Mi az a SIEM (biztonsági információk és események kezelése)?
A vállalkozások a digitalizáció terjedése, a hibrid munkamodellek és a különféle végberendezések miatt ismert és ismeretlen kiberfenyegetésekkel szembesülnek. Ezért a SIEM (Security Information & Event Management, biztonsági információk és események kezelése) és hasonló biztonsági koncepciók ma fontosabbak, mint valaha. A rendszer- és hálózati adatok naplózásával, elemzésével és feldolgozásával a biztonsági fenyegetések gyorsan azonosíthatók, nyomon követhetők és enyhíthetők.
Mi az a SIEM?
A SIEM rövidítés a Security Information & Event Management (biztonsági információk és események kezelése) kifejezést jelenti, amely nagyobb átláthatóságot és ellenőrzést biztosít a vállalatok számára saját adataik felett. A szabványosított biztonsági és védelmi koncepció lehetővé teszi a gyanús biztonsági események, támadási trendek és fenyegetési minták korai felismerését. Ezt olyan eszközök teszik lehetővé, amelyek naplózzák és elemzik a vállalat minden szintjén felmerülő különféle esemény- és folyamatadatokat, a végberendezésektől a tűzfalakon és IPS-eken (behatolás-megelőző rendszerek) át a hálózatig, a felhőig és a szerverig.
A SIEM integrálja a SIM (biztonsági információkezelés) és a SEM (biztonsági eseménykezelés) funkciókat, hogy valós időben, kontextusban és összefüggésben értékelje a biztonsági információkat és eseményeket, riasztásokat hozzon létre és biztonsági intézkedéseket indítson el. Ez a megközelítés lehetővé teszi a potenciális sebezhetőségek és biztonsági rések korai felismerését és enyhítését, valamint a támadási kísérletek gyors megakadályozását. A SIEM koncepcióját 2005-ben a Gartner hozta létre. A mai SIEM-megoldások alapvető elemei közé tartozik az UBA (felhasználói viselkedéselemzés), az UEBA (felhasználói és entitás viselkedéselemzés) és a SOAR (biztonsági koordináció, automatizálás és reagálás).
Miért fontos a biztonsági információk és események kezelése?
Manapság egy vállalat informatikai infrastruktúrája már nem csak egy szerverből és néhány végberendezésből áll. Még a közepes méretű vállalatok is többé-kevésbé összetett vállalati hálózatokat használnak, amelyek nagyszámú internetképes végberendezésből, saját szoftverkörnyezetből, valamint több szerverből és felhőszolgáltatásból állnak. Ehhez jönnek még az új munkamodellek, mint például az otthoni munkavégzés vagy a saját eszköz használata (BYOD).
Minél összetettebb az IT-infrastruktúra, annál több sebezhetőség keletkezhet, ha a kiberbiztonság nem megfelelő. Ezért egyre több vállalat támaszkodik a ransomware, spyware és scareware, valamint az új típusú kibertámadások és zero-day exploitok elleni holisztikus védelemre.
A SIEM-hez hasonló biztonsági megoldások fontossága egyre növekszik a vállalatok számára, és nem csak az akut fenyegetések miatt. A GDPR szerinti szigorú adatvédelmi követelmények vagy a BASE II, ISO vagy SOX tanúsítványok ma már adat- és rendszervédelmi koncepciót is megkövetelnek. Ez gyakran csak SIEM vagy hasonló stratégiák, például EDR és XDR segítségével valósítható meg.
A biztonsággal kapcsolatos napló- és jelentésadatok központi platformon történő összevonásával, értékelésével és összekapcsolásával a SIEM lehetővé teszi az összes alkalmazás és hálózati szint adatainak biztonsági szempontból történő elemzését. Minél korábban észleli a fenyegetéseket vagy a biztonsági résekkel kapcsolatos problémákat, annál gyorsabban csökkentheti az üzleti folyamatokra jelentett kockázatokat és védheti a vállalati adatokat**. A SIEM ezért jelentős hatékonyságnövekedést kínál a megfelelőség és a valós idejű védelem terén olyan fenyegetésekkel szemben, mint a ransomware, a malware vagy az adatlopás.
Hogyan működik a SIEM?
