Dnes a v blízké budoucnosti již není v lidských silách tyto aktivity vyhodnotit, pochopit, prezentovat a následně řešit. Povinností IT týmů je však prostředí ochránit, zabezpečit a bezpečné udržet. Neustále je každé IT terčem útoků. Jak na to? Odpověď je samozřejmě široká a rozhodně není jednoduchá. Začíná architekturou celého prostředí, správným provozem a údržbou a končí dohledem. V tomto článku se zabýváme jednou důležitou částí a tou je vizualizace bezpečnostních incidentů. Jakmile víte, kde jsou úzká místa a kde vnikají incidenty, můžete je řešit a bránit se. Dokážete to však v tom ohromném každodenním množství vyhodnocovat, chápat a aktivně se bránit?

Postavte na svou stranu AI a ML

Identifikované riziko vyřešit pravděpodobně umíte, ale jak na to? Jednou z možností je postavit na svou stranu stejnou sílu, kterou používají útočníci a škodlivý software. Tím, že využijete nástroje využívající umělou inteligenci (AI) a obrovskou inteligentní výpočetní sílu strojového učení (ML), necháte za sebe pracovat stroje. Toto řešení je zcela nové a v technologiích pro správu a řešení bezpečnostních incidentů nazývaných SIEM (Security Incident and Event Management Systems) se začíná zvolna používat. Do budoucna se bez něj neobejdete.

Jaké vlastnosti by měl systém bezpečnostního dohledu mít

Moderní řešení bezpečnosti v oblasti dohledu a vyhodnocování incidentů musí obsahovat několik základních věcí. Jako příklad uvádím 5 těch nejdůležitějších, samozřejmě při využití AI a ML.

Za prvé je to o propojení co největšího množství zdrojů, ze kterých lze čerpat. Jde o uživatele, jejich zařízení, infrastrukturu IT, cloudové systémy a různé aplikace. Dlouhodobé udržení těchto dat a výkonný systém pro jejich zpracování. Za druhé je třeba správně detektovat v milionech záznamů ty správné informace a vyhodnotit je. Omezit nesprávně interpretované (false positive) nebo nedůležité, či zastaralé aktivity. Buď již vyřešené, nebo neplatné. Analýza chování uživatele (behaviorální analýza) přinese kontextový pohled na jeho aktivity. Jakmile uživatel vybočí ze svého běžného chování a zachová se nečekaně, například nasdílí více informací, než je běžné, připojí se z neobvyklého místa a podobně, dojde k vyhodnocení takové situace a zpracování ve formě incidentu. Za třetí musí moderní SIEM umožnit rychlé a přehledné pátrání, přesný popis anatomie celého incidentu, či útoku, a to celé maximálně provést za Vás. Přinejmenším nabídnout „uživatelsky“ pochopitelné informace a nástroje pro společné pátrání (v odborné terminologii jde o lov na útočníka – HUNT). Toto se bez AI neobejde. Přednastavené a stále každodenně aktualizované dotazy umožní v řádu sekund analyzovat a přehledně vizualizovat každý útok. Za čtvrté je třeba automatizovat-automatizovat-automatizovat většinu nápravných akcí, provést opatření bez nutnosti lidského zásahu a tím maximálně zjednodušit celou operativu. Hotové a stále aktualizované konektory pro orchestraci a workflow mezi systémy, správci a uživateli, jsou nezbytné. Například jen platforma Microsoft O365, AZURE, či AWS prochází neustálou změnou, novými funkcemi i rozšířenou nabídkou služeb. Pokud byste čekali na vydání konektorů od výrobce SIEMU a jejich implementaci do vašeho prostředí, nemůžete v reálném čase stihnout a provádět adekvátní dohled.

Toto výše popsané umožní bezpečnostním analytikům, správcům i administrátorům dosáhnout kontroly nad prostředím a věnovat se jen těm skutečně důležitým akcím a závažným incidentům. Řešení SIEM, které obsahuje popsané vlastnosti, je skutečně řešení „nové generace“.

Proč nestačí řešení minulosti?

