K orientaci v mnoha rovinách zabezpečení, opatření, zranitelností a bezpečnostních hrozeb slouží nástroje, které IT a bezpečnostním pracovníkům zajistí monitoring a přehled (visibility). Do jisté míry dokážou aktuální bezpečnostní situaci interpretovat a vyhodnotit.
Mezi takové nástroje patří systém managementu bezpečnostních událostí (SIEM). SIEM sbírá informace z technických prostředků, operačních systémů, síťové infrastruktury nebo aplikací (tzv. logsources). K agregaci těchto informací – událostí – se jako mezivrstva obvykle využívá např. běžněji používaná technologie log managementu.
Základním úkolem SIEMu je dávat výše uvedené informace a vstupy do širších souvislostí spolu s informacemi o toku v síti, zranitelnostech a míře rizika pro daný segment nebo zařízení. Je to také jeden ze základních prvků, který produkuje bezpečnostní informace (a detekuje bezpečnostní události) pro plnění povinností vyplývajících ze zákona o kybernetické bezpečnosti a příslušných vyhlášek.
Našim klientům doporučujeme SIEM řešení od společnosti IBM – IBM Security QRadar, které poskytuje log management, event management, reporting a analýzy chování na úrovni sítí, aplikací nebo uživatelů. Systém je konfigurován s desítkami scénářů použití (use cases).
SIEM je schopen dodávat informace a výstupy do dalších systémů a služeb, které pomáhají udržovat přehled a interpretovat průběžné výsledky bezpečnostního monitoringu. Jedná se zejména o nadstavbu IBM Security SOAR Platform (dříve Resilient) a 24/7 službu bezpečnostního dohledu TS SOC a reakčního teamu CSIRT. Výsledkem je řešení, které umožňuje bezpečnostním analytikům nejen efektivně reagovat na již proběhlé bezpečnostní incidenty, ale dokonce tyto incidenty předvídat a předcházet jim.
Příkladem rozšířené funkčnosti Qradaru je modul QRadar Incident Forensics. Ten umožnuje analyzovat zachycený bezpečnostní incident na úrovni jednotlivých kroků útočníka a dohledává všechny relevantní související bezpečnostní události a informace. Tím pomáhá analytikům incident rychleji vyšetřit. V mnoha případech se probírání záznamů zkrátí ze dnů na hodiny, nebo dokonce minuty. Díky tomu se minimalizuje čas nutný k obnově bezpečnosti v síti.
SIEM technologii ocení organizace státní správy, akademické prostředí a stále více i komerční a průmyslové subjekty, jimž není stav bezpečnosti jejich systémů lhostejný a potřebují reagovat na rostoucí množství vznikajících hrozeb a incidentů.