8 skutecznych sposobów na optymalizację bezpieczeństwa informacji

Optymalizację SIEM (podyktowaną bądź to chęcią ograniczenia kosztów, bądź zwiększenia wydajności operacyjnej) najlepiej przeprowadzić pod kątem analizy danych i zarządzania rejestrami zdarzeń, a nie ulepszania swojego punktu odniesienia i podstawy tego systemu, czyli logów gromadzonych w rejestrach.

1. Unikanie problemów z kompatybilnością: metody analityczne są tak dobre jak dane, na których bazują

W związku z tym, że większość sieci cechuje duża różnorodność, przy wyborze narzędzia do zarządzania rejestrami zdarzeń należy wybrać takie, które charakteryzuje się obsługą szerokiej gamy platform i formatów źródłowych logów (w tym między innymi formatów syslog, plików tekstowych, plików baz danych SQL/Oracle oraz pułapek SNMP).

2. Wydobywanie z rejestrów zdarzeń najcenniejszych informacji i przekazywanie do systemu SIEM mniejszych ilości danych

Narzędzie przekazujące dane do SIEM powinno móc przetwarzać dane i podawać je w postaci strukturyzowanej i niestrukturyzowanej, a także dysponować funkcjami transformacji danych, takimi jak filtrowanie, parsowanie, przepisywanie i klasyfikowanie. Przy takim zestawie funkcji wystarczy przesyłać najcenniejsze informacje i w ten sposób znacznie zmniejszyć (faktyczne przypadki użycia wykazują roczne oszczędności do 40%) koszty licencjonowania SIEM, bądź też zapewnić bogatszy i przeformatowany strumień wpisów dziennika w celu ich łatwiejszej analizy.

3. Spełnienie szeregu wymogów dotyczących zgodności z prawem przez domyślny proces zbierania i archiwizacji rejestrów zdarzeń

Funkcje transformacji takie jak anonimizacja i pseudonimizacja są również niezbędne do spełnienia międzynarodowych norm przetwarzania danych i zachowania prywatności. Szczególnie takich jak PCI-DSS, HIPAA czy oczekujące dopiero na wejście w życie unijne rozporządzenie GDPR.

4. Kompresja logów przesyłanych wąskopasmowym łączem internetowym

Zarówno w sieci internetowej, jak i intranetowej szerokość pasma sieciowego może ulegać znacznym wahaniom. W związku z tym narzędzie do zarządzania rejestrami zdarzeń powinno działać nawet w warunkach dużych ograniczeń łącza. Kompresja logów może wyraźnie zmniejszyć zajętość pasma i przyspieszyć zbieranie danych do rejestru centralnego, a co za tym idzie zapewnić szybsze reakcje na potencjalne zagrożenia bezpieczeństwa lub operacyjne.

5. Skuteczne zapobieganie utracie danych z logów

Co się stanie, gdy dojdzie do utraty jednego zdarzenia z rejestru? Przeważnie nic, chyba że akurat sygnalizował on incydent będący naruszeniem istotnych danych. Bardzo ważne są więc funkcje zapobiegające utracie danych z logów, takie jak buforowanie, obsługa docelowych urządzeń pracy awaryjnej, kontrola tempa komunikatów i ich potwierdzanie na poziomie aplikacji. Dzięki nim można mieć pewność, że nie dojdzie do zgubienia komunikatów wskutek tymczasowej awarii lub niewydolności infrastruktury IT.

6. Szerokiej funkcjonalności powinna towarzyszyć wysoce skalowalna i niezawodna wydajność

Wyspecjalizowane narzędzia o solidnej architekturze są w stanie przetworzyć dowolną ilość logów na sekundę, od kilkuset do kilkuset tysięcy zdarzeń. Występuje tu sporo zmiennych i zależności. Mówiąc jednak ogólnie, jeśli dane przedsiębiorstwo nie działa jako dostawca usług w chmurze, to nie powinno mieć problemów z objętością rejestrów zdarzeń, nawet po włączeniu aktywnego indeksowania.

7. Pozyskiwanie danych z monitorowania użytkowników uprzywilejowanych i ich przekazywanie do SIEM

Chociaż większość działań pozostawia ślad w postaci logów, niektóre czynności użytkowników, zwłaszcza te wykonywane przez administratorów sieci za pośrednictwem protokołów administracyjnych takich jak SSH czy RDP, nie są widoczne w rejestrach zdarzeń ani w analizach SIEM. Dzięki zintegrowaniu SIEM z urządzeniami monitorującymi działania uprzywilejowanych użytkowników, firmy są w stanie w czasie rzeczywistym analizować działania nawet najbardziej ryzykownych użytkowników, aby zapobiec większości cyberataków i nadużyć uprawnień powiązanych z kontem.

8. Nadawanie priorytetów alertom SIEM

Przeciętny specjalista ds. bezpieczeństwa po otrzymaniu alertu SIEM ma średnio 7 minut na ustalenie, czy chodzi o atak typu APT, czy jedynie o otwarcie przez użytkownika maila typu phishing? W zależności od stopnia uprawnień użytkownika oraz rozbieżności między jego rzeczywistym zachowaniem a typowymi działaniami, narzędzia analizy zachowań użytkowników są w stanie dostrzec najbardziej ryzykowne kwestie bezpieczeństwa. A co za tym idzie radykalnie skrócić czas potrzebny na wykrycie, zbadanie i wyeliminowanie potencjalnych zagrożeń.

Przeczytaj też:

• Wybory w USA oczami polskiego internetu
• AVIVA zwiększa efektywność swoich kampanii digitalowych
• Firmy wydają krocie na reklamy, które nie działają?