A „SIEM” kifejezést 2005-ben Amrit Williams és Mark Nicolett (Gartner) vezette be. A Nemzeti Szabványügyi és Technológiai Intézet hivatalos definíciója szerint a SIEM egy olyan alkalmazás, amely az információs rendszer különböző elemeiből gyűjti össze a biztonsági adatokat, és azokat szervezett, cselekvésorientált módon jeleníti meg egy központi irányítópulton. Ez már magában foglalja a funkcionalitást, mert ellentétben a tűzfallal, amely az akut kiberfenyegetések ellen védi a rendszert, a SIEM fenntartható, proaktív adatgyűjtésre és -elemzésre támaszkodik, amely rejtett támadásokat vagy fenyegetési trendeket is feltárhat.
A SIEM rendszer helyszíni telepítéssel, felhőalapú megoldásként vagy helyi és felhőalapú komponensekkel rendelkező hibrid változatként is megvalósítható. Az adatgyűjtéstől a biztonsági riasztásokig tartó folyamat a következő négy szakaszból áll:
1. szakasz: Adatok gyűjtése a rendszer több forrásából
A SIEM megoldás az IT-infrastruktúra különböző szintjeiről, rétegeiből és komponenseiből rögzíti és gyűjti az adatokat. Ide tartoznak a szerverek, útválasztók, tűzfalak, vírusprogramok, kapcsolók, IP-címek és IDS-ek, valamint a végpontbiztonsággal vagy XDR-rel (Extended Detection and Response) integrált végberendezések. Ehhez kapcsolódó naplózási, jelentési és biztonsági rendszereket használnak.
2. szakasz: Az összegyűjtött adatok összesítése
Az összegyűjtött adatok áttekinthető és átlátható módon kerülnek összefoglalásra a központi felhasználói felületen. Az adatok gyűjtése és rendszerezése egy irányítópulton keresztül elkerüli az egyes alkalmazások különböző naplóinak és jelentéseinek időigényes elemzését.
3. szakasz: Az összesített adatok elemzése és összefüggéseinek feltárása
Az alkalmazás elemzi az összegyűjtött és összefoglalt adatokat ismert vírus- és rosszindulatú programok aláírásai, gyanús események, például VPN-hálózatokból történő bejelentkezések vagy helytelen bejelentkezési adatok tekintetében. Emellett kiemeli a rendellenes használatot, a kérdéses mellékleteket vagy más, a biztonsággal kapcsolatos feltűnő tevékenységeket. Az adatok összekapcsolásával, rendszerezésével, összefüggéseinek feltárásával és osztályozásával az alkalmazás megkönnyíti a behatolási útvonalak gyors nyomon követését és elkülönítését, lehetővé téve a fenyegetések enyhítését vagy akár semlegesítését. Ezenkívül biztonsági szintek hozzárendelésével gyorsan kezeli mind a nyilvánvaló, mind a rejtett támadásokat, miközben kizárja a jóindulatú anomáliákat.
4. szakasz: Fenyegetések, sebezhetőségek vagy biztonsági rések felismerése
Ha fenyegetést észlelnek, az automatikus riasztások gyorsabb reagálási időt és azonnali fenyegetés-semlegesítést tesznek lehetővé. Ahelyett, hogy hosszasan keresné a veszély vagy rendellenességek forrását, a riasztás segítségével gyorsan be tudja határolni azokat, és szükség esetén karanténba helyezheti őket. Ezenkívül lehetőség van a korábbi fenyegetések rekonstruálására is, így a biztonsági eljárások finomíthatóak.
Az integrált mesterséges intelligenciával rendelkező XDR-megoldással együtt a karanténba helyezés vagy a végberendezések és IP-címek blokkolása olyan védelmi mechanizmusok, amelyek előre definiált, automatizált munkafolyamatok segítségével különösen gyorsan megvalósíthatók. A valós idejű fenyegetés-adatfolyamok, amelyek folyamatosan frissített szignatúrákat és biztonsági adatokat szolgáltatnak, lehetővé teszik az új típusú támadások és fenyegetések korai szakaszban történő felismerését is.
