Security Operations Center (SOC) nie może składać się jedynie z systemu SIEM, ponieważ tylko ścisła współpraca kilku narzędzi może stworzyć kompletną platformę do zarządzania bezpieczeństwem. Z drugiej strony SIEM funkcjonujący osobno nie jest tak efektywny jak wtedy kiedy stanowi element SOCa.

Budując SOC czyli Security Operations Center, tworzymy miejsce, w którym bezpieczeństwo IT, informatyka śledcza, a także procedury i ludzie współgrają ze sobą. Wymieniają się danymi pozyskiwanymi z wielu źródeł. Budują przejrzystość organizacji pozwalając zidentyfikować najbardziej podatne miejsca i zabezpieczyć je. SOC to miejsce, w którym dzięki synergii wielu rozwiązań oraz wymianie informacji pomiędzy nimi można osiągnąć to o czym mówimy od dawna czyli wyższy poziom bezpieczeństwa.

Jednym z elementów SOC jest konieczność monitorowania i dostarczania informacji z wielu urządzeń. Infrastruktura IT w dzisiejszych organizacjach jest mocno skomplikowana. Stosujemy wiele urządzeń sieciowych nierzadko pochodzących od różnych producentów, serwery, macierze, komputery PC oraz laptopy, tablety czy też urządzenia mobilne takie jak smartfony. Każde z nich generuje tysiące przydatnych informacji, których analiza bez specjalistycznych narzędzi jest praktycznie niemożliwa. Bez wiedzy o stanie tych właśnie urządzeń nie ma mowy o żadnym poziomie bezpieczeństwa. SIEM czyli Security Information and Event Management będzie jednym z kluczowych rozwiązań pod kątem pozyskiwania informacji i monitorowania urządzeń.


Security Information and Event Management – SIEM

Na przestrzeni lat SIEM zyskał nie tylko szerokie grono zwolenników, ale również spory fragment rynku, który umieścił tę technologię w koszyku z napisem „must have”. Przyjrzyjmy się bliżej temu rozwiązaniu i możliwością jakie daje.

Warstwa technologiczna rozwiązań klasy SIEM pozwala na centralne zarządzanie logami generowanymi z wielu urządzeń w jednym czasie oraz ich archiwizację. W tym celu wszystkie informacje generowane przez urządzenia są przesyłane, gromadzone i scentralizowane. Ponadto silnik SIEM przechowuje informacje i udostępnia je Zespołowi Bezpieczeństwa w celu analizy, mapowania oraz generowania raportów i zarządzania w sytuacjach kryzysowych, zgodnie z określonymi procedurami. Możliwość korelacji czyli szukania zależności pomiędzy nimi daje działom bezpieczeństwa a także pracownikom SOC niespotykany dotąd poziom wiedzy.

Korelacja danych jest podstawowym składnikiem monitoringu i analizy zebranych danych prowadzonych przez analityków pracujących w Security Operations Center (SOC). Działalność ta nie jest ograniczona jedynie do działań związanych z wcześniejszymi powiadomieniami alarmowymi, odpowiedziami w czasie rzeczywistym czy przygotowywaniem raportów. Obejmuje również wdrażanie zasad, procedur i rozwiązań, identyfikację, ocenę oraz sugestię środków uznanych za konieczne i pilne. To jest wartość dodana działalności, gdy jest prowadzone przez wysoko wykwalifikowanych analityków, którzy są odpowiedzialni za przygotowania i zarządzania złożonymi projektami bezpieczeństwa.

SIEM ponad wszystko

Z punktu widzenia zespołu odpowiedzialnego za bezpieczeństwo, SIEM jest jednym z podstawowych narzędzi do monitorowania. Umożliwia nie tylko szybkie pozyskanie informacji, ale również ich analizę, co przy odpowiednim doborze procedur i ludzi daje potężne narzędzie do zwalczana zagrożeń w sieci wewnętrznej. Technologicznie SIEM jest platformą do zarządzania informacjami oraz zdarzeniami. Jako platforma nie może jednak istnieć samodzielnie. Zaczynając od podstaw czyli zbierania danych z urządzeń i innych systemów bezpieczeństwa, SIEM po prostu nie może bez nich istnieć. Innymi słowy musimy mieć z czego zbierać informacje.

