Η διαχείριση αρχείων καταγραφής συμβάντων ασφάλειας πληροφοριών αποτελεί για τις σύγχρονες επιχειρήσεις μια επιβεβλημένη αναγκαιότητα, ενώ για την υλοποίηση των λύσεων απαιτούνται συγκεκριμένες προϋποθέσεις και προπάντων σωστός σχεδιασμός.

Προσδιορισμός της Τεχνολογίας και του πλαισίου λειτουργίας της
Το θέμα της συλλογής και διαχείρισης τόσο των αρχείων όσο και των μηνυμάτων ασφάλειας που παράγονται από τα πληροφορικά συστήματα, είναι κάτι παραπάνω από υλοποίηση μιας αντίστοιχης λύσης. Σύμφωνα με το NIST (National Institute of Standards & Technology) είναι η διαδικασία για την παραγωγή, διαβίβαση, αποθήκευση, ανάλυση και προβολή των καταγεγραμμένων μηνυμάτων ασφάλειας των πληροφοριακών συστημάτων.

Προσδιορισμός της Τεχνολογίας και του πλαισίου λειτουργίας της
Το θέμα της συλλογής και διαχείρισης τόσο των αρχείων όσο και των μηνυμάτων ασφάλειας που παράγονται από τα πληροφορικά συστήματα, είναι κάτι παραπάνω από υλοποίηση μιας αντίστοιχης λύσης. Σύμφωνα με το NIST (National Institute of Standards & Technology) είναι η διαδικασία για την παραγωγή, διαβίβαση, αποθήκευση, ανάλυση και προβολή των καταγεγραμμένων μηνυμάτων ασφάλειας των πληροφοριακών συστημάτων.

Η διαχείριση και συλλογή των μηνυμάτων ασφάλειας, αφορά στα ακόλουθα:

  • Προσδιορισμό των απαιτήσεων καταγραφής.
  • Προσδιορισμό του τρόπου με τον οποίο θα επιτυγχάνεται η καταγραφή των πληροφοριών που μας ενδιαφέρουν.
  • Προσδιορισμό του χρονικού διαστήματος κατά το οποίο η καταγεγραμμένη πληροφορία θα πρέπει να είναι διαθέσιμη.

Τα παραπάνω, τελικά μεταφράζονται σε απαιτήσεις για το υλικό, λογισμικό – και φυσικά σε αντίστοιχες πολιτικές οι οποίες θα τα επιβάλλουν.
Η τεχνολογία συλλογής και διαχείρισης αρχείων και μηνυμάτων ασφάλειας παρέχει και ταυτόχρονα αυτοματοποιεί δύο σημαντικές λειτουργίες:

  • Διαχείριση των αρχείων και μηνυμάτων ασφάλειας από διαφορετικές πηγές και ταυτόχρονη δημιουργία των απαραίτητων αναφορών για την υποβολή των σχετικών εκθέσεων συμμόρφωσης (SIM, Security information management).
  • Διαχείριση των σημαντικών περιστατικών ασφάλειας τα οποία προκύπτουν από τη σε (σχεδόν) πραγματικό χρόνο παρακολούθηση και αναγνώρισή τους από τα συγκεντρωμένα αρχεία και μηνύματα ασφάλειας (SEM, Security event management).

Οι παραπάνω λειτουργίες αφορούν στην προσδοκώμενη λειτουργικότητα της εν λόγω τεχνολογίας σε επίπεδο συστημάτων, δικτύων, εφαρμογών και διαφόρων συστημάτων ασφάλειας (π.χ. firewalls, IDS/IPS, security gateways). Στην πλειοψηφία τους, οι εγκαταστάσεις συστημάτων διαχείρισης και συλλογής των μηνυμάτων ασφάλειας προκύπτουν λιγότερο ως ανάγκη βελτίωσης της διαχείρισης κινδύνου και δυνατότητας αντιμετώπισης περιστατικών ασφάλειας και περισσότερο ως απαίτηση συμμόρφωσης με το κανονιστικό πλαίσιο. Η εμπορικά διαθέσιμη τεχνολογία προσφέρει τη δυνατότητα υλοποίησης είτε λύσεων που επικεντρώνονται στην κεντρική διαχείριση των αρχείων και μηνυμάτων ασφάλειας (SIM) είτε λύσεων που επικεντρώνονται στη διαχείριση των περιστατικών ασφάλειας τα οποία προκύπτουν από την ανάλυση των μηνυμάτων (SEM), καθώς και λύσεων οι οποίες μπορούν να υλοποιήσουν και τα δύο παραπάνω σενάρια (SIEM, security information & event management).

