Sisteme moderne de detectare și analiză a incidentelor de securitate

Florin-Mihai Iliescu, CISA, CISSP | Luni, 22 februarie 2016

Identificarea unui incident de securitate este probabil cea mai mare provocare pentru organizațiile care depind de un sistem informatic, de confidențialitatea datelor gestionate electronic. Atunci când un sistem este accesat neautorizat, când persoane neautorizate reușesc să intre în posesia unor informații cu caracter privat, acest lucru nu are urmări imediate pentru a putea reacționa prompt. Abia când datele respective sunt folosite pentru a comite fraude cibernetice se pune problema unei breșe de securitate. În alte situații, când informațiile furate sunt folosite de concurență pentru a crea un avantaj competițional, organizația păgubită poate nici să nu realizeze ca planurile sale de marketing, datele de contact ale clienților, detalii despre produsele și serviciile sale au fost compromise.

Sistemul tradițional prin care se poate detecta un incident de securitate are la bază activarea jurnalizării evenimentelor cheie (cum ar fi: tentative de acces neautorizat, accesarea unor sisteme în afara orelor de program, sau din zone geografice suspecte), centralizarea acestor jurnale (security logs) și analiza lor periodica pentru a determina eventualele acțiuni neautorizate. Acest mod de lucru este ineficient, de cele mai multe ori tardiv, și nefezabil în contextul actual când trebuie corelate mai multe surse de date pentru a determina dacă organizația a fost ținta unui atac.

Sistemele de gestiune a evenimentelor de securitate, denumite Security Information and Event Management (SIEM) reprezintă soluția tehnică pentru a pune bazele unui proces eficace de management a incidentelor de securitate.

Soluțiile SIEM pot fi aplicații software sau dispozitive hardware care rulează software specializat capabile să efectueze analize în timp real a evenimentelor înregistrate de componentele cheie ale sistemului informatic.

Capabilitățile cheie ale unui SIEM sunt:

• Monitorizare în timp real
• Corelarea evenimentelor
• Notificare
• Vizualizare
• Stocare pe termen lung a jurnalelor
• Analiza
• Raportare

Pentru instalarea și configurarea unui SIEM este necesară înțelegerea următoarelor noțiuni:

• Custom Rules Engine (CRE) – motorul de corelare a evenimentelor și fluxurilor de date pe baza unor reguli care stabilesc natura unui incident.
• Event – înregistrare efectuată de un echipament care descrie acțiunea ce a avut loc pe acel echipament.
• Flow – sesiunea de date dintre doua sisteme.
• Log source – sursa de unde se pot extrage jurnalele cu evenimente pentru a fi analizate (firewall, IDS, switch, router, etc).
• Offense – răspunsul general în urma îndeplinirii unor condiții care desemnează evenimentele / fluxurilor analizate ca incident de securitate.

Infologica oferă consultanță pentru implementarea sistemelor de tip SIEM, definirea politicilor de identificare a incidentelor de securitate, optimizarea funcționării SIEM pentru o mai bună performanță.