facebook LinkedIN LinkedIN - follow
Hlavní strana -> Zprávy
Aktuality -> Komunikace a sítě - 20. 11. 2023 - -master-

První kroky při výběru log managementu

Nástroje pro sledování a práci s událostmi jsou žhavým tématem posledních měsíců. Je to hlavně díky vznikající směrnici NIS2, která nařizuje ohlašovací povin­nost bezpečnostních incidentů a hrozeb. Pro zhruba šest tisíc sub­jek­tů se stanou log management a SIEM klíčovými ke splnění této povinnosti a budou poptávat řešení log managementu na klíč. To je určitě výzva. Můžete z ní ale i vytěžit. Log management a SIEM pomáhá v bezpeč­nost­ní prevenci a přináší strategické výhody. Odkud začít?



Sběr logů přináší strategické výhody

Problematika event managementu získala nálepku něčeho nepopu­lár­ní­ho. Pro firmy znamená složitou analýzu prostředí, veškerých provozovaných systémů a další investice do implementace nástrojů i jejich údržby. Argument číslo jedna? Splnění regulačních požadavků.

Co už tolik nezaznívá je, že log management – a obzvláště SIEM – jsou především strategické nástroje. Pomáhají předcházet bezpečnostním hrozbám, ztrátám dat, a navíc zvyšují efektivitu organizací. Firma se správně nastaveným systémem pro sběr a analýzu logů dokáže:

  • včas odhalit pokusy o neoprávněný přístup k datům;
  • najít souvislosti mezi událostmi napříč systémy a identifikovat hrozby;
  • sledovat dynamické prostředí microservices a snáze debuggovat;
  • reagovat na incidenty v reálném čase a snížit dobu nedostupnosti svých služeb;
  • rozpoznat nadbytečné nebo neefektivní využití zdrojů;
  • přesněji plánovat potřebné budoucí kapacity.

To vše má především ekonomické důsledky. Potenciální náklady spojené s bezpečnostními incidenty – ať už v podobě pokut, ztráty důvěry zákazníků, nebo přímo finančních ztrát – mohou být mnohonásobně vyšší než investice do efektivních bezpečnostních nástrojů. Průměrná finanční ztráta způsobená vážným bezpečnostním incidentem nezřídka dosahuje milionů korun. SIEM a log management nejenže snižují riziko těchto incidentů, ale také umožňují organizacím získat lepší přehled o tom, jak jsou jejich IT zdroje využívány, což může přinést další úspory.

Krok 1: Proveďte základní analýzu

Aby event management dobře sloužil, je potřeba mít jasno v tom, co je jeho cílem v konkrétní organizaci. Odpověď na tuto otázku napoví, které události budou důležité a měly by se posílat přes API do nástroje pro log management nebo SIEM.

Martin Žídek
Martin Žídek

Fázi analýzy může obstarat i poskytovatel SIEM. „Zákazníkům, kteří jsou se SIEM úplně na začátku, nejprve pomáháme upřesnit jejich potřeby. Případně jim asistujeme při analýze infrastruktury nebo ji provádíme za ně,“ přibližuje proces realizace Martin Žídek, technický ředitel MasterDC. Při analýze infrastruktury doporučujeme následovat tyto body:

Co chcete sledovat a proč
Hledejte odpovědi na otázky typu: Kde máme uložena nejcitlivější data? Jaký typ bezpečnostního incidentu nás může nejvíce ohrozit? Které přístupové body jsou nejzranitelnější? Jak bychom chtěli reagovat na bezpečnostní incidenty? Které výkonnostní problémy ovlivní naše zákazníky?

Jaká zařízení a systémy provozujete
Tento krok je ideální příležitostí k revizi firemního IT. Sepište si všechna zařízení a systémy relevantní pro oblast, kterou potřebuje­te sledovat. Pokud jste vyhodnotili, že je pro vás nejzásadnější sledovat události a aktivity na úrovni sítě, mohou to být například:

  • síťová zařízení (např. veškeré switche, routery, firewally, bezpečnostní technologie typu Radware, proxy servery);
  • servery (např. DNS, DHCP servery; operační systémy Windows/Linux; webové servery Apache, Nginx; aplikační servery Tomcat, JBoss);
  • aplikace (např. databázové systémy – MariaDB, SQL Server; mail servery – Exchange, IMAP);
  • autentizační systémy (např. Active Directory nebo LDAP servery);
  • klienti (např. pracovní stanice – notebooky i desktopy; mobilní zařízení – chytré telefony, tablety).

