SIEM

Orion Instruments specjalizuje się we wdrażaniu systemów klasy SIEM różnych producentów w zależności od potrzeb i wymogów klienta. Najwięcej jednak wdrożyliśmy rozwiązań firm: Trellix (dawniej McAfee), LogPoint oraz AT&T (dawniej AlienVault). Nasze wdrożenia mają charakter kompleksowy i obejmują analizę przedwdrożeniową, implementację, wszechstronne wsparcie techniczne, szkolenia, utrzymanie i rozwój systemu, a także wykorzystanie SIEM w ramach SOC (Security Operations Center) i CSIRT (Computer Security Incident Response Team) poprzez opracowanie organizacyjnego modelu eksploatacyjnego, zaplanowanie i wdrożenie systemu reakcji na incydenty, tworzenie procedur i szkolenie personelu.

Wykrywanie zagrożeń

Wiele pojedynczych zdarzeń wygląda na szum. Jednak nawet najbardziej pozornie niewinne działanie, może stanowić część zaplanowanego ataku. SIEM sprawia, że rozpoznanie tego procesu jest łatwe, bowiem korzysta on równocześnie z wielu zaawansowanych technik wykrywania najbardziej nawet wyrafinowanych zagrożeń.

U

Dynamiczne linie bazowe

SIEM dynamicznie wyznacza zachowanie linii bazowej, jak również odchylenia w odniesieniu do wszystkich zebranych informacji. Jest to mechanizm wykrywania anomalii w sieci, ale odnoszący się również do działań użytkownika, aplikacji, transakcji bazy danych i wielu innych. Linie bazowe przedstawiane są zazwyczaj w formie graficznej w całym interfejsie użytkownika, wyraźnie wyróżniając się kolorem, po to, by operator błyskawicznie dostrzegł wszelkie zaburzenia zachowań.

Z

Przewidywanie ryzyka

Od zespołów odpowiedzialnych za bezpieczeństwo informatyczne oczekuje się skutecznego zarządzania ryzykiem i eliminacji słabych punktów zabezpieczeń zanim jeszcze dojdzie do ich naruszenia. SIEM oferuje rozwiązanie pozwalające działać z wyprzedzeniem i ocenić czynniki ryzyka występujące podczas i po ataku, a także odpowiadające na szereg pytań typu „co,  jeśli?”. W efekcie możliwe jest istotne zwiększenie efektywności pracy zespołów odpowiedzialnych za bezpieczeństwo i ograniczenie czynników ryzyka w środowisku sieciowym.

Korelacja zero-day

Korelacja zdarzeń w czasie rzeczywistym odbywa się w odniesieniu do spływających informacji. SIEM jest w stanie dodatkowo powiązać informacje ad hoc, co pozwala na badanie wzorców i zależności w odniesieniu do wszystkich zebranych do tej pory danych. Jest to korelacja „zero day”, ponieważ poziom zarządzania zdarzeniami w czasie rzeczywistym umożliwia wykrycie nowych wskaźników zagrożenia, co z kolei pozwala na podjęcie stosownych reakcji wobec określonych zagrożeń, zanim jeszcze one wystąpią.

Wewnętrzne zagrożenia

Mieszane ataki z wyrafinowanymi wektorami są trudne do wykrycia, ponieważ dotyczą dostępu do informacji autoryzowanych użytkowników, co znajduje się w zakresie dopuszczalnych zachowań. Całkowity wgląd w aktywności uprawnionego użytkownika – łącznie z transferem plików do e-maili i zapytania do komunikatorów internetowych lub sieci społecznościowych – pozwala analitykom bezpieczeństwa oddzielić uzasadnione działania od niebezpiecznych błędów i rzeczywistych nadużyć. Natomiast monitorowanie treści pozwala na wykrywanie zagrożeń wewnętrznych: od przypadkowego naruszenia reguł aż do oszustwa i umyślnego nadużycia logiki biznesowej.

Informatyka śledcza

SIEM stanowi niezwykle cenne narzędzie do celów informatyki śledczej, jest bowiem w stanie wychwycić logi i zdarzenia oraz przechować w formie niezaprzeczalnej wszystkie zebrane detale przez dowolnie długi czas. SIEM nie wymaga comiesięcznej archiwizacji danych poza systemem, więc wszystkie zebrane informacje są dostępne do analizy w każdej chwili. SIEM nie każe również czekać na odpowiedź – w ciągu kilku sekund realizowane są: wyszukiwanie, relacyjne zapytania, linie bazowe i analizy trendów, a nawet pełne informacje o całej sesji. Ze względu na wyjątkową szybkość i skalowalność rozwiązania, nawet najbardziej skomplikowany raport z miliardów rekordów może być przygotowany w ciągu zaledwie kilku minut.

Zaawansowana korelacja

Korelacja zdarzeń jest wykorzystywana do szukania wzorców zdarzeń charakterystycznych dla ataku. SIEM idzie dalej, włączając do korelacji przepływy sieciowe, aktywności użytkowników, aktywności aplikacji, a nawet progi ze zdefiniowanym odchyleniem. "Liczba nieudanych prób po udanym logowaniu” jest często podawana jako przykład korelacji zdarzeń, ale co to naprawdę oznacza? Inteligentny SIEM potrafi wykryć czy atak brute force został wykonany przez byłego pracownika, czy też nastąpił jako skutek działania szkodliwego oprogramowania. Korzystanie z edytora graficznego korelacji SIEM oraz tworzenie nowych reguł jest proste i logiczne, a przez to wygodne w użyciu.

h

Spełnienie wymogów formalnych

Przedsiębiorstwa i instytucje są bardzo często zobowiązane do przestrzegania branżowych i ogólnych przepisów i norm prawnych takich jak np. wytyczne KNF, PCI Compliance, czy rozporządzenie GDPR (RODO).  Obszerne zbiory danych i zdarzeń generowanych w organizacji zawierają kluczowe dane, które powinny znaleźć się w formalnie wymaganych zapisach kontrolnych.  Dzięki korelacji i integracji źródeł danych rozwiązanie SIEM dostarcza operatorowi bardziej precyzyjnych informacji, audytorom – pełniejszych raportów, a osobom odpowiedzialnym za reagowanie na incydenty – bardziej szczegółowego materiału dowodowego.