Procesní aspekty monitoringu

Při řízení informační bezpečnosti se snažíme aplikovat taková opatření, která výskyt incidentů eliminují na úroveň, která je z pohledu nákladů a rizik akceptovatelná. Abychom incidenty eliminovali, je třeba zvolit optimální strategii jejich detekce, analýzy a systém jejich řešení, pokud již nastanou. Současné informační systémy a jejich produkční prostředí generuje obrovské množství logů o stavech v těchto systémech, které můžeme rozdělit do tří základních skupin, a to na systémové, aplikační a bezpečnostní. Toto rozdělení je pak nutné přidělit konkrétním řešitelským týmům, které se monitoringem logů zabývají. Dalším krokem je rozdělit v rámci řešitelského týmu závažnost logů v jednotlivých skupinách na bezpečnostní události a bezpečnostní incidenty.

• bezpečnostní události jsou logy vytvářené za účelem průběžného stavového monitoringu a pro sledování podezřelých nebo výstražných aktivit v systému,
• bezpečnostní incidenty jsou klasifikované bezpečnostní události, tj. nastavením monitorovacích pravidel a prahových hodnot logů eskalujeme bezpečnostní incidenty takovým způsobem, abychom na ně mohli včas a adekvátně reagovat.

Detekci bezpečnostních událostí a identifikaci incidentů je třeba zajistit monitorovacími prostředky, které jsou voleny dle rozsahu sledované ICT infrastruktury od freeware nástrojů až po robustní SIEM systémy. Průběžné vyhodnocování bezpečnostních událostí a „ruční“ eskalace bezpečnostních incidentů jiným než automatizovaným způsobem je při dnešní ceně práce kvalifikovaného ICT personálu značně neefektivní. Nemluvě o nespolehlivosti, která je s manuálním vyhodnocováním logů postupem času spojená.

Plán monitoringu a kontrol

Pro jakkoliv velkou infrastrukturu je užitečné sestavit plán monitoringu a kontrol (PMK) s ohledem na sledované systémy a na zdroje, ať už v podobě softwaru či zaměstnanců ICT, pro jeho plnění. PMK je zapotřebí sestavit tak, aby v případě potřeby bylo možné provádět forenzní analýzu identifikovaných incidentů, v průběhu které je třeba dohledat a spárovat systémové, aplikační a bezpečnostní logy ke konkrétnímu vyšetřovanému incidentu. PMK tedy drží integritu informace o nakládání s logy tj. minimálně identifikace a zdroj logu, četnost jeho revize, způsob zpracování, systémové místo uložení, paralelní místo uložení (prezervace) pro audit, osobu či skupinu odpovědnou za operaci s logy a způsob přezkoumání plnění kontrolních činností.

Realizací monitoringu metodou PMK získáváme prostředek jak k analýze incidentů, tak i pro problem management. Vyšetřováním příčiny opakujících se incidentů a jejich seskupení do problémů pomáhá přijímat technická a organizační opatření k předcházení opakujících se incidentů. Informace, které vedeme o incidentech, jsou shodné s informacemi, které vedeme o problémech, s tím rozdílem, že problém musíme z prodělaných incidentů identifikovat.

Na identifikaci problémů se podílí jak incident response tým (IRT), tak i osoby pověřené zpracováním logů dle PMK. Vhodným způsobem je společné jednání v rámci bezpečnostního fóra, které se pravidelně schází několikrát ročně dle povahy a velikosti organizace. Programem jednání by měl být minimálně popis incidentu či problému, jeho časový průběh, způsobený rozsah škod a celkové hodnocení příčin. Výstupem jednání musí být způsob eliminace opakování incidentu včetně úprav procesů pro IRT a PMK týmy. V neposlední řadě je třeba provádět disciplinární řízení zejména v těch případech, kdy za incidentem stojí interní uživatelé.

