a navíc zvyšují efektivitu organizací. Firma se správně nastaveným systémem pro sběr a analýzu logů dokáže:
- včas odhalit pokusy o neoprávněný přístup k datům;
- najít souvislosti mezi událostmi napříč systémy a identifikovat hrozby;
- sledovat dynamické prostředí microservicesMicroservices (mikroslužby)Microservices (mikroslužby) je architektura komplexnějšího SW složeného z menších aplikacívíce a snáze debuggovat;
- reagovat na incidenty v reálném čase a snížit dobu nedostupnosti svých služeb;
- rozpoznat nadbytečné nebo neefektivní využití zdrojů;
- přesněji plánovat potřebné budoucí kapacity.
To vše má především ekonomické důsledky. Potenciální náklady spojené s bezpečnostními incidenty – ať už v podobě pokut, ztráty důvěry zákazníků, nebo přímo finančních ztrát – mohou být mnohonásobně vyšší než investice do efektivních bezpečnostních nástrojů. Průměrná finanční ztráta způsobená vážným bezpečnostním incidentem nezřídka dosahuje milionů korun. SIEM a log management nejenže snižují riziko těchto incidentů, ale také umožňují organizacím získat lepší přehled o tom, jak jsou jejich IT zdroje využívány, což může přinést další úspory.
Log management prakticky
Jak začít s NIS2? O tom bude řeč už 24. ledna 2024 v Praze. Na programu budou i reálné přínosy SIEM nejen z pohledu bezpečnosti – zastavte se.
Krok 1: Proveďte základní analýzu
Aby event management dobře sloužil, je potřeba mít jasno v tom, co je jeho cílem v konkrétní organizaci. Odpověď na tuto otázku napoví, které události budou důležité a měly by se posílat přes API do nástroje pro log management nebo SIEM.
Fázi analýzy může obstarat i poskytovatel SIEM. „Zákazníkům, kteří jsou se SIEM úplně na začátku, nejprve pomáháme upřesnit jejich potřeby. Případně jim asistujeme při analýze infrastruktury nebo ji provádíme za ně,“ přibližuje proces realizace Martin Žídek, technický ředitel MasterDC. Při analýze infrastruktury doporučujeme následovat tyto body:
Co chcete sledovat a proč
Hledejte odpovědi na otázky typu: Kde máme uložena nejcitlivější data? Jaký typ bezpečnostního incidentu nás může nejvíce ohrozit? Které přístupové body jsou nejzranitelnější? Jak bychom chtěli reagovat na bezpečnostní incidenty? Které výkonnostní problémy ovlivní naše zákazníky?
Jaká zařízení a systémy provozujete
Tento krok je ideální příležitostí k revizi firemního IT. Sepište si všechna zařízení a systémy relevantní pro oblast, kterou potřebujete sledovat. Pokud jste vyhodnotili, že je pro vás nejzásadnější sledovat události a aktivity na úrovni sítě, mohou to být například:
- síťová zařízení (např. veškeré switche, routery, firewally, bezpečnostní technologie typu Radware, proxy servery);
- servery (např. DNS, DHCP servery; operační systémy Windows/Linux; webové servery Apache, Nginx; aplikační servery Tomcat, JBoss);
- aplikace (např. databázové systémy – MariaDB, SQL Server; mail servery – Exchange, IMAP);
- autentizační systémy (např. Active Directory nebo LDAP servery);
- klienti (např. pracovní stanice – notebooky i desktopy; mobilní zařízení – chytré telefony, tablety).
Která pravidla musíte dodržet
Typ sledovaných logů i dobu jejich uchování mohou určovat např. legislativní povinnosti nebo některé ze standardů typu ISOISO normaZkratka ISO představuje označení pro mezinárodně uznávané normy, které nastolují standardy pro různá odvětví.více. Kromě zákonů a pravidel se zaměřte i na vlastní potřeby a rizika, která by mohla mít negativní dopad na důvěru zákazníků nebo pověst firmy či instituce.
Co vás může ohrozit
Pokuste se identifikovat slabiny ve firemní IT infrastruktuře. Zvažte, které logy poslouží ke zjištění anomálií a hrozeb – kupříkladu zvýšený počet pokusů o přihlášení může být signálem možného útoku. Dále určete, jaká by měla být očekávaná reakce na případné problémy, tj. jaký bude postup při podezření na útok.
Krok 2: zjistěte velikost potřebného řešení
Pokud už máte jasno v požadavcích, přichází na řadu volba platformy, na které řešení pro event management poběží. Cenu řešení typicky ovlivňuje počet generovaných EPS a potřebných GB.
EPS (events per second) udávají množství událostí, tedy logů, které systémy vygenerují za vteřinu. Počet EPS a doba pro uchovávání logů určují, jak velké úložiště firma potřebuje. Potíž je v tom, že hodnota EPS je vysoce individuální.
Na začátku můžete využít nativní logování, které lze zapnout přímo na úrovni systémů a serverů. Získáte tak informace o počtu logů za hodinu/den u jednotlivých prvků infrastruktury a z nich pak odvodíte počet EPS. Díky nativním logům budete mít také jasno o objemu dat, který se za den vyprodukuje. A teď prakticky na třech příkladech:
Typ firmy | Účetní firma | Větší e-shop | Webhostingová společnost |
---|---|---|---|
Infrastruktura | Několik virtuálních serverů | Jeden fyzický server | Dva fyzické servery |
Systémy a aplikace | OS Windows Server, účetní software, přístup přes RDP, SQL server | OS Alma Linux | OS Alma Linux, Nginx/Apache, PHP, MySQL |
Průměrný počet událostí / den | 160 190 | 1 854 744 | 15 071 321 |
Objem dat / den | 228 MB | 1,1 GB | 5 GB |
Odhad EPS | 2 | 20 | 174 |
Tabulka představuje modelové scénáře. Informace z ní nelze zobecnit a využít pro charakteristiku vlastní infrastruktury.
Při stanovování objemu dat (počtu potřebných GB) nezapomeňte zohlednit dobu uložení logů. U vyšších počtů EPS vás bude zajímat i propustnost sítě dodavatele řešení. V této fázi byste měli mít pohromadě solidní balík informací – zbývá vybrat samotné řešení.
Krok 3: vyberte správného dodavatele
Pokud plánujete investovat do log managementu, myslete na to, aby vám sloužil dlouhodobě. Zaměřte se na rozšiřitelnost o sledování dalších systémů a aplikací, ale i možnosti navýšení hardwarových parametrů. Důležité je také přidávání funkcionalit a případný přechod z log managementu na SIEM.
„Pro menší firmy je výhodná sdílená SIEM platforma, jejíž část si mohou jednoduše pronajímat. Firmám s robustnější infrastrukturou obvykle realizujeme vyhrazené řešení, ať už v cloudu nebo na fyzickém serveru, vždy s ohledem na ekonomiku celého řešení,“ upřesňuje možnosti služby provozní ředitel MasterDC Filip Špaček. Dalšími vlastnostmi řešení pro event management od MasterDC jsou:
- sběr logů na několika úrovních (uživatelé, zařízení, aplikace, infrastruktura);
- konfigurace zápisu událostí na míru;
- vytváření dashboardů s vizualizací logů;
- analýza logů v reálném čase;
- nastavení alertů a definice zpracování;
- identifikace hrozeb a zranitelností.