O τομέας των λογισμικών πληροφοριών ασφαλείας και της διαχείρισης συμβάντων (SIEM – Security Information, and Event Management), βρίσκεται εν μέσω μιας ταχείας εξέλιξης.

Ο τρόπος που οι αναλυτές ασφαλείας αλληλοεπιδρούν με τα συστήματα SIEM αλλάζει. Ως συνέπεια αυτού, επαναπροσδιορίζεται πλήρως και η κατηγορία των SIEM για τους αγοραστές αυτή την περίοδο.

Οι αλλαγές αυτές είναι μια φυσική αντανάκλαση της διεύρυνσης των περιπτώσεων χρήσης και των απαιτήσεων. Αυτές οι αλλαγές ορίζονται από τους αναλυτές της κυβερνοασφάλειας των συστημάτων των οργανισμών. Ταυτόχρονα, η ανάγκη για αυτοματισμούς και υπηρεσίες γύρω από τον εντοπισμό και την απόκριση των απειλών γίνονται όλο και πιο έντονες.

Δεν παίζει ρόλο μόνο η αυτοματοποίηση της συλλογής δεδομένων ή οι ειδοποιήσεις που χρειάζονται οι ομάδες της κυβερνοασφάλειας από τα λογισμικά SIEM. Είναι επίσης πολύ σημαντική η αυστηρή ενοποίηση των εργαλείων ασφαλείας για ένα επιχειρησιακό κέντρο κυβερνοασφάλειας (SOC – Security Operations Center). Επίσης απαιτείται μια πιο ομαλή ενορχήστρωση των ροών εργασίας που ενεργοποιούν τα δεδομένα που συλλέγουν τα λογισμικά SIEM.

Αυτοί οι παράγοντες οδηγούν τους οργανισμούς να ρίξουν μια πιο προσεκτική ματιά στις δυνατότητες των λογισμικών SIEM. Με αυτό τον τρόπο, θα εξασφαλιστεί ότι είναι έτοιμα να αντιμετωπίσουν τις απειλές του σήμερα και του αύριο.

Η εξέλιξη των λογισμικών SIEM.

Η προέλευση των λογισμικών SIEM.

Προκειμένου να κατανοήσουμε την πορεία που ακολουθούν τα λογισμικά SIEM, θα πρέπει να δούμε πως αυτά ξεκίνησαν. Τα λογισμικά SIEM αποτελούν προϊόν συγχώνευσης δύο διαφορετικών κατηγοριών.

Από την μία πλευρά, υπήρχαν τα λογισμικά διαχείρισης πληροφοριών κυβερνοασφάλειας (SIM – Security Information Management). Αυτά τα λογισμικά σχεδιάστηκαν για να διαχειρίζονται την μακροπρόθεσμη αποθήκευση των αρχείων καταγραφής (log files).  Η διαχείριση τους εξυπηρετούσε για την ανάλυση των τάσεων και για την καταγραφή αναφοράς ιστορικού για λόγους εγκληματολογικής έρευνας.

Από την άλλη, υπήρχαν τα λογισμικά ασφάλειας της διαχείρισης των συμβάντων (SEM – Security Event Management). Αυτά τα λογισμικά είχαν σχεδιαστεί για να βοηθήσουν τους ανταποκριτές συμβάντων να διαχειριστούν τις τρέχουσες απειλές.  Επίσης τα λογισμικά αυτά, βοηθούσαν στην αντιμετώπιση του «θορύβου» που προκαλούσαν οι εξωτερικοί παράγοντες.

Οι ομάδες κυβερνοασφάλειας αναγνώρισαν την ανάγκη καλύτερης συνεργίας των λογισμικών SIM και SEM. Έτσι ξεκίνησε η ανάμιξη των ενεργειών της διαχείρισης των απειλών και της συγκέντρωσης των αρχείων καταγραφής συμβάντων.

Σημαντική συμβολή για την ενοποίηση των δύο λογισμικών έχουν επαγγελματίες πληροφορικής και αναλυτές ασφαλείας. Αμφότεροι επένδυαν πολύ χρόνο και χρήμα σε συστήματα ανίχνευσης και αποτροπής εισβολών και σε συστήματα (IDS/IPS – Intrusion Detection Systems/ Intrusion Prevention Systems) που παρήγαγαν μεγάλες ειδοποιήσεις «θορύβου».

Η συγχώνευση των λογισμικών SIM και SEM βοήθησε στη μείωση αυτού του θορύβου και έτσι καταλήξαμε στο σύστημα που είναι γνωστό σήμερα ως SIEM.

To λογισμικό SIEM στο σήμερα.

Ενώ τα πρώτα συστήματα SIEM βοήθησαν τους οργανισμούς να μειώσουν τον θόρυβο των IDS/IPS, είχαν να αντιμετωπίσουν και διάφορες προκλήσεις. Η πλειοψηφία των συστημάτων αυτών ήταν ακριβά και απαιτούσαν μεγάλο βαθμό προσπάθειας για τη ρύθμιση και την τελειοποίηση της λειτουργίας τους.

Επιπλέον, ήρθαν στο προσκήνιο, σε μια περίοδο που ο κόσμος της πληροφορικής άρχισε να γίνεται πολύ περίπλοκος. Οι οργανισμοί είχαν ξεκινήσει τη μεταφορά των υπηρεσιών τους σε cloud μορφή. Επίσης η εξάπλωση της τηλεργασίας, πρόσθεσε επιπλέον φορητές συσκευές και τερματικά σημεία για τα συστήματα SIEM των οργανισμών. Επιπλέον υπήρξε μια συνεχής ροή των τεχνολογιών ασφάλειας που οι διαχειριστές επιθυμούσαν να προσθέσουν στα συστήματα SIEM.

