SIEM i Log Management

Współczesne przedsiębiorstwo posiada setki, a często tysiące serwerów, urządzeń sieciowych oraz punktów dostępu. Na bazie tej infrastruktury działają setki aplikacji i systemów informatycznych. Każdy z tych elementów żyje swoim życiem i jest potencjalnym miejscem, od którego rozpocznie się atak na informacje przetwarzane w naszej organizacji. Kilkanaście różnego rodzaju systemów bezpieczeństwa teleinformatycznego (antywirus, firewall, DLP, system szyfrowania danych) mają za zadanie ochronę zasobów informacyjnych, ale po pierwsze nie pokrywają one wszystkich zasobów informacyjnych ani też nie są w 100% skuteczne. Potencjalny intruz może ukryć się w gąszczu systemów i prześlizgnąć się przez sieć zabezpieczeń niezauważony.

Monitorowanie bezpieczeństwa teleinformatycznego polega na zbieraniu i analizie danych wytwarzanych głównie w dziennikach zdarzeń systemów informatycznych oraz generowanych przez różnorakie mechanizmy zabezpieczeń. Problematykę gromadzenia i analizy danych adresują dwie klasy rozwiązań – Log Management i SIEM (ang. Security Information and Event Management). Systemy Log Management skupiają się głównie na kwestii gromadzenia danych i podstawowych funkcjach analitycznych podczas gdy systemy SIEM dostarczają dodatkowo zaawansowanych narzędzi analitycznych i możliwości reagowania w sposób automatyczny, w czasie zbliżonym do rzeczywistego. Oba typy systemów wykazują tendencję do konwergencji – systemy Log Management są wzbogacane o nowe funkcje analityczne a systemy SIEM są dostosowane do przetwarzania dużych wolumenów danych. Monitorowanie bezpieczeństwa jest prowadzone z myślą o typowym bezpieczeństwie informacji oraz w celu wspomagania procesu utrzymywania zgodności z regulacjami prawnymi (ang. compliance). System monitorowania bezpieczeństwa gromadzi w jednym miejscu setki milionów lub nawet miliardy zdarzeń generowanych w systemach informatycznych organizacji. Zdarzenia te reprezentują aktywności w monitorowanych systemach związane zarówno z operacjami takimi jak uzyskiwanie dostępu do systemu czy zarządzanie użytkownikami, jak i wykonywane w systemach czynności np. uruchomienie raportu lub wykonanie transakcji w systemie bankowym. Tylko dzięki zgromadzeniu wszystkich informacji w jednym miejscu i w jednolitej formie, możliwe jest uchwycenie konkretnych zdarzeń w różnych systemach (np. fakt uzyskiwania dostępu do systemu w określonym czasie i z określonego adresu sieciowego) i powiązanie ze sobą zdarzeń występujących w różnych systemach (np. dostęp przez VPN i uruchomienie danego raportu w aplikacji finansowo-księgowej). Elastyczność narzędzi analitycznych SIEM pozwala na tworzenie reguł (scenariuszy) adresujących konkretne problemy bezpieczeństwa organizacji bez potrzeby kosztownych zmian w aplikacjach biznesowych. Dodatkowo dzięki zbieraniu informacji w jednolitym formacie, możliwym staje się pomiar ilościowy problematyki bezpieczeństwa i śledzenie zmian poziomu bezpieczeństwa w czasie.

W naszej ofercie mamy różnego rodzaju platformy technologiczne reprezentujące różne funkcjonalności, przez co możemy dopasować odpowiednie rozwiązanie do potrzeby Klienta, a nasze doświadczenie w obszarze wdrożeń systemów monitorowania klasy SIEM jest największe na rynku polskim. Typowy proces wdrożenia składa się z:

  • Analizy systemów podlegających monitorowaniu
  • Wyboru startowego zestawu scenariuszy bezpieczeństwa
  • Zaprojektowania sposobu podłączenia systemów monitorowanych do systemu monitorowania bezpieczeństwa
  • Wdrożenia platformy technologicznej SIEM
  • Integracji systemów monitorowanych z platformą SIEM, w tym wytworzenie dedykowanych interfejsów dla aplikacji biznesowych
  • Przeszkolenia personelu Klienta z obsługi systemu

Oferowane rozwiązania:

  • ArcSight
  • Splunk
  • Q1Labs