Která pravidla musíte dodržet
Typ sledovaných logů i dobu jejich uchování mohou určovat např. legislativní povinnosti nebo některé ze standardů typu ISO. Kromě zákonů a pravidel se zaměřte i na vlastní potřeby a rizika, která by mohla mít negativní dopad na důvěru zákazníků nebo pověst firmy či instituce.

Co vás může ohrozit
Pokuste se identifikovat slabiny ve firemní IT infrastruktuře. Zvažte, které logy poslouží ke zjištění anomálií a hrozeb – kupříkladu zvýšený počet pokusů o přihlášení může být signálem možného útoku. Dále určete, jaká by měla být očekávaná reakce na případné problémy, tj. jaký bude postup při podezření na útok.

Krok 2: zjistěte velikost potřebného řešení

Pokud už máte jasno v požadavcích, přichází na řadu volba platformy, na které řešení pro event management poběží. Cenu řešení typicky ovlivňuje počet generovaných EPS a potřebných GB.

EPS (events per second) udávají množství událostí, tedy logů, které systémy vygenerují za vteřinu. Počet EPS a doba pro uchovávání logů určují, jak velké úložiště firma potřebuje. Potíž je v tom, že hodnota EPS je vysoce individuální.

Na začátku můžete využít nativní logování, které lze zapnout přímo na úrovni systémů a serverů. Získáte tak informace o počtu logů za hodinu/den u jednotlivých prvků infrastruktury a z nich pak odvodíte počet EPS. Díky nativním logům budete mít také jasno o objemu dat, který se za den vyprodukuje. A teď prakticky na třech příkladech:

Tabulka představuje modelové scénáře. Informace z ní nelze zobecnit a využít pro charakteristiku vlastní infrastruktury. Při stanovování objemu dat (počtu potřebných GB) nezapomeňte zohlednit dobu uložení logů. U vyšších počtů EPS vás bude zajímat i propustnost sítě dodavatele řešení. V této fázi byste měli mít pohromadě solidní balík informací – zbývá vybrat samotné řešení.
Typ firmy Účetní firma Větší e-shop Webhostingová společnost
Infrastruktura Několik virtuálních serverů Jeden fyzický server Dva fyzické servery
Systémy a aplikace OS Windows Server, účetní software, přístup přes RDP, SQL server OS Alma Linux OS Alma Linux, Nginx/Apache, PHP, MySQL
Průměrný počet událostí / den 160 190 1 854 744 15 071 321
Objem dat / den 228 MB 1,1 GB 5 GB
Odhad EPS 2 20 174

Krok 3: vyberte správného dodavatele

Pokud plánujete investovat do log managementu, myslete na to, aby vám sloužil dlouhodobě. Zaměřte se na rozšiřitelnost o sledování dalších systémů a aplikací, ale i možnosti navýšení hardwarových parametrů. Důležité je také přidávání funkcionalit a případný přechod z log managementu na SIEM.

„Pro menší firmy je výhodná sdílená SIEM platforma, jejíž část si mohou jednoduše pronajímat. Firmám s robustnější infrastrukturou obvykle realizujeme vyhrazené řešení, ať už v cloudu nebo na fyzickém serveru, vždy s ohledem na ekonomiku celého řešení,“ upřesňuje možnosti služby provozní ředitel MasterDC Filip Špaček.

Filip Špaček
Filip Špaček


 
  

- PR -

KARAT usnadňuje proces výroby elektrických rozvaděčů

Historie společnosti Global Business v dnešní podobě a s dnešním zaměřením výroby se datuje k roku 2006, kdy byla s cca 25 zaměst­nan­ci odkoupena divize výroby rozvaděčů od zanikající společnosti Elma-Therm. Rozjezdu společnosti pomohla i skutečnost, že lidé odcházející z této zanikající společnosti se stávali novými zákazníky společnosti Global Business, protože se řada z nich rozhodla pro vlastní podnikání v oboru, který vyžadoval produkty společnosti Global Business.

  

- PR -

Kapalinové chlazení superpočítačů: válka s teplem v době AI

S nástupem umělé inteligence (AI) a její stále náročnější výpočetní potřeby rostou i nároky na efektivní chlazení datových center. Ideálním řešením pro chlazení akcelerátorů nové generace je kapalinové chlazení. Nejenže prodlužuje životnost hardware, ale zároveň výrazně snižuje provozní náklady datových center. Navíc je klíčové pro efektivitu, udržitelnost a hustotu budoucích datových center využívajících AI.