Naši klienti si stále častěji pořizují technologie typu SIEM, které pomáhají dohlížet na bezpečnost jejich informačních systémů – jak IT infrastruktury, tak síťových prvků či prvků ochrany perimetru. Zároveň zajišťují bezpečnostní analýzy logů pořizovaných těmito a dalšími provozními technologiemi. Hlavním cílem implementace SIEMu je ulehčit práci IT týmu a bezpečnostnímu oddělení a doplnit běžnou administrativní činnost o komplexní analýzy bezpečnostních dat.
Jednou z našich největších referencí v je klient z oblasti městské správy, který implementoval SIEM technologii využitou ke správě rozsáhlé a distribuované infrastruktury.
Poté, co dodavatel technologie (konkrétně IBM Security QRadarTM) provedl instalaci a základní konfiguraci a předal systém našemu klientovi, rozvinuli jsme tuto konfiguraci napojením relevantních vstupních zdrojů do SIEMu. Tím je zajištěno, že se zpracovávají smysluplná data. Tento krok je klíčový, protože generická implementace obvykle neodráží složitý ekosystém všech důležitých klientských systémů, a tím není SIEM efektivně využíván. Navíc pouhá základní implementace nezajistí správnou a včasnou detekci a prevenci vzniku bezpečnostních incidentů a napadení systémů.
Základním krokem konfigurace mimo napojení zdrojů byla kategorizace bezpečnostních událostí a vypracování databáze desítek scénářů nasazení a opatření – tzv. use cases, které se v rámci řešení prioritně sledují. Nyní se zabýváme jen tím, co je důležité.
Po prvotním rozšíření konfigurace jsme nastavili pravidelné aktualizace a tvorbu nových use cases, časté revize napojených zdrojů a jejich rozšiřování tak, jak klient staví či mění svou infrastrukturu.
S klientem pravidelně procházíme výsledky fungování SIEMu, a navíc má kdykoliv k dispozici náhled v reálném čase na fungování a efektivitu řešení, které může využít v případě auditu pro prokázání smysluplnosti investice. Nyní má klient v ruce přesvědčivá data.
Dalším logickým krokem bylo napojení SIEM výstupů do dalších systémů a služeb, které pomáhají udržovat přehled a interpretovat průběžné výsledky sledování. Jedná se zejména o nadstavbu IBM Security SOAR Platform (dříve Resilient) a 24/7 službu bezpečnostního dohledu NGSS SOC a reakčního teamu CSIRT.
Významnými dalšími kroky jsou revize stávajících a návrhy nových opatření v systému řízení bezpečnosti informací (tedy bezpečnosti procesů a postupů v organizaci), a to v oblasti zejména analýzy rizik a zvládání bezpečnostních incidentů.
Celé řešení pravidelně testujeme pomocí útoků simulovaných naší službou bezpečnostního testování. V tomto testování pokračujeme každého čtvrt roku, výsledky testů bezpečnosti skvěle doplňují informace o výskytu zranitelností na sledovaných i jiných systémech klienta. Nyní je informace o stavu bezpečnosti sledovaných systémů úplná.
Podobným způsobem uvádíme v život SIEM systémy i u jiných našich klientů. Společným jmenovatelem a cílem je zvýšení bezpečnostního přehledu nad technologiemi a minimalizace vzniku bezpečnostních incidentů a prevence kybernetických útoků.