{"id":174630,"date":"2016-11-14T13:00:55","date_gmt":"2016-11-14T12:00:55","guid":{"rendered":"https:\/\/mediarun.com\/pl\/?p=174630"},"modified":"2017-03-22T21:38:58","modified_gmt":"2017-03-22T20:38:58","slug":"8-skutecznych-sposobow-optymalizacje-kosztow-wydajnosci","status":"publish","type":"post","link":"https:\/\/mediarun.com\/pl\/marketing\/poradnik\/8-skutecznych-sposobow-optymalizacje-kosztow-wydajnosci.html","title":{"rendered":"8 skutecznych sposob\u00f3w na optymalizacj\u0119 bezpiecze\u0144stwa informacji"},"content":{"rendered":"

Systemy zarz\u0105dzania bezpiecze\u0144stwem informacji (SIEM) cz\u0119sto pe\u0142ni\u0105 rol\u0119 swoistego uk\u0142adu nerwowego system\u00f3w IT w przedsi\u0119biorstwie. Stanowi\u0105 te\u017c kluczowy element udanej strategii bezpiecze\u0144stwa IT. Jednak ilo\u015bci danych, kt\u00f3re firmy zbieraj\u0105, przechowuj\u0105 i przetwarzaj\u0105, szybko wymyka si\u0119 spod kontroli, powoduj\u0105c, \u017ce SIEM<\/strong>\u00a0nie s\u0105 wystarczaj\u0105co wydajne. Jak zatem w dobie powszechnej cyfryzacji zoptymalizowa\u0107 funkcjonowanie tych system\u00f3w, poprawi\u0107 ich wydajno\u015b\u0107, jednocze\u015bnie nie zwi\u0119kszaj\u0105c wydatk\u00f3w?\u00a0<\/strong><\/h3>\n

Monitorowanie stanu i\u00a0bezpiecze\u0144stwa infrastruktury informatycznej w czasie rzeczywistym oraz sensowne wykorzystanie zebranych danych mo\u017ce by\u0107 zadaniem ponad si\u0142y, nawet dla najlepiej przygotowanych zespo\u0142\u00f3w. Dlatego\u00a0eksperci firmy Balabit przygotowali osiem skutecznych sposob\u00f3w na\u00a0ulepszenie wydajno\u015bci SIEM, kt\u00f3re mo\u017cna wykorzysta\u0107 r\u00f3wnie\u017c do\u00a0zwi\u0119kszenia efektywno\u015bci pracy centr\u00f3w bezpiecze\u0144stwa (SOC).<\/p>\n

Optymalizacj\u0119 SIEM\u00a0(podyktowan\u0105 b\u0105d\u017a to ch\u0119ci\u0105 ograniczenia koszt\u00f3w, b\u0105d\u017a\u00a0zwi\u0119kszenia wydajno\u015bci operacyjnej)\u00a0najlepiej przeprowadzi\u0107 pod k\u0105tem analizy danych i zarz\u0105dzania rejestrami zdarze\u0144, a\u00a0nie ulepszania swojego punktu odniesienia i podstawy tego systemu, czyli log\u00f3w gromadzonych w\u00a0rejestrach.<\/p>\n

1. Unikanie problem\u00f3w z kompatybilno\u015bci\u0105: metody analityczne s\u0105 tak dobre jak dane, na\u00a0kt\u00f3rych bazuj\u0105<\/strong><\/h4>\n

W zwi\u0105zku z tym, \u017ce wi\u0119kszo\u015b\u0107 sieci cechuje du\u017ca r\u00f3\u017cnorodno\u015b\u0107, przy wyborze narz\u0119dzia do zarz\u0105dzania rejestrami zdarze\u0144 nale\u017cy wybra\u0107 takie, kt\u00f3re charakteryzuje si\u0119 obs\u0142ug\u0105 szerokiej gamy platform i format\u00f3w \u017ar\u00f3d\u0142owych log\u00f3w (w tym mi\u0119dzy innymi format\u00f3w syslog, plik\u00f3w tekstowych, plik\u00f3w baz danych SQL\/Oracle oraz pu\u0142apek SNMP).<\/p>\n

2. Wydobywanie z rejestr\u00f3w zdarze\u0144 najcenniejszych informacji i\u00a0przekazywanie do systemu SIEM mniejszych ilo\u015bci danych<\/strong><\/h4>\n

Narz\u0119dzie przekazuj\u0105ce dane do SIEM powinno m\u00f3c przetwarza\u0107 dane i\u00a0podawa\u0107 je w postaci strukturyzowanej i niestrukturyzowanej, a tak\u017ce dysponowa\u0107 funkcjami transformacji danych, takimi jak filtrowanie, parsowanie, przepisywanie i klasyfikowanie. Przy takim zestawie funkcji wystarczy przesy\u0142a\u0107 najcenniejsze informacje i w ten spos\u00f3b znacznie zmniejszy\u0107 (faktyczne przypadki u\u017cycia wykazuj\u0105 roczne oszcz\u0119dno\u015bci do 40%) koszty licencjonowania SIEM, b\u0105d\u017a te\u017c zapewni\u0107 bogatszy i przeformatowany strumie\u0144 wpis\u00f3w dziennika w celu ich \u0142atwiejszej analizy.<\/p>\n

3. Spe\u0142nienie szeregu wymog\u00f3w dotycz\u0105cych zgodno\u015bci z prawem przez domy\u015blny proces zbierania i archiwizacji\u00a0rejestr\u00f3w zdarze\u0144<\/strong><\/h4>\n

