Softwarová řešení kategorie SIEM (Security Information and Event Management) podniky využívají již více než deset let. Jako produktovou kategorii je v roce 2005 definovali analytici společnosti Gartner. V průběhu let se řešení SIEM rychle vyvíjela, rozšiřovala své funkční pokrytí a reagovala na nové technologické trendy. Původní produkty, které se soustřeďovaly na agregaci relevantních dat, převážně z bezpečnostních a síťových prvků, a jejich průběžné vyhodnocování, by v dnešním světě již neobstály. V této souvislosti se objevují diskuse, v nichž jsou řešení SIEM považována za přežitá. Kritika ovšem směřuje spíše k užívaným technologickým postupům, jejich technické podobě a formám nastavení či obsluhy, nikoli k samotné myšlence sledování a vyhodnocování bezpečnostních a provozních informací.

Globální trh řešení pro řízení bezpečnostních informací a událostí neboli SIEM vloni vygeneroval obrat v hodnotě 2,59 miliardy dolarů. Podle analytiků společnosti Insight Partners má průměrným tempem 10,4 procenta ročně růst i v letech 2019 až 2027. Na konci sledovaného období dosáhne obratu 6,24 miliardy dolarů. Pro ilustraci dodejme, že podle stejného zdroje v roce 2017 činily globální výdaje podniků na kybernetickou bezpečnost 98 miliard dolarů.

Evoluci tuzemského zájmu o řešení SIEM přibližuje Martin Frühauf, bezpečnostní expert ve společnosti S&T CZ: "Prvními uživateli SIEM řešení byly organizace z oblasti financí, dále je následovali provozovatelé komunikační a jiné infrastruktury, jako jsou mobilní operátoři a poskytovatelé energií, a také velké, většinou nadnárodní společnosti ze všech oblastí, typicky ze zdravotnictví, výroby a průmyslu. V poslední vlně se začaly objevovat i organizace ze státní správy, a to především vzhledem k požadavkům vyplývajícím ze zákona o kybernetické bezpečnosti.

SIEM

Řešení SIEM centralizují sběr záznamů o bezpečnostních a provozněbezpečnostních událostech, v reálném čase je také vyhodnocují a iniciují další postup.

2 mld. dolarů

Analytici Gartneru, kteří produktovou kategorii SIEM jako první definovali, odhadli trh s těmito pokročilými bezpečnostními technologiemi v roce 2017 na více než 2 miliardy dolarů.

Mezi potenciální zákazníky do budoucna v ČR primárně řadíme společnosti zabývající se zdravotnictvím, jako jsou velké nemocnice a zdravotní pojišťovny, kde je současná úroveň ochrany proti moderním hrozbám velmi nízká a bude vyžadovat velké investice ve všech oblastech, tedy nejenom do řešení SIEM, které samo o sobě nedává smysl, pokud společnost nepoužívá další stupně ochrany."

A specifický postřeh ze související problematiky ochrany osobních údajů přidává Leoš Stránský, team leader, enterprise segment corporate IT division ve společnosti Autocont: "Zásadní obrat však přišel několik měsíců před zahájením platnosti regulace GDPR. To poptávka po SIEM systémech výrazně narostla. Dnes nasazujeme SIEM systémy prakticky do všech odvětví."

Definice a funkce

Hlavním úkolem řešení SIEM je poskytovat víceméně celistvý pohled na dění v provozované IT infrastruktuře či podnikovém ekosystému IT. Zjednodušeně řečeno, centralizují sběr záznamů o bezpečnostních a provozněbezpečnostních událostech, organizují je takovým způsobem, aby je rychle dokázali využívat administrátoři nebo další nástroje, v reálném čase je také vyhodnocují a iniciují další postup.

Tradičně tvoří systémy SIEM dvě funkční oblasti. Konkrétně jde o správu bezpečnostních informací neboli SIM (Security Information Management) a o řízení bezpečnostních událostí neboli SEM (Security Event Management). První uvedená funkcionalita zajišťuje sběr provozních a bezpečnostních záznamů (logů), jejich předběžné třídění či čištění, následné uložení pro pozdější využití a vizualizaci základních přehledů o přijímaných záznamech. Druhá zmíněná funkční oblast čili SEM provádí pokročilé analýzy logů v reálném čase, hledá závislosti mezi událostmi, generuje nové a porovnává známé vzory událostí, detekuje hrozby a upozorňuje na podezřelé události.

