facebook LinkedIN LinkedIN - follow
Aktuality -> Komunikace a sítě - 20. 11. 2023 - -master-

První kroky při výběru log managementu

Nástroje pro sledování a práci s událostmi jsou žhavým tématem posledních měsíců. Je to hlavně díky vznikající směrnici NIS2, která nařizuje ohlašovací povin­nost bezpečnostních incidentů a hrozeb. Pro zhruba šest tisíc sub­jek­tů se stanou log management a SIEM klíčovými ke splnění této povinnosti a budou poptávat řešení log managementu na klíč. To je určitě výzva. Můžete z ní ale i vytěžit. Log management a SIEM pomáhá v bezpeč­nost­ní prevenci a přináší strategické výhody. Odkud začít?



Sběr logů přináší strategické výhody

Problematika event managementu získala nálepku něčeho nepopu­lár­ní­ho. Pro firmy znamená složitou analýzu prostředí, veškerých provozovaných systémů a další investice do implementace nástrojů i jejich údržby. Argument číslo jedna? Splnění regulačních požadavků.

Co už tolik nezaznívá je, že log management – a obzvláště SIEM – jsou především strategické nástroje. Pomáhají předcházet bezpečnostním hrozbám, ztrátám dat, a navíc zvyšují efektivitu organizací. Firma se správně nastaveným systémem pro sběr a analýzu logů dokáže:

  • včas odhalit pokusy o neoprávněný přístup k datům;
  • najít souvislosti mezi událostmi napříč systémy a identifikovat hrozby;
  • sledovat dynamické prostředí microservices a snáze debuggovat;
  • reagovat na incidenty v reálném čase a snížit dobu nedostupnosti svých služeb;
  • rozpoznat nadbytečné nebo neefektivní využití zdrojů;
  • přesněji plánovat potřebné budoucí kapacity.

To vše má především ekonomické důsledky. Potenciální náklady spojené s bezpečnostními incidenty – ať už v podobě pokut, ztráty důvěry zákazníků, nebo přímo finančních ztrát – mohou být mnohonásobně vyšší než investice do efektivních bezpečnostních nástrojů. Průměrná finanční ztráta způsobená vážným bezpečnostním incidentem nezřídka dosahuje milionů korun. SIEM a log management nejenže snižují riziko těchto incidentů, ale také umožňují organizacím získat lepší přehled o tom, jak jsou jejich IT zdroje využívány, což může přinést další úspory.

Krok 1: Proveďte základní analýzu

Aby event management dobře sloužil, je potřeba mít jasno v tom, co je jeho cílem v konkrétní organizaci. Odpověď na tuto otázku napoví, které události budou důležité a měly by se posílat přes API do nástroje pro log management nebo SIEM.

Martin Žídek
Martin Žídek

Fázi analýzy může obstarat i poskytovatel SIEM. „Zákazníkům, kteří jsou se SIEM úplně na začátku, nejprve pomáháme upřesnit jejich potřeby. Případně jim asistujeme při analýze infrastruktury nebo ji provádíme za ně,“ přibližuje proces realizace Martin Žídek, technický ředitel MasterDC. Při analýze infrastruktury doporučujeme následovat tyto body:

Co chcete sledovat a proč
Hledejte odpovědi na otázky typu: Kde máme uložena nejcitlivější data? Jaký typ bezpečnostního incidentu nás může nejvíce ohrozit? Které přístupové body jsou nejzranitelnější? Jak bychom chtěli reagovat na bezpečnostní incidenty? Které výkonnostní problémy ovlivní naše zákazníky?

Jaká zařízení a systémy provozujete
Tento krok je ideální příležitostí k revizi firemního IT. Sepište si všechna zařízení a systémy relevantní pro oblast, kterou potřebuje­te sledovat. Pokud jste vyhodnotili, že je pro vás nejzásadnější sledovat události a aktivity na úrovni sítě, mohou to být například:

  • síťová zařízení (např. veškeré switche, routery, firewally, bezpečnostní technologie typu Radware, proxy servery);
  • servery (např. DNS, DHCP servery; operační systémy Windows/Linux; webové servery Apache, Nginx; aplikační servery Tomcat, JBoss);
  • aplikace (např. databázové systémy – MariaDB, SQL Server; mail servery – Exchange, IMAP);
  • autentizační systémy (např. Active Directory nebo LDAP servery);
  • klienti (např. pracovní stanice – notebooky i desktopy; mobilní zařízení – chytré telefony, tablety).