Οι προκλήσεις και η αναγκαιότητα υλοποίησης

Οι προκλήσεις που καλούνται να αντιμετωπίσουν οι λύσεις SIEM και μέσα από αυτές να αποδείξουν και τη χρησιμότητά τους, είναι οι ακόλουθες:

  • Μεγάλος όγκος μηνυμάτων ασφάλειας από διαφορετικές πηγές, δημιουργεί αυξημένες ανάγκες διαχείρισης και ανάλυσης.
  • Ανάγκη για να προσδιορισθούν προτεραιότητες που αφορούν στα μηνύματα ασφάλειας. Δεν έχουν όλα τα μηνύματα ασφάλειας την ίδια σημασία για τον Οργανισμό.
  • Απόκτηση τεχνογνωσίας η οποία αφορά στην αντιμετώπιση νέων τύπων απειλών.
  • Προσδιορισμός προτεραιοτήτων στην αντιμετώπιση των περιστατικών ασφάλειας.
  • Μέτρηση της αποτελεσματικότητας των υφιστάμενων τεχνικών δικλείδων ασφάλειας.
  • Μείωση του χρόνου ανάλυσης των μηνυμάτων ασφάλειας, σε σύγκριση με μη αυτοματοποιημένες μεθόδους.
  • Γρήγορος προσδιορισμός των περιπτώσεων μη τήρησης των πολιτικών και διαδικασιών ασφάλειας του Οργανισμού.

Ένα από τα πρώτα οφέλη της υλοποίησης υποδομών SIEM αποτελεί η συλλογή και αποθήκευση για όσο χρονικό διάστημα χρειαστεί, των μηνυμάτων ασφάλειας σε κεντρικό σημείο. Πέραν τούτου, οι τακτικές αναλύσεις των συλλεχθέντων δεδομένων, βοηθούν στον εντοπισμό πραγματικών περιστατικών ασφάλειας, παραβιάσεων της πολιτικής ασφάλειας, μη εξουσιοδοτημένης δραστηριότητας, καθώς και προσδιορισμό διαφόρων λειτουργικών προβλημάτων σε χρονικό διάστημα πολύ κοντά στη στιγμή που συνέβησαν.
Επίσης τα μηνύματα ασφάλειας αποτελούν χρήσιμη πηγή για τη διεξαγωγή εσωτερικών ελέγχων, αλλά και τη συλλογή τεκμηρίων σε περίπτωση που χρειαστεί να ταυτοποιηθούν επίσημα περιστατικά παραβίασης της ασφάλειας των πληροφοριών ενός Οργανισμού.
Εκτός, από τα εγγενή πλεονεκτήματα της διαχείρισης και ανάλυσης των μηνυμάτων ασφάλειας, μια σειρά νόμων και κανονισμών υποχρεώνουν τους Οργανισμούς να αποθηκεύουν και να ελέγχουν τα αρχεία καταγραφής των μηνυμάτων ασφάλειας, σε τακτά χρονικά διαστήματα.

Επιλογή της κατάλληλης λύσης
Πριν γίνει η οποιαδήποτε επιλογή είναι σημαντικό να θυμόμαστε πως όλες οι διαθέσιμες τεχνολογίες δεν είναι ίδιες. Ανεξάρτητα από το αν έχετε εξετάσει ένα συγκεκριμένο προϊόν ή μία συγκεκριμένη υπηρεσία που φιλοξενείται στο … σύννεφο, το ζητούμενο είναι ποια είναι η λειτουργικότητα που επιζητάτε και ποια η χρήση της στον Οργανισμό.
Οι βασικές τεχνολογικές επιλογές είναι δύο:

  • Λειτουργία κεντρικού συστήματος το οποίο συλλέγει και διαχειρίζεται τα αρχεία καταγραφής μηνυμάτων ασφάλειας.
  • Υποδομή κεντρικής διαχείρισης των αρχείων καταγραφής μηνυμάτων ασφάλειας και ταυτόχρονης ανάλυσης των συγκεκριμένων μηνυμάτων, με στόχο την άμεση αποκάλυψη πιθανών περιπτώσεων παραβίασης της πολιτικής ασφάλειας.