Logy z nejrůznějších systémů ve sledované infrastruktuře představují základní surovinu pro práci řešení SIEM. Sledována jsou například neúspěšná přihlášení uživatelů, aktivita škodlivého kódu nebo nedostupnost aplikace či zařízení.

Známé a potenciálně nebo reálně škodlivé události řešení SIEM identifikuje s pomocí přednastavených, případně dynamických pravidel a postupů. Detekce abnormalit v provozu probíhá i s pomocí vzorů běžného nebo typického chování daného infrastrukturního prvku. Jako příklad bývá uváděna frekvence neúspěšných přihlášení. Zatímco dvacet pokusů v rozpětí dvaceti minut indikuje spíše zapomnětlivého uživatele, sto dvacet pokusů za pět minut již vypovídá o probíhajícím útoku. Obě události lze prostřednictvím pravidel rozpoznat a adekvátně klasifikovat či alespoň prioritizovat jejich řešení.

Pro detekci různých typů kybernetických útoků nástroje SIEM tradičně využívají také heuristické algoritmy, které pracují s pravděpodobností a dokážou rozlišovat mezi standardním a abnormálním provozem. Ne vždy jsou tudíž přesné a vyžadují lidskou asistenci. Falešné detekce lze minimálně použít pro rozšíření sbírky pravidel a vzorů v know-how systému. I na tomto poli se ale věci mění a do hry vstupuje podstatně vyšší míra automatizace, která využívá prvky umělé inteligence. Ta dokáže výrazně zvýšit přesnost i rychlost systému, neboť se jednak může učit z vlastních zkušeností a jednak ji lze preventivně připravovat na nestandardní projevy v infrastruktuře.

"Automatizace nástrojů pokročila, stále se vyvíjí a vyplatí se ji využívat. SIEM dokáže automatizovat probíhající procesy a předložit důležité informace až do chvíle, kdy je nezbytná akce na straně analytika. Ten musí často zjišťovat související detaily z externích systémů, které z nějakého důvodu nejsou či nemohou být do SIEM řešení napojeny. Procesy se tak zefektivní, ale finální rozhodnutí musí vždy činit kvalifikovaní pracovníci. Vytížení lidských zdrojů tedy s pokroky v automatizaci klesá," dodává Maroš Barabas, head of product management ve společnosti AEC.

V případě pozitivního nálezu, jímž může být zjevně škodlivá, ale i dosud neznámá, pouze podezřelá aktivita, odesílá upozornění, v němž informuje administrátory. Všechny popsané kroky existují v různých variacích a nejsou ani konečné. Software, v závislosti na míře jeho integrace v infrastruktuře, může také iniciovat automatické reakce na incident, k nimž patří rovněž rozšíření sběru logů nebo blokování komunikace. Téma implementace a napojení na další systémy přibližuje Maroš Barabas ze společnosti AEC: "Princip integrace je vždy stejný, jen je rozdílně časově náročný. Specifické a časově náročnější jsou zejména atypické, zastaralé či již nepodporované systémy, které do SIEM mohou posílat informace v nestandardních formátech, kterým SIEM nativně nerozumí. Nejčastěji se jedná o aplikace vytvořené na míru, oproti kterým běžné systémy odesílají "normovaná" data. Takovéto zdroje informací není však třeba vypínat, rušit či nepoužívat, je zde však nezbytné počítat s vyšší časovou náročností a celkovou složitostí jejich integrace."

Výhody a úskalí nasazení SIEM

Na základní benefity řešení SIEM ukazuje již jejich definice. Umožňují detekci možných i reálných ohrožení, monitoring stavu infrastruktury v reálném čase nebo dlouhodobé ukládání provozních a bezpečnostních záznamů pro analytické účely. V konkrétnějším pojetí zvyšují efektivitu bezpečnostních i IT týmů, které díky nim disponují přehledem o probíhajících událostech, a poskytují jim prostor pro odhalování potenciálních slabin v zabezpečení. Souběžný sběr záznamů z různých zdrojů navíc zvyšuje přesnost identifikace. Jedna událost sama o sobě nemusí nic znamenat, ale může souviset s dalšími, jež ve výsledku představují reálné nebo potenciální ohrožení některého systému.

Prostřednictvím detekce útoků v reálném čase řešení SIEM v důsledku snižují dopady úspěšně zahájených útoků, pokud jim nezabrání hned zpočátku. Zpětně zase poslouží pro analýzu důvodů selhání ochranných opatření. A v neposlední řadě jsou řešení typu SIEM vyžadována v mnoha odvětvích různými legislativními nebo oborovými normami.

