Monitoring zagrożeń SIEM

Systemy zarządzania bezpieczeństwem SIEM (Security information and event management)

Postęp w dziedzinie ataków powoduje, że liczba zabezpieczeń niezbędnych w systemie IT stale wzrasta. Można założyć, że obecnie duża organizacja powinna posiadać zainstalowane (jako osobne systemy lub formie jednego wielofunkcyjnego systemu UTM):

  • system ochrony stacji roboczych (ochrona antywirusowa, antyspamowa, antyszpiegowska),
  • bramkę do tworzenia kanałów VPN, w tym SSL VPN,

  • system wykrywania i prewencji włamań IPS,

  • system kontroli treści ładowanych z Internetu,

  • zabezpieczenie systemu poczty elektronicznej,

  • system AAA (Administracja Autoryzacja i Uwierzytelnienie),

  • system ochrony poufnych danych przed wyciekiem (szyfracja + DLP).

Ta duża liczba systemów powoduje, że hakerzy przed dokonaniem ataku próbują sprawdzić jakie systemy zabezpieczeń zostały zainstalowane i jaka jest ich konfiguracja. Takie testy są prowadzone bardzo ostrożnie, powoli, w długim czasie, aby zminimalizować szanse ich wykrycia przez administratora (tzw. ataki wolnozmienne). Przy dostatecznie długim czasie (kilka tygodni lub nawet miesięcy) administrator nie jest w stanie w sposób tradycyjny skojarzyć pewnych zdarzeń, aby wykryć próbę ataku i zlokalizować intruza.

Systemy typu zarządzania bezpieczeństwem typu SIEM (ang. Security Incidents and Events Monitoring), bazując na informacjach zawartych w logach zdarzeń z różnych zabezpieczeń i urządzeń zainstalowanych w sieci firmowej, są wstanie dokonać analizy korelacji tych zdarzeń i wykryć próbę ataku.

Fortinet

Firma Fortinet jest czołowym na świecie dostawcą wysoko wydajnych informatycznych rozwiązań zabezpieczających, które umożliwiają jej klientom ochronę i kontrolę używanej infrastruktury informatycznej. Jej specjalnie opracowane, zintegrowane technologie zabezpieczeń wraz z usługami FortiGuard badającymi zagrożenia zapewniają klientom niezwykle skuteczną ochronę treści dotrzymującą kroku nieustannie rozwijającym się zagrożeniom.

FortiSIEM

Oferowana przez Fortinet ujednolicona platforma do korelowania zdarzeń i zarządzania ryzykiem, która udostępnia organizacjom kompleksowe, całościowe i skalowalne rozwiązanie obejmujące całą infrastrukturę — od Internetu rzeczy po chmurę — i jest wyposażona w opatentowane narzędzia analityczne umożliwiające precyzyjne zarządzanie bezpieczeństwem, wydajnością i standardami zgodności sieci. Firma Fortinet opracowała architekturę, która umożliwia ujednolicone i skorelowane analizowanie danych pochodzących z różnych źródeł — dzienników, danych o wydajności, pułapek zdarzeń (SNMP Trap), alertów bezpieczeństwa i zmian konfiguracji. FortSIEM zasadniczo zbiera razem dane, które dotychczas były monitorowane w odrębnych rozwiązaniach — centrach operacyjnych sieci i zabezpieczeń — by uzyskać bardziej całościowy wgląd w informacje o zagrożeniach dostępne w organizacji. Ze strukturą informowania o zagrożeniach (Threat Intelligence, TI) FortSIEM płynnie współpracują zewnętrzne źródła danych obejmujące źródła open source, źródła komercyjne i źródła niestandardowe. Takie ujednolicenie na ogromną skalę różnorakich źródeł danych pozwala organizacjom szybko tworzyć kompleksowe pulpity i raporty, błyskawicznie identyfikować pierwotne przyczyny zagrożeń oraz podejmować kroki niezbędne do ich eliminowania i zapobiegania im w przyszłości.

IBM QRadar

IBM QRadar SIEM wykrywa anomalie, ujawnia zaawansowane zagrożenia i eliminuje fałszywe alarmy. Konsoliduje dane z dzienników i dane o przepływach sieciowych pochodzące z tysięcy urządzeń, punktów końcowych i aplikacji rozproszonych w sieci. Następnie korzysta z zaawansowanego mechanizmu Sense Analytics, który normalizuje i koreluje te dane oraz wykrywa naruszenia, które wymagają podjęcia dochodzenia i analizy. Opcjonalnie oprogramowanie to może współpracować z serwisem IBM X-Force Threat Intelligence, który udostępnia listy potencjalnie szkodliwych adresów IP, w tym hostów ze szkodliwym oprogramowaniem, źródeł spamu i innych zagrożeń. Produkt QRadar SIEM jest dostępny w wersji do instalacji lokalnej oraz w środowisku chmurowym.