Smyslem těchto technologií je ulehčit činnost IT a bezpečnostním oddělením a doplnit běžnou kontrolní činnost o analýzy, které by bez specializované technologie nebylo v lidských silách manuálně provádět. Výjimkou nebyl ani náš klient, který využil příležitosti a implementoval SIEM technologii z prostředků programu EU.
Poté, co dodavatel technologie provedl instalaci a základní konfiguraci a předal systém našemu klientovi, pokusil se ten přibližně rok řešení rutinně provozovat v pilotním provozu. Přičemž během tohoto roku zjistil, že výsledek nasazení technologie zůstává daleko za očekáváním, a nejen že technologie nepřináší žádná významná zjištění, ale i ta méně významná nepřináší včas a k tomu nežádoucím způsobem odčerpává skromné zdroje oddělení IT, kterému měla naopak pomoci. Bohužel, v tomto zjištění nebyl náš klient žádnou výjimkou, naprostá většina organizací implementujících SIEM s vizí technického opatření, které plug-and-play zlepší bezpečnost, došla nebo dojde ke stejnému poznání.
Našemu klientovi jsme proto jako řešení nabídli převzetí provozu a správy SIEMu a jeho napojení na námi provozovaný SOC. Aby klient dostával očekávané přínosy, museli jsme provést celou řadu kroků směřujících k úpravě řešení.
Provedli jsme změnu konfigurace technologie tak, aby v rámci licenčních možností byly do SIEMu zapojeny zdroje, u kterých to na základě našich zkušeností dávalo největší smysl. Nyní se zpracovávají jen data, kde to dává smysl.
Zavedli jsme kategorizaci bezpečnostních událostí a vypracovali use cases, které se v rámci řešení prioritně sledují. Nyní se zabýváme jen tím, co je důležité.
Klienta jsme připojili na náš NGSS SOC, a to jak z pohledu analýzy událostí zachycených jeho SIEM řešením v režimu 24/7, tak z pohledu optimalizace a napojení na jeho proces hlášení a zvládání bezpečnostních incidentů. Nyní má klient okamžitou reakci a incident neleží nepozorovaně týden na hromadě jiných hlášení.
Celé řešení jsme po změnách otestovali pomocí útoků simulovaných naší službou bezpečnostního testování a v tomto testování pokračujeme každého čtvrt roku, protože pro potřeby SOCu skvěle doplňuje informace o výskytu zranitelností na sledovaných i jiných systémech klienta. Nyní je informace o stavu bezpečnosti sledovaných systémů úplná.
S klientem pravidelně procházíme výsledky fungování SIEMu a SOCu a navíc má kdykoliv k dispozici real-time náhled na fungování a efektivitu řešení, které může využít v případě auditu pro prokázání smysluplnosti investice. Nyní má klient v ruce přesvědčivá data.
Díky doplnění o služby NGSS SOC se podařilo u klienta technologii SIEM smysluplně využít, a především začala klientovi poskytovat to, co od ní bylo od začátku očekáváno.
Podobným způsobem uvádíme v život SIEM řešení i jiných našich klientů.