Mezi další benefity produktů SIEM patří také schopnost identifikace škodlivých aktivit s pomocí porovnávání typického a abnormálního provozu nebo chování uživatelů. Dokážou rovněž vysledovat směr útoků, tj. zdroj a cíl. V případě vyšší míry integrace může řešení SIEM spustit automatickou reakci na incident, což zejména při náročných útocích poskytuje čas a prostor administrátorům na to, aby se s případným nestandardním napadením efektivně vypořádali.

Reflexi z praxe přidává Dušan Krása, CSIRT & Security Operation Centre Manager ve společnosti Corpus Solutions: "Technologie SIEM klade relativně vysoké nároky na lidskou kapacitu a odbornost, a to nejenom po technické stránce, ale i procesní − jak při přípravě dat a nastavení a poté při analyzování. I v případě využití pokročilé automatizace je i nadále nutný nezanedbatelný podíl lidského vstupu. A to jak při úvodní konfiguraci nastavení, tak pro neustálý monitoring prostředí."

K jistým nevýhodám patří nákladové souvislosti. Řešení SIEM obvykle vyžadují nemalé zdroje na implementaci a provoz. Z tohoto důvodu si často obtížně získávají podporu mezi manažery s rozhodovací pravomocí, kteří odpovídají za provoz a finanční řízení organizace.

"Řada SIEM nástrojů v sobě obsahuje funkcionality, které jsou využitelné pro běžná IT oddělení, oddělení interního auditu, risk managementu, případně pro všechny další oblasti a situace, v nichž je nutné informace z oblasti bezpečnosti poskytnout," doplňuje Martin Frühauf ze společnosti S&T CZ.

Trendy

Současné pokročilé hrozby jsou polymorfní, nikoli statické. Dokážou průběžně měnit své chování, aby znesnadnily detekčním nástrojům své odhalení. Na tuto situaci také musí reagovat výrobci řešení SIEM. Ta na jedné straně čelí rostoucím objemům dat, jež je třeba zpracovat, na druhé straně musí aplikovat pokročilé analýzy pro odhalování vyspělých útočných technik.

Mnoho výrobců nástrojů SIEM se dnes zaměřuje na zvyšování interoperability s novými bezpečnostními technologiemi. K nim patří mimo jiné technologie EDR (Endpoint Detection & Response) nebo UEBA (User & Entity Behaviour Analytics). Tyto nástroje sice pomáhají při detekci hrozeb, současně ale zvyšují nároky na celkovou správu bezpečnostního ekosystému. I proto výrobci věnují nemalou pozornost dalšímu velkému bezpečnostnímu tématu, kterým je SOAR (Security Orchestration, Automation and Response). Obohacují své systémy SIEM o funkcionality z oblastí orchestrace řešení a automatizace procesů, podpory reakcí na incidenty a služeb, jež se věnují řízení nových a aktuálních hrozeb a zranitelností.

Takto disponovaná řešení již jednoznačně pracují s velkými daty, neboť výrazně rozšiřují počet sledovaných zdrojů i objem zpracovávaných záznamů. Pro jejich analýzu využívají postupy strojového učení. V důsledku těchto změn se zvyšuje schopnost systémů SIEM hrozbám aktivně předcházet nebo je vyhledávat, zatímco v minulosti na události spíše reagovaly.

Trend zavádění prvků umělé inteligence přibližuje Leoš Stránský ze společnosti Autocont: "Virtuální bezpečnostní specialista, tedy dnes spíše erudovaný poradce, je na trhu již komerčně dostupnou službou. Je to skutečně pouze služba, protože operační nároky umělé inteligence jsou velmi vysoké a nelze je provozovat na lokální instalaci SIEM. Dalšími trendy jsou zapojení algoritmů strojového učení do vyhodnocování chování systémů a zejména uživatelů v organizaci. Že je skóre občana něco, co existuje jen v Číně, na to zapomeňte. SIEM systémy mají dnes schopnosti dlouhodobě sledovat a skórovat každou identitu v organizaci."

Kritéria výběru

Na trhu existuje řada řešení SIEM. Dělí se dle šíře spektra funkcionalit, nasazených technologií a samozřejmě cenové dostupnosti. Pokud hovoříme o řešeních, patří do této kategorie také služby. Po mnoha letech padlo jedno z bezpečnostních tabu a nabídky funkcionalit SIEM se objevily také v cloudu. Řešení lze samozřejmě provozovat rovněž v dodavatelském režimu řízených služeb.