Analyzujeme technické aspekty realizace

Občasným zádrhelem bývá místy obtížná propojitelnost systémů určených k monitoringu s monitorovacím softwarem a hardwarem. Je třeba často překonat psychologickou bariéru, kdy je tendence monitorovat takový rozsah logů, které je schopen monitorovací software a hardware nabídnout, nebo naopak monitorované systémy poskytnout. Odpovědně přistoupit k tomuto problému vyžaduje dobrou znalost hrozeb a zranitelností, které na monitorované systémy působí. Pro jejich ohodnocení existuje mnoho řešení, my si popíšeme nejběžnější z nich:

• Analýza rizik hodnotí celkové riziko nejčastěji jako kvantifikaci ohodnocení aktiv, hrozeb a zranitelností. Metodik je celá řada, lze doporučit například ISO/IEC 27005.
• Modelování hrozeb se většinou používá pro hodnocení bezpečnosti softwaru. Modelujeme vektory útoku, hodnotíme zranitelnosti zjištěné jinými technickými prostředky, popřípadě pomocí penetračních testů. Lze doporučit metodiku a nástroj Microsoft Threat Analysis and Modeling Tool.

Jak vybrat správné řešení

Monitorovací software a hardware musí podporovat aplikaci procesních opatření dle PMK a IRT:

• definování potřebných rolí (bezpečnostní manažer, administrátor, operátor, …)
• stanovení odpovědností (administrace, řízení incidentů či změn, eskalace)
• podpora managementu incidentů a problémů
• forma, obsah, četnost a příjemci výstupů monitoringu musí být v souladu s identifikovanými potřebami a prioritami s ohledem na plnění legislativních a auditních potřeb organizace

Náročnost implementace:

• počty jednotlivých hardwarových a softwarových řešení
• náročnost připojení jednotlivých zařízení
• nároky na připojení vlastních zdrojů událostí
• obtížnost konfigurace vlastních zařízení
• požadavky na konfiguraci samotného řešení
• možnosti patch managementu

Náročnost konfigurace:

• prvotní konfigurace
• konfigurace nově definovaných incidentů
• úpravy definovaných incidentů
• konfigurace výstupů a reportů

Při posouzení cenové náročnosti jednotlivých řešení se zaměřte kromě ceny za hardware a software i na implementaci nestandardních úprav a cenu za podporu v průběhu celého životního cyklu uvažovaného řešení.

SIEM

Zařízení pro security information and event management (SIEM) provádí neustálou on-line kontrolu bezpečnostních událostí a napomáhají k dodržení bezpečnostních pravidel a předpisů. Zároveň přinášení přidanou hodnotu v proaktivním přístupu k identifikaci a řešení bezpečnostních incidentů. SIEM řešení je auditní a monitorovací nástroj pro zajištění a garanci úrovně bezpečnosti provozovaného segmentu ICT. Tento nástroj zajišťuje logické oddělení bezpečnosti a provozu IT. SIEM řešení monitorují definované bezpečnostní události na zařízeních a jsou schopny interpretovat potenciální i reálné bezpečnostní incidenty stejně jako aktivitu administrátorů a uživatelů. Vyhodnocení těchto bezpečnostních událostí je automatické dle definovaných parametrů.

Neztrácejte svůj cíl

Nástroje monitoringu se staly nepostradatelnou součástí světa ICT, protože ten, kdo nevyužívá automatickou formu vyhodnocení bezpečnostních událostí nad svěřeným segmentem ICT, nemůže zajistit a garantovat jeho informační bezpečnost. Jen nasazení sofistikovaného řešení pro pokrytí bezpečnostního monitoringu nabízí dokonalý přehled o monitorovaném segmentu zařízení či aplikaci, a umožňuje tak včasnou reakci na potenciální nebezpečí. Nenechte se zavalit daty z připravených reportů, ale vytvářejte si vlastní reporty na míru. Neztrácejte z očí svůj cíl a řešte monitoringem informační bezpečnost.

Martin Tobolka
Autor působí jako senior IT security consultant ve společnosti AEC, členu Cleverlance Group. Je vedoucím auditorem ISO/IEC 27001 a držitelem certifikace CISA.