Η πρώτη περίπτωση αφορά σε συστήματα σχεδιασμένα να συγκεντρώνουν τα αρχεία καταγραφής των μηνυμάτων ασφάλειας από πολλές & διαφορετικές πηγές, με απώτερο σκοπό τη διαχείριση και την επεξεργασία τους σε δεύτερο στάδιο.
Άμεσα υποψήφια συστήματα για να συμμετέχουν σε μια τέτοια υλοποίηση είναι τα συστήματα UNIX, από τα οποία εύκολα μπορούμε να διαβιβάσουμε σε κεντρικό σημείο τα παραγόμενα μηνύματα ασφάλειας, κυρίως κάνοντας χρήση των utilities syslogd ή syslog-ng. Επόμενα συστήματα – πελάτες σε μια τέτοια υλοποίηση είναι οι δικτυακές συσκευές (routers, switches) και οι βασικές συσκευές ασφάλειας δικτύων (firewalls, IDS/IPSs), οι οποίες μπορούν να διαβιβάσουν τα παραγόμενα μηνύματα ασφάλειας σε κεντρικό σημείο συλλογής και διαχείρισης, κάνοντας χρήση των utilities syslog ή syslog-ng.
Η εν λόγω υλοποίηση αφήνει κενά όσον αφορά στη συλλογή των μηνυμάτων ασφάλειας από εφαρμογές και βάσεις δεδομένων. Ακόμα και αν η υποδομή χρησιμοποιηθεί για τη συγκέντρωση σε κεντρικό σημείο των παραπάνω αρχείων καταγραφής μηνυμάτων ασφάλειας, δεν υπάρχει δυνατότητα για επεξεργασία με ομοιόμορφο τρόπο των μηνυμάτων ασφάλειας από διαφορετικές πηγές. Η εν λόγω υλοποίηση αποτελεί μια αξιόπιστη λύση περιορισμένων δυνατοτήτων.
Εάν οι ανάγκες του Οργανισμού αφορούν στη διαχείριση και ανάλυση των συλλεχθέντων μηνυμάτων ασφάλειας από διαφορετικές πηγές με σκοπό την αποκάλυψη περιστατικών ασφάλειας, τότε χρειάζεται να επικεντρωθούμε στην υλοποίηση υποδομής με δυνατότητες διαχείρισης και ανάλυσης σε σχεδόν πραγματικό χρόνο των μηνυμάτων ασφάλειας τα οποία συλλέγονται και αναλύονται σε κεντρικό σημείο.
Μία τέτοια υποδομή (SIEM, security information & event management) εκτός από τη συλλογή σε κεντρικό σημείο των μηνυμάτων ασφάλειας, προσφέρει και άλλες δυνατότητες όπως:

  • Συσχέτιση διαφορετικών μηνυμάτων με σκοπό την αποκάλυψη περιστατικών ασφάλειας (correlation).
  • Δημιουργία και κοινοποίηση συναγερμών.
  • Δημιουργία πολυδιάστατων αναφορών.

