S čím organizaci pomůže SIEM?

Pojem SIEM byl (pravděpodobně) poprvé použit v roce 2002 společností IBM v dokumentu "IBM Security Information and Event Management: A Solution Overview". Zde byl SIEM definován jako "systém, který shromažďuje, ukládá a analyzuje bezpečnostní informace a události z různých zdrojů, aby poskytoval sjednocené rozhraní pro jejich správu a analýzu".

Vývoj konceptu SIEM byl v praxi spíše pozvolný a vznikal z potřeby integrovat funkce Security Information Management(SIM) a Security Event Management (SEM) do jedné platformy.

Vznik SIEM byl odpovědí na rostoucí potřebu lepší integrace a analýzy bezpečnostních dat v reakci na stále složitější a sofistikovanější kybernetické hrozby. SIEM se postupně stal jedním z klíčových prvků systému řízení kybernetické bezpečnosti.

Hlavní prvky SIEM

Mezi hlavní funkce komplexního SIEM patří následující:

• Sběr a agregace dat: SIEM shromažďuje a konsoliduje logy a další bezpečnostní informace z různých zdrojů v síti organizace.

• Detekce hrozeb: SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb.

• Alarmy a upozornění: V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných incidentech.

• Sledování a analýza událostí: Systém poskytuje nástroje pro sledování a analýzu bezpečnostních událostí, což provozním či bezpečnostním umožňuje včas reagovat.

• Dodržování předpisů a compliance: SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.

Jak vybrat vhodné SIEM řešení?

SIEM je vhodný pro značnou část organizací z veřejného i soukromého sektoru. A pro řadu z nich bude také tento nástroj brzy povinný, protože bez funkčního SIEMu lze jen obtížně dosáhnout souladu s požadavky NIS2 směrnice a českých prováděcích předpisů, nařízení DORA, atd.

Jaký je doporučený postup výběru a implementace SIEM?

• Definice požadavků a cílů: Tento krok zahrnuje podrobné porozumění bezpečnostním potřebám organizace a očekávaným výstupům od SIEM. Je důležité identifikovat specifické hrozby, kterým organizace čelí, a jak SIEM může pomoci tyto hrozby mitigovat.

• Výběr dodavatele: Při výběru dodavatele je nutné posoudit, zda navržené řešení odpovídá požadavkům (není předimenzované nebo nedostatečné), zdali je nabízené řešení škálovatelné a jaké dodavatel nabízí možnosti technické podpory a dodatečných služeb.

• Implementace: Implementace zahrnuje technické nasazení SIEM v organizaci. To zahrnuje zejména integraci s existujícími systémy, nastavení pravidel a konfigurací, zajištění, že všechny relevantní zdroje dat jsou správně připojeny, a zpracování příslušné dokumentace.

• Školení a rozvoj pracovníků: Zajištění, že bezpečnostní tým je dostatečně vyškolený pro práci se SIEM, je zásadní nejen pro implementaci, ale rovněž pro jeho faktické provozování. Je potřeba, aby pracovníci věděli, jak interpretovat data a upozornění generovaná systémem a jak na ně efektivně reagovat.

• Průběžné hodnocení a úpravy: Efektivní fungování SIEM systému vyžaduje jeho pravidelné vyhodnocování. To zahrnuje nejen aktualizace software, ale také úpravu jeho nastavení s ohledem na nově vznikající hrozby a hodnocení úspěšnosti a efektivity detekce bezpečnostních incidentů.

Jak poznat správně fungující SIEM

Trh nabízí širokou škálu řešení a nástrojů pro sledování IT infrastruktury, včetně pokročilých SIEM systémů. Ne každý nástroj se hodí ale pro každého. A zároveň pouhé zakoupení drahé krabičky neznamená, že organizace „vyřešila kyberbezpečnost“.

Efektivní nastavení a integrace SIEM do stávajícího prostředí jsou klíčové. To zahrnuje správné nastavení pravidel, upozornění a filtrů. Pokud je systém špatně nastaven, může to vést k nepřijatelně vysokému počtu falešných poplachů, které mohou ovlivnit efektivitu bezpečnostního týmu. Jelikož SIEM shromažďuje velké množství dat z různých zdrojů. Je důležité zajistit, aby tato data byla správně shromažďována a analyzována, aby bylo možné identifikovat potenciální hrozby. SIEM systémy také musí být pravidelně aktualizovány a udržovány, aby byly schopny efektivně reagovat na neustále se měnící hrozby.

Stejně důležité je mít kvalifikovaný tým, který rozumí SIEM a je schopen správně interpretovat výstupy a reagovat na incidenty. Rychlá a efektivní reakce na bezpečnostní incidenty je kritická. SIEM poskytuje data potřebná pro rychlé rozhodnutí a nápravné akce. Je důležité mít zavedeny procesy a postupy pro reakci na incidenty, aby bylo možné účinně reagovat na hrozby identifikované pomocí SIEM nástroje.

Je lepší provozovat SIEM interně nebo outsourcovat?

Vzhledem k různým faktorům - od finančních a organizačních, přes kapacitní omezení až po nedostatek kvalifikovaných odborníků na trhu - je vhodné zvážit, zda provozovat SIEM systém interně, nebo se obrátit na externího poskytovatele. 

Pozitiva či negativa obou variant řešení naleznete v kompletním článku na gdpr.cz.