Scenariusze bezpieczeństwa

Najważniejszym celem wdrożenia systemu informatycznego jest osiągnięcie wymiernych korzyści z jego działania. W przypadku systemów monitorowania bezpieczeństwa, wymiernymi korzyściami, oprócz spełnienia wymagań dotyczących gromadzenia danych, uruchomienia możliwości dowolnego raportowania i analiz danych post factum, są narzędzia do wykrywania incydentów i potencjalnych incydentów oraz narzędzia do pomiaru poziomu bezpieczeństwa. W naszych wdrożeniach te konkretne narzędzia nazywamy przypadkami użycia, lub scenariuszami bezpieczeństwa. Przykładem scenariusza może być np. reguła korelacyjna wykrywająca jednoczesne logowanie na to samo konto w Active Directory w tym samym czasie z dwóch różnych komputerów. Scenariusz składa się z podbudowy teoretycznej tj. wiedzy jak wykonanie określonych czynności (w tym przypadku logowania się użytkownika na konto w AD) przekłada się na zdarzenia generowane w dzienniku zdarzeń, jakie wyjątki i niuanse są z tym związane (np. odróżnienie logowań interaktywnych od logowań do usług terminalowych, odróżnienie logowań usług od logowań użytkowników itp.), praktycznej implementacji w platformie SIEM (wytworzenie wzajemnie powiązanych obiektów specyficznych dla danej technologii SIEM) wreszcie z przetestowania scenariusza w praktyce, w środowisku produkcyjnym i udokumentowaniu sposobu jego działania. O ile przykład ten jest dość trywialny, to jak pokazuje praktyka bez narzędzia SIEM podobne problemy są bardzo trudne do zaadresowania i w konsekwencji nie są obsługiwane w organizacjach pozbawionych SIEM. Bardziej złożone scenariusze, mogą przynosić konkretny wymiar biznesowy i finansowy, szczególnie w odniesieniu do dzienników zdarzeń aplikacji biznesowych. Jako przykład z jednego z naszych wdrożeń można podać zestaw kilku reguł korelacyjnych platformy SIEM, który wykrywał konkretną sekwencję zdarzeń w systemie detalicznej bankowości internetowej powiązaną z działającym wówczas atakiem przy pomocy złośliwego oprogramowania. Wykrycie tej sekwencji zdarzeń skutkowało powiadomieniem Call Center i kontaktem z klientem w celu potwierdzenia transakcji. W ciągu kilkunastu dni jeden scenariusz pozwolił na zablokowanie nieautoryzowanych przelewów na sumę kilkuset tysięcy złotych.

Tworzenie scenariuszy bezpieczeństwa jest naszą główną wartością dodaną w procesie implementacji rozwiązań SIEM, gdyż z jednej strony dysponujemy kilkudziesięcioma sprawdzonymi, uniwersalnymi przypadkami użycia, które można zaadaptować do konkretnego Klienta jak i potrafimy przełożyć oczekiwania Klienta sformułowane jako problemy z jakimi się boryka na odpowiedni, specyficzny dla niego scenariusz. Implementacja scenariuszy powoduje, że na zakończenie wdrożenia możemy wykazać konkretne przypadki, w których system SIEM wykrywa incydenty bezpieczeństwa, lub też które mierzą konkretne zagadnienia związane z poziomem bezpieczeństwa. Dzięki takiemu podejściu złożony i często długotrwały projekt wdrożenia SIEM pokazuje swoją wartość dla organizacji.
Implementacja scenariuszy nie musi dotyczyć wyłącznie platformy SIEM. Szerzej patrząc, każde rozwiązanie bezpieczeństwa, w którym można konfigurować własne mechanizmy zabezpieczeń, można ulepszyć poprzez dostosowanie konfiguracji do potrzeb danej organizacji. Czy to system IPS, dla którego można wytworzyć własną sygnaturę ruchu sieciowego, czy też system proxy, który można zasilić specyficzną dla danego biznesu „czarną listą”, czy też system ochrony przed złośliwym oprogramowaniem działający na zasadzie „białej listy” – dla każdego z tych rozwiązań oferujemy naszą pomoc. Nasza wartość dodana polega bowiem na tym, że z jednej strony rozumiemy bezpieczeństwo informacji i jego kontekst biznesowy, a z drugiej strony posiadamy praktyczną wiedzę o sposobie działania różnego rodzaju zagrożeń i mechanizmach funkcjonowania systemów bezpieczeństwa.