Η συγκέντρωση όλων των μηνυμάτων ασφάλειας σε κεντρικό σημείο επιτρέπει να βρίσκουμε γρήγορα τα περιστατικά ασφάλειας που έχουν λάβει χώρα, χωρίς να χρειάζεται να εξετάζουμε κάθε ένα από τα συστήματα – εφαρμογές του Οργανισμού.
Η συσχέτιση μηνυμάτων ασφάλειας από διαφορετικές πηγές είναι ουσιαστικά μία πολυδιάστατη ανάλυση δύο ή περισσότερων κατηγοριών μηνυμάτων, με σκοπό την αποκάλυψη πραγματικών περιστατικών ασφάλειας.
Εξετάζοντας τις διάφορες λύσεις τύπου SIEM που υπάρχουν εμπορικά διαθέσιμες, είναι προφανές ότι οι περισσότερες διαθέτουν κοινά σημεία λειτουργικότητας και ακολουθούν ένα σχεδόν τυποποιημένο τρόπο συλλογής και ομαδοποίησης των μηνυμάτων ασφάλειας, μετατρέποντας τα μηνύματα που συλλέγουν σε δικό τους format. Στη συνέχεια επεξεργάζονται τα μηνύματα ασφάλειας στο νέο τους format και ξεκινά η διαδικασία της συσχέτισης μηνυμάτων από διαφορετικές πηγές προκειμένου να αποκαλυφθούν σημαντικά περιστατικά ασφάλειας.
Παρά το γεγονός ότι οι περισσότερες λύσεις SIEM μοιράζονται ένα κοινό σύνολο λειτουργιών, υπάρχουν στην πραγματικότητα χαρακτηριστικά διαφοροποίησης καθώς και πλεονεκτήματα και αδυναμίες. Η σωστή επιλογή γίνεται μόνο με βάση τις ανάγκες του δικού σας Οργανισμού και όχι με βάση τις εξειδικευμένες δυνατότητες κάθε προσφερόμενης λύσης.
Πριν ξεκινήσετε τη διαδικασία προμήθειας ενός συστήματος SIEM χρειάζεται βασικός σχεδιασμός και προετοιμασία. Είναι πολύ σημαντικό να γίνει καταγραφή των διαφόρων τύπων μηνυμάτων τα οποία καταγράφονται από τα συστήματα και τις εφαρμογές του Οργανισμού. Σε δεύτερη φάση χρειάζεται να διερευνήσουμε τι είδους πληροφορία ζητάμε να αντλήσουμε από την επεξεργασία των συλλεχθέντων μηνυμάτων ασφάλειας. Εδώ ακριβώς είναι και η ουσία της υλοποίησης ενός συστήματος SIEM.
Αυτό φαντάζει εξαιρετικά απλό, αλλά συχνά αποδεικνύεται ότι είναι πολύ δύσκολο, δεδομένου ότι ακόμη και μικροί Οργανισμοί μπορούν εύκολα να ανακαλύψουν πολλούς και διαφορετικούς τύπους καταγραφής μηνυμάτων ασφάλειας, όπως Syslog, Netflow, Windows Events και SNMP. Εάν σε αυτά προσθέσουμε και διάφορους “proprietary” τρόπους καταγραφής των μηνυμάτων ασφάλειας, που συνήθως αφορούν αυτο-παραγόμενες εφαρμογές ή εφαρμογές του τηλεπικοινωνιακού χώρου, τότε κατανοούμε τη δυσκολία του εγχειρήματος.
Δεν υπάρχει λόγος να στραφείτε σε πολυδάπανες συμβουλές από ειδικούς προκειμένου να αποφασίστε τι θέλετε. Απλά σκεφτείτε το τελικό αποτέλεσμα, τι θα θέλατε να έχετε ως τελική πληροφορία από μία υποδομή SIEM, για το πώς κάθε συνιστώσα ταιριάζει στη μεγάλη εικόνα και θα είστε καλά στο δρόμο σας προς την επιτυχή ανάπτυξη.
Όσον αφορά στη διαχείριση των μηνυμάτων ασφάλειας είναι σημαντικό να έχει μελετηθεί τόσο ο ημερήσιος όγκος των εν λόγω μηνυμάτων, καθώς και η γεωγραφική διασπορά των συστημάτων από τα οποία θα συλλέγονται τα μηνύματα ασφάλειας.
Σύμφωνα με την Gartner, τέσσερα είναι τα κύρια συστατικά τα οποία διαφοροποιούν τις λύσεις SIEM:

