Știți care este una din cele mai mari probleme ale responsabililor cu securitatea?
Alarmele false!

Cel mai adesea sunt mai rele decât cele reale, pentru că nu poți face diferența între ele fără să investești efort în a le investiga. Iar asta duce, inevitabil, la uzură, oboseală și – ca în „Petrică și lupul“ – la o... scădere a interesului.
Studiile de specialitate vorbesc de „desensibilizare“, însă, indiferent de eticheta pusă, cert este că fenomenul de „Alert fatigue“ e real și afectează aproape orice companie.

Cauza e evidentă: numărul alertelor crește constant – în ultimii 5 ani, volumul s-a dublat pentru că și volumul amenințărilor evoluează similar.
Așa se face că, în prezent, aproape jumătate (47%) din responsabilii cu securitatea investighează între 10 și 20 de alerte de securitate zilnic, iar 25% se confruntă cu de două mai mult (conform unui studiu CriticalStart).
Problema e că aproape jumătate dintre ele sunt false!
Iar „desensibilizarea“ face ca 44% dintre ele să nu fie niciodată investigate. Și pentru ca lucrurile să fie și mai rele, din cele 56% analizate, doar jumătate sunt legitime!

Ce înseamnă SIEM?

SIEM este, în prezent, cel mai sigur remediu împotriva invaziei False positive.
Acronimul – rezultat din combinarea aplicațiilor de Security Information Management (SIM) cu cele de Security Event Management (SEM) – desemnează o categorie de soluții de tip platformă care colectează, agregă și analizează date din mai multe surse: soluții de securitate, servere, echipamente de rețea, aplicații enterprise, surse externe de indicatori de compromitere și vulnerabilități etc.
Rezultatul este un sistem care ajută companiile să identifice rapid alerte legitime de securitate și să le ierarhizeze în funcție de nivelul lor de criticitate. Mai mult, integrându-l cu alte soluții de securitate, SIEM-ul poate contribui la blocarea automată a amenințărilor și aplicarea măsurilor de remediere.

Concret, iată ce poate face o platformă SIEM pentru compania voastră:

  • Asigură detecția în timp real a amenințărilor.
  • Identifică utilizatorii legitimi (prin intermediul funcționalităților de tipul User Event Behavioral Analysis - UEBA).
  • Depistează tentativele neautorizate de accesare.
  • Descoperă protocoalele și porturile expuse.
  • Simplifică procesele de auditare și raportare.

Câștigurile sună promițător însă, evident, există și critici.
Prima ține de accesibilitate: istoric vorbind, SIEM-ul nu este o soluție pe care companiile mici și mijlocii și-o pot permite.
A doua – de complexitate: implementarea unei platforme SIEM este un proces de durată, iar utilizarea sa – complicată.
A treia – de eficiență: sistemele SIEM lasă de dorit pentru că nu asigură protecție împotriva atacurilor de tip Zero day. Și alertele semnalate tot trebuie investigate de personalul IT, deci „oboseala“ nu dispare.

Care sunt beneficiile?

Sunt trei „mituri“ valabile în trecut, dar ușor de demontat în prezent. Iată contraargumentele:

  • Soluțiile SIEM livrate ca serviciu, din cloud, sunt acum accesibile pentru orice companie. De exemplu, Sentinel, soluția SIEM de la Microsoft, are un sistem de tarifare foarte flexibil: oferă atât modelul „Pay-As-You-Go“, în care plata se calculează la volumul de date analizate, cât și modelul „Capacity Reservations“, prin care clienții pot opta pentru anumite valori ale volumelor de date investigate. Dacă optați pentru 100 GB de date analizate pe zi, prețul este de 1,23 USD/GB. La 500 GB, valoarea scade la 0,99 USD/GB, iar la 5.000 GB – la 0,87 USD/GB. În modelul „Pay-As-You-Go“, capacitatea de analiză este nelimitată, însă prețul e de 2,46 USD/GB.
  • În cazul soluțiilor SIEM livrate as-a-Service este evident că procesul de implementare nu mai este atât de dificil. La fel de adevărat este însă faptul că nu poate fi aplicată metoda Set-and-Forget, pentru că e necesară o ajustare intensivă a configurațiilor de alertare, cel puțin în primele luni de utilizare, până când sistemul „învață“ să deosebească evenimentele critice de cele benigne. Aici intră în scenă specialiștii PRAS care vă pot ajuta să personalizați sistemul pe caracteristicile infrastructurii voastre și pe prioritățile specifice. Pe de altă parte, soluțiile SIEM de nouă generație au o curbă de învățare rapidă, vin cu o serie de funcționalități disponibile out-of-the-box, se integrează nativ cu numeroase alte produse hardware și software și beneficiază de dashboard-uri intuitive.
  • Sistemele SIEM integrează tot mai multe funcționalități inteligente. De exemplu, algoritmii de Machine Learning integrați învață tiparele de comportament normale – ale utilizatorilor, aplicațiilor și serviciilor – prin analiza datelor istorice colectate. Cu ajutorul acestor modele statistice, corelate cu datele colectate în timp real din infrastructura proprie și informațiile exeterne – furnizate de bazele de date CVE (Common Vulnerabilities and Exposures), serviciile de Threat Intelligence etc. –, SIEM-ul poate depista și semnala anomaliile și abaterile de la tiparul normal, prioritizând alertele cu ajutorul sistemelor CVSS de ierarhizare a nivelului de criticitate (Common Vulnerability Scoring System).

În ultimii ani, o dată cu diversificarea ofertei SaaS, sistemele SIEM au devenit o condiție standard pentru atingerea unui nivel superior de securitate și utilizare eficientă a resurselor IT disponibile. Dacă sunteți interesat de acest subiect, specialiștii PRAS vă stau la dispoziție