Τι είναι τα SIEM
Η λέξη SIEM (Security Information and Event Management) είναι ένας όρος που τον χρησιμοποιούμε για να περιγράψουμε συστήματα που συνδυάζουν την διαχείριση πληροφοριών ασφάλειας, Security Information Management ή αλλιώς SIM με την διαχείριση συμβάντων ασφαλείας ή αλλιώς SEM, Security Event Management. Όλα τα παραπάνω αποτελούν την τεχνολογία SIEM, δηλαδή την ανάλυση σε πραγματικό χρόνο των ειδοποιήσεων και των προβλημάτων ασφάλειας σε μία δικτυακή υποδομή πληροφοριακών συστημάτων. Τα συστήματα SIEM είναι πολύ εξελιγμένα εργαλεία διαχείρισης πληροφοριών και συμβάντων ασφάλειας με πολλαπλές εφαρμογές και απεριόριστες δυνατότητες διασύνδεσης. Τα συστήματα SIEM είναι σε θέση να παρέχουν μια κατατοπιστική εικόνα για μία μικρή έως πολύ μεγάλη και πολύπλοκη υποδομή, σε συνδυασμό με την απαραίτητη νοημοσύνη για να επανεξετάζει και να κατανοεί τι συμβαίνει σε μία επιχείρηση ή σε ένα μεγάλο οργανισμό, ανεξαρτήτου μεγέθους και πολυπλοκότητας. Με απλά λόγια το σύστημα SIEM είναι ένα σύστημα παρακολούθησης, καταγραφής και ανάλυσης σε πραγματικό χρόνο όλων των δεδομένων σε μία υποδομή IT, επιτρέποντας το συσχετισμό των γεγονότων και τη δημιουργία αναφορών σχετικά με τις κρίσιμες λειτουργίες των συστημάτων της υποδομής.
Στόχοι ενός συστήματος SIEM ;
Ένα σύστημα SIEM :
- Παρέχει τακτικές αναφορές για γενικές δραστηριότητες.
- Προσδιορίζει τα σημεία συμφόρησης και να παρακολουθεί αλλά και να αναλύει σε πραγματικό χρόνο την σωστή λειτουργία οποιασδήποτε υποδομής.
- Μπορεί να αναπαράγει γεγονότα και να προσδιορίζει πότε, τι και ποιος συμμετείχε σε μία κακόβουλη δραστηριότητα, παρέχοντας όλα τα αποδεικτικά στοιχεία που χρειάζονται για να γίνουν ακόμα και ποινικές διώξεις.
- Βοηθάει στη πρόληψη γεγονότων σε μία υποδομή αφού διαθέτει νοημοσύνη για προληπτική άμυνα “proactive defense” .
- Ειδοποιεί τους διαχειριστές σχετικά με απειλές κατά της ασφάλειας καθώς και για αστοχίες του συστήματος πριν καν αυτές συμβούν.
Η πρόσθετη αξία που προσφέρει ένα σύστημα SIEM
Οι περισσότερες επιχειρήσεις και οργανισμοί στο εξωτερικό έχουν κατανοήσει και αποδεχτεί ότι μία λύση SIEM δίνει πρόσθετη αξία σε διάφορους τομείς. Καταρχήν συμβάλει στην αυτοματοποίηση των κανονιστικών διαδικασιών, παρέχει σημαντικά βελτιωμένη απόδοση στην αναζήτηση και εύρεση αποδεικτικών στοιχείων για κάποια εγκληματική ενέργεια, που στην συνέχεια μπορούν να χρησιμοποιηθούν από τις αρχές, ενώ ο χρόνος αντιμετώπισης προβλημάτων είναι πολύ λιγότερος από ότι στο παρελθόν. Και δεν υπάρχει χρόνος για χάσιμο. Μία εγκληματική ενέργεια (π.χ η χωρίς άδεια αλλαγή σε οικονομικά δεδομένα) από μέσα ή από έξω από την επιχείρηση μπορεί να καταγραφτεί και να αποδειχτεί. Η πλατφόρμα SIEM πανέξυπνα μπορεί και φιλτράρει και καταχωρεί συγκεκριμένα γεγονότα και περιστατικά από τα δισεκατομμύρια αρχεία καταγραφής ή αλλιώς log files σε μία υποδομή IT κάθε μεγέθους.
Η λύση SIEM της επόμενης γενιάς
H NSS διαθέτει στη Νοτιοανατολική Μεσόγειο το σύστημα SIEM επόμενης γενιάς LogPoint. To LogPoint είναι μια προηγμένη πλατφόρμα SIEM που παρέχει σε πραγματικό χρόνο παρακολούθηση και διαχείριση συμβάντων που αφορούν στην ασφάλεια από δίκτυα, συσκευές ασφαλείας, συστήματα και εφαρμογές, καθώς και τη διαχείριση αρχείων καταγραφής (Log Management), ανάλυσης και υποβολής εκθέσεων συμμόρφωσης (Compliance). Η πλατφόρμα SIEM της LogPoint χρησιμοποιείται σε περισσότερους από 250 οργανισμούς στην Ευρώπη, συμπεριλαμβανομένων μεγάλων και μεσαίου μεγέθους επιχειρήσεων σε όλους τους τομείς της βιομηχανίας, καθώς και από δημόσιες αρχές, που κυμαίνονται από δήμους ως κυβερνητικούς οργανισμούς και κρατικές αρχές. Το σύστημα SIEM της LogPoint χρησιμοποιεί προληπτική παρακολούθηση, ταχεία αντιμετώπιση προβλημάτων, προηγμένη συσχέτιση και ειδικές αναζητήσεις για την πρόληψη, την αποφυγή και φυσικά την αντιμετώπιση τέτοιων κινδύνων σε μία επιχείρηση.