  1. Διαχείριση μηνυμάτων ασφάλειας: περιλαμβάνει τις λειτουργίες που υποστηρίζουν τη συλλογή, ταξινόμηση, αποθήκευση και ανάλυση μεγάλου όγκου πληροφοριών, τη δυνατότητα αναζήτησης περιστατικών ασφάλειας και δημιουργίας αναφορών. Οι παρεχόμενες δυνατότητες δημιουργίας αναφορών πρέπει να περιλαμβάνουν προκαθορισμένους τύπους αναφορών και δυνατότητα δημιουργίας αναφορών σύμφωνα με δικά μας κριτήρια.
  2. Δημιουργία αναφορών συμμόρφωσης: Σημαντικό είναι να υπάρχουν έτοιμες αναφορές (pre-defined) που να αφορούν τουλάχιστον στην παρακολούθηση των προσβάσεων των χρηστών.
  3. Αναγνώριση περιστατικών ασφάλειας: Αυτό περιλαμβάνει τη συλλογή στοιχείων σε σχεδόν πραγματικό χρόνο, καθώς και τη δυνατότητα συσχετισμού μηνυμάτων από διαφορετικές πηγές, με στόχο την αναγνώριση περιστατικών ασφάλειας.
  4. Ευκολία εγκατάστασης και λειτουργίας: Η ανάγκη για κανονιστική συμμόρφωση έχει ενθαρρύνει τους Οργανισμούς να εγκρίνουν έργα υλοποίησης υποδομών SIEM. Είναι επίσης δεδομένο ότι οι οργανωτικές μονάδες που ασχολούνται με την ασφάλεια πληροφοριών εσωτερικά των Οργανισμών, έχουν περιορισμένο αριθμό ανθρώπινων πόρων και για το λόγο αυτό χρειάζεται απλότητα στην εγκατάσταση, στη λειτουργία και ακόμα περισσότερο κατά την υποστήριξη των λύσεων SIEM. Τέλος ο μεγάλος όγκος των δεδομένων που συλλέγονται και διαχειρίζονται, απαιτεί μία αρχιτεκτονική που να υποστηρίζει την επεκτασιμότητα και την ευελιξία λειτουργίας.

Συνοψίζοντας
Η διαχείριση και ανάλυση των μηνυμάτων ασφάλειας αποτελεί σημαντική και χρήσιμη διεργασία. Οι διαθέσιμες λύσεις αυτοματοποίησης της εν λόγω διεργασίας είναι σαφές ότι βοηθούν τους Οργανισμούς να καταφέρουν τα ακόλουθα:

  • Ελαχιστοποίηση των κινδύνων από επιθέσεις.
  • Αποκάλυψη των προσπαθειών μη εξουσιοδοτημένης πρόσβασης των χρηστών.
  • Εντοπισμός και ιεράρχηση των επιθέσεων κατά τη διάρκεια της εκδήλωσής τους.
  • Μείωση των επιπτώσεων από πιθανή επίθεση, μέσω της ταχύτερης αντιμετώπισης.
  • Ευκολία στη διεξαγωγή περιοδικών αναλύσεων.
  • Βοήθεια στη συλλογή στοιχείων.
  • Ευκολία στην παρακολούθηση των θεσπισμένων δεικτών μέτρησης του επιπέδου ασφάλειας πληροφοριών, αλλά και της αποτελεσματικότητα των εγκατεστημένων δικλείδων ασφάλειας.
  • Εναρμόνιση με τις απαιτήσεις κανονιστικής συμμόρφωσης.
  • Συλλογή, αποθήκευση και διαχείριση των μηνυμάτων ασφάλειας από διαφορετικές πηγές.
  • Υποστήριξη απαιτήσεων διατήρησης των μηνυμάτων ασφάλειας για μεγάλο χρονικό διάστημα.
  • Η διαδικασία ανάλυσης των μηνυμάτων ασφάλειας αυτοματοποιείται.

Η αποτελεσματική εφαρμογή όμως μιας τέτοιας λύσης προϋποθέτει σωστό σχεδιασμό και προσέγγιση κατά τη διάρκεια της υλοποίησής της. Τα παρακάτω αποτελούν τις βασικές αρχές υλοποίησης:

  • Λεπτομερής προσδιορισμός του εύρους υλοποίησης.
  • Ενεργοποίηση της δυνατότητας καταγραφής των μηνυμάτων ασφάλειας των συστημάτων, εφαρμογών και δικτυακών συσκευών.
  • Καθορισμός των απαιτούμενων αναφορών και συναγερμών που απαιτούνται.
  • Σταδιακή υλοποίηση, με κάθε βήμα να περιλαμβάνει μικρό αριθμό συστημάτων τα οποία θα εντάσσονται στην υποδομή SIEM.