Funkcje transformacji takie jak anonimizacja i pseudonimizacja s\u0105 r\u00f3wnie\u017c niezb\u0119dne do spe\u0142nienia mi\u0119dzynarodowych norm przetwarzania danych i\u00a0zachowania prywatno\u015bci. Szczeg\u00f3lnie takich jak PCI-DSS, HIPAA czy oczekuj\u0105ce dopiero na wej\u015bcie w \u017cycie unijne rozporz\u0105dzenie GDPR.<\/p>\n

4. Kompresja log\u00f3w przesy\u0142anych w\u0105skopasmowym \u0142\u0105czem internetowym<\/h4>\n

Zar\u00f3wno w sieci internetowej, jak i intranetowej szeroko\u015b\u0107 pasma sieciowego mo\u017ce ulega\u0107 znacznym wahaniom. W zwi\u0105zku z tym narz\u0119dzie do zarz\u0105dzania rejestrami zdarze\u0144 powinno dzia\u0142a\u0107 nawet w warunkach du\u017cych ogranicze\u0144 \u0142\u0105cza. Kompresja log\u00f3w mo\u017ce wyra\u017anie zmniejszy\u0107 zaj\u0119to\u015b\u0107 pasma i\u00a0przyspieszy\u0107 zbieranie danych do rejestru centralnego, a co za tym idzie zapewni\u0107 szybsze reakcje na potencjalne zagro\u017cenia bezpiecze\u0144stwa lub\u00a0operacyjne.<\/p>\n

5. Skuteczne zapobieganie utracie danych z log\u00f3w<\/strong><\/h4>\n

Co si\u0119 stanie, gdy dojdzie do utraty jednego zdarzenia z rejestru? Przewa\u017cnie nic, chyba \u017ce akurat sygnalizowa\u0142 on incydent b\u0119d\u0105cy naruszeniem istotnych danych. Bardzo wa\u017cne s\u0105 wi\u0119c funkcje zapobiegaj\u0105ce utracie danych z log\u00f3w, takie jak buforowanie, obs\u0142uga docelowych urz\u0105dze\u0144 pracy awaryjnej, kontrola tempa komunikat\u00f3w i ich potwierdzanie na poziomie aplikacji. Dzi\u0119ki nim mo\u017cna mie\u0107 pewno\u015b\u0107, \u017ce nie dojdzie do zgubienia komunikat\u00f3w wskutek tymczasowej awarii lub niewydolno\u015bci infrastruktury IT.<\/p>\n

6. Szerokiej funkcjonalno\u015bci powinna towarzyszy\u0107 wysoce skalowalna i\u00a0niezawodna wydajno\u015b\u0107<\/strong><\/h4>\n

Wyspecjalizowane narz\u0119dzia o solidnej architekturze s\u0105 w stanie przetworzy\u0107 dowoln\u0105 ilo\u015b\u0107 log\u00f3w na sekund\u0119, od kilkuset do kilkuset tysi\u0119cy zdarze\u0144. Wyst\u0119puje tu sporo zmiennych i zale\u017cno\u015bci. M\u00f3wi\u0105c jednak og\u00f3lnie, je\u015bli dane przedsi\u0119biorstwo nie dzia\u0142a jako dostawca us\u0142ug w chmurze, to nie powinno mie\u0107 problem\u00f3w z obj\u0119to\u015bci\u0105 rejestr\u00f3w zdarze\u0144, nawet po w\u0142\u0105czeniu aktywnego indeksowania.<\/p>\n

7. Pozyskiwanie danych z monitorowania u\u017cytkownik\u00f3w uprzywilejowanych i ich przekazywanie do SIEM<\/strong><\/h4>\n

Chocia\u017c wi\u0119kszo\u015b\u0107 dzia\u0142a\u0144 pozostawia \u015blad w postaci log\u00f3w, niekt\u00f3re czynno\u015bci u\u017cytkownik\u00f3w, zw\u0142aszcza te wykonywane przez administrator\u00f3w sieci za\u00a0po\u015brednictwem protoko\u0142\u00f3w administracyjnych takich jak SSH czy RDP, nie s\u0105 widoczne w rejestrach zdarze\u0144 ani w analizach SIEM. Dzi\u0119ki zintegrowaniu SIEM z urz\u0105dzeniami monitoruj\u0105cymi dzia\u0142ania uprzywilejowanych u\u017cytkownik\u00f3w, firmy s\u0105 w stanie w czasie rzeczywistym analizowa\u0107 dzia\u0142ania nawet najbardziej ryzykownych u\u017cytkownik\u00f3w, aby zapobiec wi\u0119kszo\u015bci cyberatak\u00f3w i nadu\u017cy\u0107 uprawnie\u0144 powi\u0105zanych z kontem.<\/p>\n

8. Nadawanie priorytet\u00f3w alertom SIEM<\/strong><\/h4>\n

Przeci\u0119tny specjalista ds. bezpiecze\u0144stwa\u00a0po otrzymaniu alertu SIEM ma \u015brednio 7 minut na ustalenie, czy chodzi o atak typu APT, czy jedynie o otwarcie przez u\u017cytkownika maila typu phishing? W zale\u017cno\u015bci od stopnia uprawnie\u0144 u\u017cytkownika oraz rozbie\u017cno\u015bci mi\u0119dzy jego rzeczywistym zachowaniem a\u00a0typowymi dzia\u0142aniami, narz\u0119dzia analizy zachowa\u0144 u\u017cytkownik\u00f3w s\u0105 w stanie dostrzec najbardziej ryzykowne kwestie bezpiecze\u0144stwa. A co za tym idzie radykalnie skr\u00f3ci\u0107 czas potrzebny na wykrycie, zbadanie i wyeliminowanie potencjalnych zagro\u017ce\u0144.<\/p>\n

Przeczytaj te\u017c:<\/strong><\/h4>\n