Tradiční řešení SIEM v blízké budoucnosti selhává. Zejména proto, že nedosahuje dostatečného výkonu a není schopno aktivně reagovat na nové hrozby, nové aplikace v cloudu a nedosahuje dostatečného výkonu při zpracování ohromného množství informací. Chybějící automatizace a jasná vizualizace potom způsobuje potíže týmům, nebo jednotlivcům, odpovědným za bezpečnostní operativu a ti potom tráví mnoho času plněním složitých úkolů ochrany a údržby bezpečnosti. Ruku v ruce jdou potom často až astronomické náklady na provoz, diskový prostor i potřebný software. Je to jeden z důvodů, a pátá důležitá věc, proč by měl SIEM nové generace nativně podporovat cloud a také využívat jeho možností. Téměř neomezené možnosti rozšiřování prostoru pro sběr událostí, umělá inteligence, plná automatizace i orchestrace, včetně přehledné vizualizace, to jsou vlastnosti cloud-nativních řešení SIEM. Na zvážení je tedy přehodnocení celého přístupu k této oblasti. Buď nahrazení současného SIEMU novou verzí, pokud existuje a je to ekonomicky smysluplné, nebo přesunutí celé operativy na dodavatele, který moderní SIEM provozuje a dokáže vám poskytovat jen ty důležité informace. Druhá možnost výrazně ulehčí čas, jasně vyhraní odpovědnost a bude pravděpodobně ekonomicky výhodná.

Příklady SIEM řešení nové generace

Samozřejmě nelze opominout dlouholeté hráče na poli SIEMU. V ČR jde o silnou trojku řešení IBM QRADAR, ArcSight Enterprise Security Manager (ESM) od MicroFocus a SPLUNK. Tato řešení jsou často implementována ve společnostech s dostatečným rozpočtem a také často s početným týmem bezpečnostních specialistů. Pod čarou však také s pověstí drahých a těžkopádných řešení s vysokými náklady na provoz, rozšíření a správu. Všichni se snaží o to, aby udrželi krok s dobou, mluví o možnostech AI a nových vlastnostech. V reálném prostředí je situace horší. S příchodem a raketovým rozvojem cloudových platforem Microsoft O365, Azure, či Amazon Web Services, přichází neustálá změna, prakticky nové funkce i řešení každý týden. Z toho vyplývá požadavek na audit nových aktivit uživatelů i aplikačních funkcí, který často neumí těžkopádná a robustní řešení plnit včas.

Za povšimnutí stojí zrození nového a zcela nativního cloudového SIEMU od společnosti Microsoft. Pyšní se tím, že výrazně ulehčuje práci správcům bezpečnosti, obsahuje přehlednou vizualizaci nad PowerBi a využívá kromě pokročilé umělé inteligence i neomezených možností cloud Microsoft Azure. V on-premise prostředí, kde Microsoft hraje prim a samozřejmě v jeho O365 i AZURE jde o výrazného konkurenta. Otázkou je, jak dokáže Microsoft integrovat prostředí třetích stran a aplikací, které nejsou v jeho portfoliu. Každopádně je dnes Microsoft novým a silným hráčem na poli bezpečnosti. V řadě magických kvadrantů publikovaných společností Gartner je dnes z Microsoftu leader. Uvidíme tedy jak zahýbe stojatou vodou současných SIEM řešení. Tradičně je zde však komplikovanější odpověď na přesné licencování a nákladů na provoz. Na to je však zákazník u Microsoftu zvyklý, tak to ani tentokrát není překvapení.

SIEM nemáme a na SIEM také ne

Z pohledu většiny malých, středně velkých společností, podniků a organizací je SIEM zcela nová otázka k diskuzi. Je možné, že Microsoft přinese pro mnoho zákazníků řešení tím, že jeho SENTINEL je prakticky připraven na spuštění v ideálních podmínkách. Tím umožní SIEM rozeběhnout snadněji a přinese tak užitek novým zákazníkům. Pokud i přesto nebudou kapacity IT stačit, či ekonomicky nebude možné SIEM nasadit, je zde cesta střední. Tou je vždy správné nastavení bezpečnostního auditu kombinace levnějších nástrojů a praktické prezentace incidentů IT. Specializované společnosti by měly nabídnout i tuto variantu ve formě nastavení minimálního nutného dohledu, bezpečnostního skóre a jasných doporučení.

Pro jistotu si na závěr ujasněme, že pokud jste cílem personálního útoku schopného hackera, který má možnost fyzického přístupu k vašemu IT a finanční motivaci, pravděpodobně se neubráníte stejně.

Ladislav Šolc Autor článku je spolumajitelem společnosti Mainstream Technologies, kde působí jako managing partner a věnuje se strategickému směrování, rozvoji nových služeb a také budování týmu kybernetické bezpečnosti se službami nové generace.