Για να καταφέρουμε να υλοποιήσουμε αποτελεσματικά μια λύση SIEM, χρειάζεται η εμπλοκή των κατάλληλων ρόλων σε κάθε Οργανισμό. Όσον αφορά στη διάρκεια υλοποίησης της λύσης, χρειάζεται εμπλοκή των παρακάτω:

  • Τμήμα Ασφάλειας Πληροφοριών.
  • Διαχειριστές συστημάτων.
  • Διαχειριστές των επιχειρησιακών εφαρμογών.
  • Διαχειριστές του δικτύου δεδομένων.

Κατά τη λειτουργία της λύσης SIEM η εμπλοκή των παρακάτω ρόλων είναι απαραίτητη:

  • Διαχειριστές συστημάτων, δικτύων ΚΑΙ εφαρμογών: έλεγχος και συντήρηση μηχανισμών παραγωγής και καταγραφής των μηνυμάτων ασφάλειας για τους πόρους τους οποίους διαχειρίζονται. Μην ξεχνάμε ότι αυτοί οι μηχανισμοί τροφοδοτούν την υποδομή SIEM.
  • Διαχειριστής Ασφάλειας Πληροφοριών: δημιουργεί αναφορές, καθορίζει τις απαιτήσεις διαχείρισης και ανάλυσης των μηνυμάτων ασφάλειας και διαμορφώνει τις αναφορές κανονιστικής συμμόρφωσης
  • Διαχειριστής της λύσης SIEM: υπεύθυνος για την υλοποίηση, συντήρηση και παραμετροποίηση της λύσης.

Τελειώνοντας, αναφέρουμε τις πέντε κύριες παγίδες που αποτελούν ανασταλτικό παράγοντα στην αποτελεσματική υλοποίηση μιας λύσης SIEM.

  • Υπερβολική προσπάθεια πλήρους ενσωμάτωσης της λύσης στον Οργανισμό και προσπάθεια ένταξης όλων των τεχνικών υποδομών στη λύση SIEM κατά τη διάρκεια ενός έργου.
  • Έλλειψη ορθού προσδιορισμού του τι αποτελεί περιστατικό ασφάλειας και τι όχι, με αποτέλεσμα να υπάρχουν πολλά περιστατικά τα οποία χρήζουν διερεύνησης.
  • Οι αναφορές παύουν να είναι αξιόπιστες μετά από σύντομο χρονικό διάστημα. Αυτό συμβαίνει διότι δεν υπάρχει συνέπεια στη διαχείριση της λύσης SIEM και ιδιαίτερα στον προσδιορισμό του τι θέλουμε να παρακολουθούμε και πώς αυτό θα το αποτυπώσουμε σε διάφορες αναφορές.
  • Ανεπάρκεια σε πόρους διαχείρισης και λειτουργίας του, με αποτέλεσμα να απαξιώνεται η χρηστικότητά του. Χρειάζεται αρκετή ενασχόληση.
  • Δεν πρόκειται να μας λύσει όλα τα προβλήματα ασφάλειας και κανονιστικής συμμόρφωσης. Είναι απλά ένα από τα εργαλεία και πρέπει να χρησιμοποιείται για το σκοπό αυτό.

Αναφορές

  • Guide to Computer Security Log Management, Recommendations of the National Institute of Standards and Technology [2006]
  • Top Five SIM Pitfalls: Ensuring Successful Security Information Management [SecureWorks, 2009]
  • Log management basics [David Torre, CSO, 2010]
  • Magic Quadrant for Security Information and Event Management, Gartner RAS Core Research Note G00176034 [Mark Nicolett, Kelly M. Kavanagh, 2010]
  • SIEM: Security Info and Event Management Dos and Don’ts [Mary Brandel, CSO, 2009]\

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr