Tradycyjne rozwiązania SIEM mogą zbierać dane z różnych źródeł, w tym punktów końcowych, aplikacji, urządzeń sieciowych, VPN, serwerów i aplikacji w chmurze. W ostatnim czasie zauważamy nieustanny wzrost wykorzystania usług chmurowych, pracy zdalnej, wykorzystania urządzeń BYOD, co powoduje zwiększanie ilości danych przepływających przez sieć oraz danych generowanych przez te przepływy – danych, które są istotne dla funkcjonowania organizacji, jak również jej bezpieczeństwa.
SIEM nowej generacji umożliwia pobieranie danych z dzienników systemowych, jak i danych z generowanych przepływów (tzw. flow). Celem działań podejmowanych przez dostawców systemów SIEM jest między innymi wychwytywanie nowych zagrożeń, których nie można skutecznie wychwycić przez rozwiązania SIEM oparte wyłącznie na sygnaturach bez dodatkowej korelacji zdarzeń. Alerty oparte na sygnaturach sprawdzają się w przypadku znajdowania znanych zagrożeń, jednak skuteczność sygnatur nie sprawdzi się w znajdowaniu nieznanych zagrożeń.
Proaktywne działania implementowane w systemach SIEM oparte na zaawansowanych analizach, w tym analizie behawioralnej oraz uczeniu maszynowym mają na celu przeciwdziałanie nowym lub nie znanym atakom lub wzbudzenie odpowiedniej reakcji już kilka minut po wykryciu ataku, tak aby wyprzedzić atak zanim organizacja poniesie straty.
Stosunkowo nową kategorią narzędzi bezpieczeństwa w systemach SIEM jest UEBA (User and Entity Behavior Analytics). Narzędzia analizy zachowań użytkowników i jednostek pozwalają śledzić użytkowników, jak również punkty końcowe, aplikacje i przepływy w sieci w celu znalezienia zagrożeń. Narzędzia UEBA wykorzystują algorytmy machine learning (ML) do wykrywania nieprawidłowości w zachowaniu użytkowników i urządzeń funkcjonujących w sieci organizacji.
Narzędzia UEBA monitorują i nieustannie uczą się na podstawie działań użytkowników i urządzeń w sieci, następnie ustalają podstawowy profil zachowań, przy użyciu modeli statystycznych i probabilistycznych. To pozwala porównać każda czynność użytkownika, zachowanie urządzeń oraz przepływów sieciowych ze stanem wyjściowym w celu określenia, czy jest to czynność normalna. W przypadku zidentyfikowania odchyleń od podstawowych profili zachowań, może wskazać administratorom potencjalne zagrożenie. Najlepsze rozwiązania SIEM zapewniają wykrycie zagrożenia już w kilka minut od ich uaktywnienia, mogą również wykrywać i dopasowywać zachowania związane z zagrożeniem do określonego typu zagrożenia, takiego jak ataki: ATP, DDoS, brute force itd. W związku z tym UEBA koncentruje się na zagrożeniach wewnętrznych, takich jak pracownicy lub skompromitowane urządzenia pozwala to wykryć zagrożenie nawet w przypadku gdy dane uwierzytelniające użytkownika zostaną przejęte. W sytuacji dostępu do systemu przez osobę nieuprawnioną wykorzystującą prawidłowe dane uwierzytelniające innego użytkownika nie zostanie wykryte. Wykryte natomiast może zostać odmienne zachowanie w systemie informatycznym od standardowych działań użytkownika.
UEBA wykorzystuje zatem informacje o zachowaniu użytkowników i urządzeń, tak aby określić, co jest normalne, a co nie. Narzędzia UEBA mogą pomóc w wykryciu:
– naruszeń danych, sabotażu, nadużywania przywilejów i łamania zasad przez pracowników;
– przejęcia konta użytkowników np.: w wyniku zainstalowania złośliwego oprogramowania na komputerze;
– zmian w uprawnieniach lub wykorzystanie kont o podwyższonych uprawnieniach;
– naruszenia danych chronionych, np.: poprzez dostęp do danych bez uzasadnienia.
Dobrą praktyką będzie wykorzystanie UEBA wraz tradycyjnymi narzędziami SIEM. Wykorzystanie uczenia maszynowego i algorytmów w celu podniesienia bezpieczeństwa poprzez monitorowanie użytkowników i urządzeń, wykrywanie anomalii w profilach zachowań, które mogą wskazywać na zagrożenie. Korzystając z proaktywnych narzędzi bezpieczeństwa jak UEBA organizacja może uzyskać skuteczną z punktu widzenia bezpieczeństwa informację o działaniach użytkowników i funkcjonowaniu urządzeń w sieci.
Administratorzy odpowiedzialni za bezpieczeństwo muszą korzystać z rozwiązania SIEM, które potrafi odpowiedzieć nie tylko na typowe przypadki zagrożeń, lecz także te zaawansowane. Oczekiwania wobec systemów SIEM będą obejmować takie posiadanie takich funkcjonalności jak zbieranie wszystkich istotnych dla bezpieczeństwa zdarzeń pochodzących z serwerów i logów urządzeń sieciowych, urządzeń końcowych, urządzeń do zabezpieczania sieci, aplikacji, usług w chmurze, systemów uwierzytelniania i autoryzacji, dostępnych baz danych o podatnościach i zagrożeniach, ale także koreluje dane w repozytorium i szuka nietypowych zachowań, anomalii systemowych i innych sygnałów, które mogą wskazywać na zagrożenie.
Autor: Piotr Maziakowski