Bez posiadanych podstawowych narzędzi jak kontrole dostępu, firewalle, antywirusy, antyspam, a także skorelowanie ich z urządzeniami sieciowymi albo komputerami i urządzeniami mobilnymi może okazać się, że SIEM jest „ślepy”. Ponadto, SIEM sam w sobie, nie chroni nas przed zagrożeniami typu malware. Myślę, że o konieczności posiadania tego typu narzędzi nie trzeba nikogo przekonywać. Dzisiejszy rynek bogaty jest w szereg narzędzi do zabezpieczenia przed tego typu zagrożeniami jak FireEye czy Bit9 (whitelisting) pozwalających na uruchomienie tylko aplikacji i procesów znanych i zdefiniowanych. Idąc dalej SIEM nie ochroni nas przed wyciekiem – celowym lub przypadkowym – danych z naszej firmy.

Jak to wszystko działa?

Aby lepiej zobrazować jak działa SIEM samodzielnie oraz w ramach Security Operations Center, posłużę się przykładem. Wyobraźmy sobie, że kilka komputerów w naszej sieci otrzymało zapytanie kierowane z nieznanego adresu IP. Następnie, na każdym z nich próbowano zalogować się na konto domeny AD (Active Directory) oraz poczty web. Co więcej, na skrzynki pocztowe pracowników przyszedł mail informujący o konieczności zalogowania się w usłudze pocztowej za pomocą zamieszczonego w wiadomości linku. Wiele z naszych komputerów połączyło się w tym czasie z zewnętrznym adresem. Została nawiązana komunikacja z serwisem, za pośrednictwem którego zainstalowano na tych komputerach oprogramowanie. Po kilku godzinach lub dniach od tego zdarzenia zainstalowane oprogramowanie znów połączyło się z zewnętrznym serwisem pobierając pliki. Po kilku kolejnych dniach komunikacja została wznowiona i od tamtego czasu w nieregularnych odstępach czasu wysyłane są spakowane i szyfrowane emaile (z reguły kilkadziesiąt kilobajtów danych) na zewnętrzny serwer. W przeciągu tych kilku dni wiele osób próbowało logować się do systemów, do których nie mają i nie potrzebują dostępu. Co więcej robili to podszywając się pod inne osoby. Jest to opis jednego z ataków APT (Advanced Persistent Threats).

Czytając powyższy przykład zapewne wiele osób zastanawia jak tak trywialny atak może się udać? Otóż nie tylko może, ale bardzo często kończy się sukcesem. Zebranie danych z tak wielu źródeł, a co więcej połączenie ich między sobą bez odpowiednich narzędzi jak SIEM jest niewykonalne. Bo to właśnie SIEM poprzez korelację logów prześle alerty dotyczące nieudanych prób logowania oraz masowego wysyłania pakietów danych. Co więcej zbierze dane z innych źródeł, które mogą generować swoje alerty jak np. firewall, system antyspamowy czy black listy dotyczące serwisów WWW. Sam SIEM pozwoli nam nie tylko na szybkie wykrycie takiego incydentu, ale również odpowiednie zareagowanie na niego.

Security_Operatoions_Center_SOC_Mediarecovery

SIEM i SOC jak wygrać atak

W przypadku Security Operations Center taki atak praktycznie skazany jest na porażkę. SIEM współpracując z innymi technologiami pozwoli mu zapobiec. Za pośrednictwem rozwiązania do analizy APT (malware) umożliwi analizę pobranego pliku i wykrycie malware’u. Wspólnie z rozwiązaniem do zarządzania tożsamością oraz kontrolą dostępu do systemów informatycznych nie pozwoli na zmianę uprawnień czy też zasygnalizuje próbę zalogowania się przez uprzywilejowanego użytkownika, na urządzeniu, z którego nigdy tego nie robił. Poprzez mechanizmy monitorowania sesji będziemy mogli wychwycić podejrzane akcje na serwerach i bazach, a następnie zapobiec kopiowaniu poufnych danych. Wreszcie rozwiązania do whitelistingu odpowiednio zabezpieczą nasze komputery przed instalacją i uruchomieniem nieznanego oprogramowania. Na zakończenie narzędzia do analizy incydentów i pozyskiwania danych cyfrowych dokonają przeszukania ogromnych ilości danych i zabezpieczą zebrany materiał do dalszego wykorzystania np. jako materiał dowodowy w sądzie.