Hlavní strana -> Zprávy
ITSM (ITIL) - Řízení IT, IT Security, Aktuality -> Analýzy - Dnes

50 (v)tipů paní Teskové #3: Alerty nejsou hlášky na okrasu

a co s nimi dělat, než se z vás stane klikací zombie

-PR-

V minulém díle jsme si povídali o SIEMu – nástroji, který vezme hromadu logů, protřese je jako zkušený detektiv důkazní materiál a začne hledat vzory, stopy a souvislosti. Nejde jen o to, vědět, že „se něco stalo“. SIEM vám pomáhá pochopit, co přesně, proč, kdy, kde a s čím to souvisí. Je to takový digitální Sherlock Holmes, jen místo dýmky má datové konektory a místo lupy korelační engine.


A pokud tenhle Sherlock funguje dobře, začne vám velmi brzy servírovat výsledky své práce v podobě alertů, tedy upozornění na to, že se ve vašem systému děje něco, co si zaslouží pozornost.

Zpočátku si říkáte: „Skvělé, tohle mi pomůže!“
Po pár dnech: „Zase alert… dobře, zkontroluju.“
A po pár týdnech: „Jojo… zase nějaká hláška. Zavřít.“
 
A právě tam začíná náš dnešní příběh.
 
 
 
Vladimíra Tesková, zakladatelka a provozní ředitelka společnosti TeskaLabs.

Alert není jen zvuk a červená ikonka

Alert je zpráva o tom, že se něco děje. Možná něco špatného, možná něco velmi špatného, a možná prostě jen někdo zapomněl vypnout VPNku na víkend.
Problém je, že když vám každý den přistane sto padesát alertů, mozek si řekne: „To bude zase blbost.“ A tak začíná nebezpečný proces, který zná každý admin, alertová slepota. Tichý zabiják pozornosti a zaručená cesta ke katastrofě. Nakonec, pohádku o ovčákovi, co tak mockrát volal o pomoc před vlkem, až když opravdu vlk přišel, nikdo už mu nevěřil, známe všichni, že?
Alertová slepota (nebo chcete-li „alert fatigue“) není jen nuda z monitoringu. Je to stav, kdy váš tým už nevěří alertům, které SIEM posílá – a v nejhorším případě je přestane úplně sledovat. A to může útočníkům přijít velmi vhod. A nejenom útočníkům! Snadno řešitelný provozní problém může narůst do opravdu velkého průšvihu, a když se pak bude zjišťovat, proč, dostane se vám odpovědi „ono to přišlo už tolikrát a nikdy to nic nebylo, tak už jsme to neřešili“.
Ale co s tím? Bude to znít jednoduše, ale alerty prostě musí dávat smysl. Dobře nastavený SIEM by vám měl posílat jen takové alerty, které:
  • Jsou relevantní – Ne každý pád na nos je hned zlomenina. Stejně tak alert by neměl vyskakovat pokaždé, když si někdo jednou za měsíc splete heslo. Ale když si ho plete patnáctkrát během dvou minut z IP adresy, která není pro daného uživatele běžná, to už si zaslouží vaši pozornost.
  • Jsou kontextové – Pokud se nám administrátorský účet najednou přihlašuje z více míst zároveň, tak se nám admin buď naklonoval, nebo někdo získal jeho přístupové údaje a máme tu bezpečnostní incident.
  • Jsou srozumitelné – ale co to vlastně znamená, že je alert srozumitelný? Znamená to, že když takový alert čtete, tak hned víte, co se stalo, kde se to stalo, jestli a jaký to může být problém a také co s tím máte dělat.
SIEM má být pomocník, ne generátor digitálních hádanek.

Jak to děláme u nás v TeskaLabs?

Ve všech našich nasazeních se snažíme, aby alerty nebyly jen kvantita, ale kvalita. Raději jeden důležitý alert, než dvacet zbytečných. A pokud už posíláme notifikaci, je: srozumitelná, důvodná a pochopitelná.
Protože věříme, že bezpečnost není o tom, kolik alertů dostanete, ale kolik z nich vám opravdu pomůže něco udělat dřív, než bude pozdě.  

A co si z toho odnést?

Pokud váš bezpečnostní tým každý den řeší stovky alertů… neřeší vlastně nic. Mějte systém, který posílá alerty, co dávají smysl, a lidi, kteří jim věří.
 
V dalším díle otevřeme téma Incident Response – protože když už hoří, nestačí vědět, odkud šel kouř. Je třeba taky vědět, kam běžet s vodou.
 

A na závěr opět slibovaný vtip:

„Nasadili jsme AI, aby třídila alerty.“
„A jak to dopadlo?“
„Přišel alert, že AI je přetížená z našich alertů.“