Která pravidla musíte dodržet
Typ sledovaných logů i dobu jejich uchování mohou určovat např. legislativní povinnosti nebo některé ze standardů typu ISO. Kromě zákonů a pravidel se zaměřte i na vlastní potřeby a rizika, která by mohla mít negativní dopad na důvěru zákazníků nebo pověst firmy či instituce.

Co vás může ohrozit
Pokuste se identifikovat slabiny ve firemní IT infrastruktuře. Zvažte, které logy poslouží ke zjištění anomálií a hrozeb – kupříkladu zvýšený počet pokusů o přihlášení může být signálem možného útoku. Dále určete, jaká by měla být očekávaná reakce na případné problémy, tj. jaký bude postup při podezření na útok.

Krok 2: zjistěte velikost potřebného řešení

Pokud už máte jasno v požadavcích, přichází na řadu volba platformy, na které řešení pro event management poběží. Cenu řešení typicky ovlivňuje počet generovaných EPS a potřebných GB.

EPS (events per second) udávají množství událostí, tedy logů, které systémy vygenerují za vteřinu. Počet EPS a doba pro uchovávání logů určují, jak velké úložiště firma potřebuje. Potíž je v tom, že hodnota EPS je vysoce individuální.

Na začátku můžete využít nativní logování, které lze zapnout přímo na úrovni systémů a serverů. Získáte tak informace o počtu logů za hodinu/den u jednotlivých prvků infrastruktury a z nich pak odvodíte počet EPS. Díky nativním logům budete mít také jasno o objemu dat, který se za den vyprodukuje. A teď prakticky na třech příkladech:

Tabulka představuje modelové scénáře. Informace z ní nelze zobecnit a využít pro charakteristiku vlastní infrastruktury. Při stanovování objemu dat (počtu potřebných GB) nezapomeňte zohlednit dobu uložení logů. U vyšších počtů EPS vás bude zajímat i propustnost sítě dodavatele řešení. V této fázi byste měli mít pohromadě solidní balík informací – zbývá vybrat samotné řešení.
Typ firmy Účetní firma Větší e-shop Webhostingová společnost
Infrastruktura Několik virtuálních serverů Jeden fyzický server Dva fyzické servery
Systémy a aplikace OS Windows Server, účetní software, přístup přes RDP, SQL server OS Alma Linux OS Alma Linux, Nginx/Apache, PHP, MySQL
Průměrný počet událostí / den 160 190 1 854 744 15 071 321
Objem dat / den 228 MB 1,1 GB 5 GB
Odhad EPS 2 20 174

Krok 3: vyberte správného dodavatele

Pokud plánujete investovat do log managementu, myslete na to, aby vám sloužil dlouhodobě. Zaměřte se na rozšiřitelnost o sledování dalších systémů a aplikací, ale i možnosti navýšení hardwarových parametrů. Důležité je také přidávání funkcionalit a případný přechod z log managementu na SIEM.

„Pro menší firmy je výhodná sdílená SIEM platforma, jejíž část si mohou jednoduše pronajímat. Firmám s robustnější infrastrukturou obvykle realizujeme vyhrazené řešení, ať už v cloudu nebo na fyzickém serveru, vždy s ohledem na ekonomiku celého řešení,“ upřesňuje možnosti služby provozní ředitel MasterDC Filip Špaček.

Filip Špaček
Filip Špaček


 
  

- PR -

D.A.S. využívá GFI Archiver k uchovávání klíčových informací

DASSpolečnost D.A.S. je po­sky­to­va­te­lem pojištění právní ochrany sou­kro­mým osobám i pod­ni­ka­tel­ským subjektům ze všech odvětví. Na základě uzavřeného pojištění svým zákazníků poskytuje právní ochranu, od řešení pokut až po zastupování ve složitých soudních případech. Pro společnost pracuje cca 130 zaměstnanců a přibližně 70 externích obchodníků, kteří využívají elektronickou poštu k intenzivní komunikaci se zákazníky.

  

- PR -

Jak překonat omezení v intralogistice, díky revoluci v řízení skladů

Vaše firma stagnuje. Nemůžete najít to, co hledáte. Máte jiné počty kusů, než kolik máte mít. Nemáte kontrolu nad tím, co se děje ve skladě. Rostoucí náklady na skladování vám nedají spát. Zaučení nových pracovníků trvá týdny. Hledání toho správného materiálu je práce pro detektiva. To vše jsou příznaky nedostatečné digitalizace logistických procesů.