Ανάλυση δεδομένων και παροχή αναφορών σχετικά με την υποδομή ΙΤ
Το LogPoint μέσω της τεχνολογίας NoSQL έχει την δυνατότητα να παρακολουθεί εκατομμύρια αρχεία καταγραφής το δευτερόλεπτο, από κάθε εφαρμογή, συσκευή ή υπολογιστή, ανιχνεύοντας πρότυπα και μοτίβα καταγραφής συμβάντων, όπως αυτά εξελίσσονται, σε πραγματικό χρόνο. Ταυτόχρονα, παρέχει μια πλούσια πλατφόρμα ανάλυσης με προκαθορισμένες αναφορές σε πραγματικό χρόνο για τις υποδομές και τις κρίσιμες επιχειρησιακές εφαρμογές, επιτρέποντας την αποτελεσματική διαχείριση και συνεχή αξιολόγηση της ασφάλειας των επιχειρήσεων αλλά και της συμμόρφωσής τους σε συγκεκριμένα πρότυπα ποιότητας. Με ακόμα πιο απλά λόγια, χάρη στο σύστημα LogPoint, μπορείς να ξέρεις ποιος, τι, που και γιατί σε πραγματικό χρόνο, κάτι πάρα πολύ αναγκαίο.
Εντοπισμός συμβάντων σε πολύ μικρό χρόνο
Είναι αδύνατο στην συντριπτική πλειονότητα των περιπτώσεων να βρεθεί αυτό το στοιχείο που θα μπορούσε να «ενοχοποιήσει» ένα χαρακτηριστικό, μία ατέλεια, ένα κενό ασφάλειας ή κάποιον κακόβουλο ανάμεσα σε εκατομμύρια αρχεία καταγραφής συμβάντων. Εδώ εισέρχεται η πραγματική δυναμική του συστήματος SIEM της LogPoint. Μπορούμε να εντοπίσουμε το «συμβάν» σε πολύ μικρό χρόνο. Ένα βασικό μέρος της λύσης LogPoint είναι τα χαρακτηριστικά διαχείρισης καταγραφής που αυτοματοποιούν τη συλλογή και ανάλυση των πληροφοριών ολόκληρης της υποδομής IT. Και το πιο σπουδαίο; Το LogPoint έχει την δική του, μοναδική μηχανή αναζήτησης, που καθιστά απλή και εύκολη διαδικασία την αναζήτηση συγκεκριμένων πληροφοριών και δεδομένων εντός των logs. Η μηχανή περιλαμβάνει μία εξελιγμένη δομή labeling που επιτρέπει ένα χαρακτηρισμό δίνοντας περισσότερη αξία στα αρχεία καταγραφής συμβάντων (log tagging). Επίσης, κάθε αναζήτηση όσο πολύπλοκη και να είναι, μετατρέπεται σε πραγματικό χρόνο και επιτόπου σε ένα μόνιμο Dashboard ενώ οι αναζητήσεις που έχουμε πραγματοποιήσει μπορούν να χρησιμοποιηθούν για μελλοντικές αναφορές. Με τα εξελιγμένα log analytics επίσης, είναι εύκολη η απεικόνιση των δεδομένων με όποιο τρόπο θέλουμε.
Εφαρμογές χωρίς περιορισμούς
Το LogPoint μπορεί εύκολα να αναπτυχθεί και να διασυνδεθεί ακόμα και με τα ποιο παραδοσιακά πληροφοριακά συστήματα, αφού μπορεί να συσχετίσει στοιχεία από αρχεία συμβάντων (logs) με πληροφορίες από δομημένες πηγές δεδομένων, όπως βάσεις δεδομένων ρυθμίσεων (CMDB), βάσεις δεδομένων κοινωνικής ασφάλισης, ιατρικών αρχείων, οικονομικών συστημάτων και πολλών άλλων. Οι εφαρμογές του συστήματος SIEM της LogPoint θα έλεγα ότι δεν έχουν περιορισμό.
Μια σημαντική συνεργασία με προοπτική
Πρόσφατα η εταιρεία LogPoint συνεργάστηκε με την εταιρεία Boeing. Πρόκειται για μία εξαιρετικής σημασίας συνεργασία, αφού η λύση SIEM της LogPoint άλλαξε επίπεδο, μετατρέποντας την εταιρεία σε Tier-1 πάροχο λύσης SIEM. Ο λόγος της συνεργασίας είναι η προετοιμασία της πλατφόρμας LogPoint SIEM για να λάβει την κρίσιμης σημασίας πιστοποίηση ποιότητας EAL-3 (Evaluation Assurance Level 3) που είναι αλλιώς γνωστή και πιστοποίηση ποιότητας του ΝΑΤΟ. Είναι μία εκπληκτική και βεβαίως καλοδεχούμενη εξέλιξη που δίνει νέα δυναμική στο προϊόν.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης