1290_GAMO_POI8-foto na web-v1-08

SIEM – má ešte zmysel? Ako ďalej?

Systém SIEM (Security Information and Event Management) je s nami už viac ako 30 rokov. Za túto dobu sa technologické prostredie kybernetickej bezpečnosti dramaticky zmenilo a treba hľadať odpovede na nové výzvy.

Povedať, že SIEM je ‘mŕtvy‘ je tvrdením, ktoré v komunite kybernetickej bezpečnosti vyvoláva intenzívne diskusie. Je pravdou, že v posledných rokoch sa objavujú nové prístupy a nástroje, ako sú XDR (Extended Detection and Response), ktoré sa často porovnávajú so SIEM a niekedy sú považované za jeho náhradu. SIEM však stále zohráva nezastupiteľnú úlohu v mnohých organizáciách, najmä v tých, ktoré sa zaoberajú komplexnými a citlivými dátami, kde je nevyhnutná robustná detekcia a analýza bezpečnostných incidentov.

Čo je SIEM

SIEM je systém navrhnutý na zbieranie, ukladanie a analýzu bezpečnostných udalostí a informácií. Jeho úlohou je zhromažďovať logy a ďalšie dáta zo všetkých systémov, aplikácií a zariadení v infraštruktúre organizácie, a tieto dáta následne spracovávať na účely detekcie, vyhodnocovania a reagovania na bezpečnostné hrozby.

Na začiatku bol SIEM najmä nástrojom na audit a zabezpečenie súladu s predpismi ako sú GDPR alebo ISO/IEC 27001. No jeho schopnosti sa postupne vyvinuli a dnes je neoddeliteľnou súčasťou komplexnej kybernetickej obrany organizácií.

Základným cieľom SIEM je identifikovať potenciálne bezpečnostné incidenty, ktoré môžu ohroziť organizáciu ako sú úniky údajov, neautorizované prístupy, ransomvérové útoky alebo iné nebezpečné aktivity. Dosahuje to analýzou veľkého množstva dát, ktoré sa generujú v rámci organizácie a ich následnou koreláciou, aby sa odhalili vzorce a anomálie, naznačujúce útoky.

SIEM dnes a jeho porovnávanie s novšími nástrojmi

V čase keď sa bezpečnostná technológia neustále vyvíja  si mnohí kladú otázku či je SIEM stále relevantný. Nové prístupy, prezentované ako plnohodnotná alternatíva, však nemusia vždy pokryť všetky potreby organizácií v oblasti kybernetickej bezpečnosti.

Napríklad XDR je skôr nástrojom zameraným na detekciu a reakciu na bezpečnostné incidenty v reálnom čase. Zameriava sa na konkrétne hrozby, ako sú neautorizované prístupy alebo pokusy o infiltráciu, a často sa spolieha na blokovanie komunikácie vykazujúcej podozrivé správanie. Táto metodika má však svoje limity, najmä pokiaľ ide o detekciu nových, neznámych hrozieb alebo komplexných útokov, ktoré si vyžadujú analýzu historických dát a identifikáciu vzorcov správania.

V praxi sme sa stretli s prípadmi, kedy organizácie nasadzovali XDR v kombinácii so SIEM, čím získali najlepšie z oboch svetov – pokročilú detekciu a rýchlu reakciu na konkrétne hrozby s prehľadom o bezpečnostnom dianí v celej infraštruktúre. SIEM, analyzujúci metadáta z rôznych zdrojov, poskytuje hlbšiu a širšiu analýzu, ktorú XDR nedokáže ponúknuť.

Normálnosť a detekcia anomálií

V oblasti bezpečnosti je jedným z kľúčových výziev identifikácia toho čo je normálne správanie sa a čo už nie. Tieto vzorce sa zvyčajne definujú na základe histórie a kontextu prevádzky konkrétnej organizácie. Z hľadiska SIEM nie je cieľom iba detekovať konkrétne, známe hrozby, ale identifikovať vzorce anomálií, ktoré môžu signalizovať útoky. Práve táto schopnosť  zistiť neznáme, zložité hrozby, robí SIEM nezastupiteľným.

Na identifikáciu spomínaných anomálií môžeme využiť prístup založený na viacerých detekčných pravidlách. Napríklad, ak sa v krátkom časovom období objaví viacero podozrivých aktivít, je to signál, že sa môže diať niečo znepokojivé a SIEM by mal spustiť alarm. Tento prístup sa osvedčil v praxi, najmä pri prevencii útokov typu „zero-day“, ktoré sú ťažko rozpoznateľné tradičnými bezpečnostnými nástrojmi.