A legfontosabb SIEM-elemek áttekintése
A SIEM-megoldás részeként különböző összehangolt komponensek biztosítják a teljes körű adatgyűjtést és -elemzést. Ezek a következők:
| Alkatrész | Funkciók |
|---|---|
| Központi irányítópult | ✓ Az összes összegyűjtött adatot cselekvésorientált módon jeleníti meg ✓ Adatvizualizációt, valós idejű tevékenységfigyelést, fenyegetéselemzést és cselekvési lehetőségeket biztosít ✓ Egyénileg meghatározható fenyegetésjelzők, korrelációs szabályok és értesítések |
| Naplózási szolgáltatások és jelentések | ✓ Az egész hálózat, valamint a végpontok és a szerverek szintjén történő eseményadatok rögzítése és naplózása ✓ Valós idejű megfelelőségi jelentések olyan szabványokhoz, mint a PCI-DSS, HIPPA, SOX vagy GDPR, a megfelelőségi és adatvédelmi szabályok betartása érdekében ✓ Valós idejű figyelés és naplózás a felhasználói tevékenységekről, beleértve a belső és külső hozzáféréseket, a privilegizált hozzáféréseket adatbázisokhoz, szerverekhez és adatbázisokhoz, valamint az adatok kiszivárogtatását |
| Fenyegetési adatok és biztonsági események korrelációja és elemzése | ✓ Az események korrelációja és a biztonsági adatok elemzése felhasználható a különböző szinteken bekövetkező incidensek összekapcsolására, az ismert, összetett vagy új támadási formák azonosítására, valamint a felismerési és reagálási idők csökkentésére ✓ Biztonsági incidensek kriminalisztikai vizsgálata |
A biztonsági információk és események kezelésének (SIEM) előnyei
A vállalatokat érintő kiberkockázatok növekedése miatt az egyszerű tűzfalak vagy vírusirtó programok általában már nem elegendőek a hálózatok és rendszerek védelméhez. Különösen a többfelhős és hibrid felhőkkel rendelkező hibrid struktúrák esetében kifinomult megoldásokra van szükség, mint például EDR, XDR és SIEM, vagy ideális esetben két vagy több szolgáltatás kombinációjára. Csak így lehet biztonságosan használni a végberendezéseket és a felhőszolgáltatásokat, és korai szakaszban felismerni a fenyegetéseket.
A SIEM által kínált előnyök között szerepelnek a következők:
Valós idejű fenyegetés-felismerés
A rendszer szintű adatgyűjtés és értékelés formájában megvalósuló holisztikus megközelítésnek köszönhetően a fenyegetések gyorsan azonosíthatók és megelőzhetők. A csökkentett átlagos észlelési idő (MTTD) és átlagos reagálási idő (MTTR) révén az érzékeny adatok és az üzleti szempontból kritikus folyamatok megbízhatóan védhetők.
A megfelelés és az adatvédelmi követelmények betartása
A SIEM rendszerek részletes naplózás és fenyegetéselemzés révén biztosítják a szabályoknak megfelelő IT-infrastruktúrát. Ez az infrastruktúra minden alapvető biztonsági és jelentési szabványnak megfelel, amely az adatok biztonságos tárolásához és az ellenőrzésnek megfelelő feldolgozásához szükséges.
Idő- és költségmegtakarító biztonsági koncepció
A SIEM az összes biztonsági szempontból releváns adatot központilag és áttekinthetően jeleníti meg, elemzi és értelmezi egy felhasználói felületen, ezzel növelve az IT-biztonság hatékonyságát. Ez csökkenti a hagyományos manuális biztonsági intézkedésekkel járó idő- és költségráfordítást. Konkrétan: az automatizált és egyes rendszerekben mesterséges intelligenciával kiegészített adatelemzés és korreláció felgyorsítja a fenyegetések megelőzését. A fertőzött rendszerek javításával vagy a rosszindulatú szoftverek eltávolításával járó magas költségek is elkerülhetők a megelőző SIEM-megoldásokkal.
A SIEM SaaS (Software-as-a-Service) vagy Managed Security Services formájában történő használatának lehetősége lehetővé teszi, hogy a korlátozott erőforrásokkal rendelkező vagy saját IT-biztonsági rendszerrel nem rendelkező kisebb vállalatok is megbízhatóan védjék vállalati hálózatukat.
Automatizálás mesterséges intelligenciával és gépi tanulással
A SIEM rendszerek mesterséges intelligencia és gépi tanulás segítségével még magasabb szintű automatizálást és intelligens fenyegetésmegelőzést tesznek lehetővé. A SIEM megoldásokat például SOAR rendszerekben (Security Orchestration, Automation and Response) vagy meglévő végpontbiztonsági vagy XDR megoldásokkal együtt is használhatja.