V podstatě všichni dodavatelé shodně tvrdí, že se řešení SIEM hodí pro každou firmu. Ti kritičtější připouštějí jisté omezující vlivy, k nimž řadí především velikost podniku a jeho závislost na moderních technologiích. Zájemci o jednodušší, komplexnější i značně pokročilé systémy či relevantní služby by při výběru měli zvažovat různá kritéria. Z mnoha doporučení expertů i výrobců vyberme ta nejpraktičtěji pojatá.

Hodnota řešení SIEM výrazně klesá ve chvíli, kdy nemůže přijímat a adekvátně zpracovávat logy ze všech infrastrukturních prvků, případně aspoň ze všech klíčových, které organizace provozuje. Nativní podpora v této oblasti je poměrně vysoká, ale vždy záleží na konkrétním technologickém prostředí a jeho parametrech či požadavcích. Není-li z různých důvodů vyhnutí, lze potřebné napojení na problematický prvek infrastruktury i vyvinout na míru.

Některé aplikace nebo systémy, jež organizace provozuje, nemusí disponovat potřebnými a požadovanými funkcionalitami v oblasti generování provozních záznamů. V takové situaci je rovněž mohou některé produkty nebo služby kategorie SIEM vhodně doplňovat.

"Existuje dost zkušeností z praxe, v nichž SIEM řešení nachází uplatnění i mimo svět kybernetické bezpečnosti. Hodně organizací na základě sběru dat do systému SIEM odhalí špatně fungující aplikace či chybně nastavené operační systémy. Vzpomínám si i na implementaci, kdy organizace sledovala průchody docházkovými turnikety a identifikovala tak silné kuřáky, kteří, ačkoliv stále přihlášení v systémech, trávili část své pracovní doby mimo pracoviště," říká Leoš Stránský ze společnosti Autocont a dodává: "Ideální je budovat vždy čisté SIEM řešení. V opačném případě obdržíte kočkopsa, který nebude naplno plnit žádnou z vytčených funkcí. Často se organizace nechají svést na scestí slovíčkem monitoring a požadují začlenit funkce provozního monitoringu do monitoringu bezpečnostního. Na tomto místě není vůbec od věci připomenout, že kvalitní logování významných systémů a aplikací je věc, bez které by se žádná organizace neměla pouštět do něčeho, jako je SIEM."

Důležitou schopnost systémů SIEM představuje možnost využití a zapojení výstupů zpravodajství o hrozbách. Obvykle je poskytují bezpečnostní firmy jako samostatnou placenou službu. Její pořízení ovšem skýtá jistá potenciální pozitiva. Produkty SIEM získávají relativně podrobné informace o nejnovějších a aktuálních hrozbách, které bezpečnostní experti zachytili. Obvykle je dokážou automaticky a preventivně zapracovat do svých pravidel a algoritmů, což zvyšuje přesnost a rychlost detekce útoků i reakcí.

Stranou zájmu při výběru vhodného řešení v některých případech nemusí stát ani jeho forenzní schopnosti. Nejčastěji mají podobu rozšířeného sběru záznamů, informací o podezřelých aktivitách. Může jít například o zachycení všech paketů síťového přenosu nebo o selektivní logování abnormálně se chovajících prvků v infrastruktuře. V této souvislosti lze zmínit také hledisko přítomnosti funkcionalit a rozhraní, jež podporují analyzování a vyhodnocování dat lidskými uživateli. Ti se mohou chtít poučit o předchozích událostech, pochopit chování hodnoticího algoritmu nebo i napravit jeho nesprávné závěry.

Při ideálním způsobu nasazení některé systémy SIEM zajišťují spouštění automatických reakcí na incidenty. Tato schopnost je ovšem podmíněna stavem a podobou provozované infrastruktury. Ne všechna řešení lze v tomto směru vzájemně integrovat. V případě úspěchu musí být mimo jiné prověřena efektivita zásahů, tj. jejich rychlost, přesnost. Vysokou míru ochrany vyžaduje samotná komunikace mezi řešením SIEM a ostatními bezpečnostními prvky.

Tvorba reportů patří k základním funkcionalitám systémů pro řízení bezpečnostních informací a událostí. Pro organizaci představuje významnou výhodu, pokud vestavěné nástroje a šablony plní požadavky relevantních legislativních nebo oborových norem. Buď je podporují nativně, nebo umožňují dostatečné přizpůsobení výstupů.

Článek byl publikován v komerční příloze Hospodářských novin a týdeníku Ekonom.