Prínosy SIEM v praxi

V reálnom svete vidíme ako implementácia SIEM riešení zlepšuje kybernetickú bezpečnosť a ochranu podnikania. Môžeme to ilustrovať na príklade malého výrobcu automobilových súčiastok, ktorý čelil ransomvérovému útoku. Pred implementáciou SIEM sa útok zjavil až po tom ako spôsobil výrazné škody – výpadok výroby, finančné straty a poškodenie reputácie. Po nasadení SIEM však firma dokázala rýchlo zareagovať na podobný útok v priebehu niekoľkých minút, a tak sa im podarilo zamedziť ďalším stratám.

Okrem toho sa SIEM ukázal ako neoceniteľný nástroj pri odhaľovaní vnútorných hrozieb, čím bol pokus o neautorizovaný prístup k citlivým dátam. V jednom prípade systém identifikoval nezvyčajný prístupový vzor k patentovaným dizajnom firmy, čo mohlo viesť k úniku duševného vlastníctva. SIEM túto hrozbu včas identifikoval a ochránil tým cenné údaje, plus zabezpečil, že firma neprišla o svoju konkurenčnú výhodu.

SIEM a jeho nezastupiteľná rola v zabezpečení regulačných požiadaviek

Mnohé výrobné odvetvia sú povinné dodržiavať prísne bezpečnostné normy ako napríklad ISO/IEC 27001. Implementácia SIEM v týchto organizáciách zjednodušuje proces spĺňania týchto noriem. Systém poskytuje nepretržité monitorovanie bezpečnostných incidentov a umožňuje o nich rýchle podávanie správ, čo je kľúčové pre udržanie súladu s regulačnými požiadavkami.

Okrem toho, vďaka konsolidácii bezpečnostných dát zo všetkých systémov do jedného miesta a ich následnej analýze, organizácie dokážu rýchlejšie a efektívnejšie reagovať na incidenty, čo nie je možné dosiahnuť s rozptýlenými bezpečnostnými nástrojmi. To prináša nielen časové, ale aj finančné úspory.

SIEM je stále nevyhnutný

Napriek tomu, že sa bezpečnostné nástroje vyvíjajú a objavujú sa nové prístupy, SIEM stále zohráva kľúčovú rolu v moderných bezpečnostných infraštruktúrach. Jeho schopnosť korelovať údaje zo všetkých systémov, detegovať anomálie a vyhľadávať komplexné vzorce správania je nenahraditeľná. Preto je implementácia systému, aj keď časovo a finančne náročná, jednou z najlepších investícií do kybernetickej bezpečnosti, ktorú môže organizácia urobiť.

SIEM je nástroj, poskytujúci hlboký prehľad o bezpečnostnom dianí v organizácii a umožňuje efektívnu detekciu nových hrozieb. V kombinácii s inými možnosťami, ako je XDR alebo IDS, ponúka organizáciám vyvážený a efektívny spôsob ochrany pred rôznymi typmi kybernetických útokov.

Ak sa teda rozhodujete ako presvedčiť svojho CEO o dôležitosti SIEM, zamerajte sa na jeho schopnosť zmierňovať riziká, stabilizovať prevádzku a chrániť konkurenčné výhody spoločnosti. SIEM nie je len nástroj na ochranu, ale aj strategická nevyhnutnosť pre budúcnosť kybernetickej bezpečnosti v podniku.

Publikované: 17. decembra 2024

Peter Bednár

GAMO a.s.

Tento článok je súčasťou magazínu č.

Publikované: 17. decembra 2024

reklama

Peter Bednár

GAMO a.s.

Povedať, že SIEM je ‘mŕtvy‘ je tvrdením, ktoré v komunite kybernetickej bezpečnosti vyvoláva intenzívne diskusie. Je pravdou, že v posledných...

Igor Kmiť

ESET, spol. s r.o.

Firmy čelia aktuálne mnohým kybernetickým hrozbám, ktoré ich môžu zasiahnuť cez široké spektrum vektorov. Správcovia zodpovední za IT bezpečnosť majú...

Signum.legal

Signum.legal

Medzi zákonné povinnosti druhých strán, teda nadväzujúcich poskytovateľov AI, patria napríklad zabezpečenie transparentnosti, ochrana údajov, a bezpečné použitie AI systémov....
reklama