Στη συνέχεια ήρθε και η πολυπλοκότητα του Γενικού Κανονισμού Προσωπικών Δεδομένων (GDPR – General Data Protection Regulation) της Ευρωπαϊκής Ένωσης. O GDPR προστέθηκε με τη συμπερίληψη της εικονικοποίησης της αναφοράς συμμόρφωσης στο φόρτο εργασίας του κυβερνοχώρου.

Ταυτόχρονα, το τοπίο αντιμετώπισης απειλής είδε τους εγκληματίες του κυβερνοχώρου να γίνονται πιο οργανωμένοι και περισσότερο «εμπορευματοποιημένοι». Αυτό σημαίνει ότι λανσάριζαν μια μεγαλύτερη ποικιλομορφία και όγκο επιθέσεων από ποτέ άλλοτε.

Όλοι αυτοί οι παράγοντες συνέβαλαν σε μια έκρηξη δεδομένων, που τα συστήματα SIEM της πρώτης γενιάς δεν είχαν την υποδομή για να τα διαχειριστούν εξ ολοκλήρου. Ο όγκος των δεδομένων καταγραφής που δημιουργήθηκε καθώς και οι μέθοδοι κατανάλωσης που ζήτησαν οι χρήστες των συστημάτων SIEM, ώθησε ξανά στην εξέλιξη της αγοράς τους.

Τα συστήματα SIEM έπρεπε να συμπεριλάβουν περισσότερα αρχεία καταγραφής και δυνατότητες διαχείρισης συμβάντων. Προέκυψε δηλαδή, η απαίτηση για την καλύτερη συγκέντρωση αναφορών και αρχειοθέτηση των αρχείων καταγραφής μέσα σε ένα πιο περίπλοκο περιβάλλον.

Αυτό οδήγησε στην αφετηρία για την ανάπτυξη των σημερινών συστημάτων  SIEM. Οι πλατφόρμες αναλύσεων ασφαλείας διόγκωσαν τις δυνατότητές τους για να αντιμετωπίζουν μεγαλύτερους, περισσότερους και ποικίλους όγκους δεδομένων.

Τα επόμενα βήματα για τα συστήματα SIEM.

Οι σύγχρονες πλατφόρμες συστημάτων SIEM έχουν εξελιχθεί πολύ, από την εποχή των μεμονομένων συστημάτων SIM και SEM.

Ωστόσο υπάρχει ακόμα ένα επιπλέον βήμα εξέλιξης που θα πρέπει να γίνει. Η προσθήκη της διαχείρισης αρχείων καταγραφής δεν έχει καταφέρει να επιλύσει ακόμη πολλά από τα προβλήματα που αντιμετωπίζουν οι οργανισμοί. Χρησιμοποιώντας το SIEM, οι οργανισμοί επιθυμούν να λάβουν βοήθεια στην αντιμετώπιση των περιστατικών τους, στην έρευνα και στην δυνατότητα του κυνηγιού των απειλών τους.

Επιπλέον, τα συστήματα SIEM συνεχίζουν να αντιμετωπίζουν τεράστιες ποσότητες δεδομένων που τους αποστέλλονται, καθώς τα δεδομένα των οργανισμών έχουν αυξηθεί εντυπωσιακά.  

Το επόμενο εξελικτικό κύμα θα επικεντρώνεται γύρω από τη λήψη των ορατών δυνατοτήτων των σημερινών συστημάτων SIEM. Επίσης, θα ενισχυθούν περαιτέρω με τεχνητή νοημοσύνη κατά των απειλών και την ενοποίηση τους με αποτελεσματικούς μηχανισμούς αποκατάστασης.

Ύστερα, θα ακολουθήσει το βήμα που θα επιτρέπει την παρακολούθηση και αντιμετώπιση των απειλών, που βάλουν κατά των οργανισμών. Αυτές οι ενέργειες θα πραγματοποιούνται ανεξαρτήτως της δομής της αρχιτεκτονικής ή των σχετικών περιουσιακών στοιχείων.

Σε αυτές τις ενέργειες θα περιλαμβάνονται:

  • SaaS (Software as a Service)
  • Cloud IaaS (Infrastructure as a Service)
  • On-premises (Στις εγκαταστάσεις)
  • Endpoints (Τερματικά Συστήματα)
 class=

Αυτή η ενοποιημένη προσέγγιση θα μπορούσε να κάνει καλό στην επίτευξη του στόχου του SIEM να επικεντρώσει την ορατή ασφάλεια και τις αποκρίσεις ασφαλείας συμβάντων σε μια ενιαία πλατφόρμα. Ο στόχος αυτός, εκτός από την παρακολούθηση και ειδοποίηση θα πρέπει να περιλαμβάνει και καλύτερους συγκεντρωτικούς ελέγχους και ενέργειες ασφάλειας μετά το συναγερμό.

Όλα αυτά τα στοιχεία θα πρέπει να συνεργάζονται μαζί. Άρα η ενσωμάτωση μέσω των επεκτάσιμων εφαρμογών τύπου API (Application Programming Interface) θα είναι το κλειδί σε αυτό το επόμενο βήμα της εξέλιξης των SIEM.

Τα SIEM συστήματα, θα υιοθετήσουν τέτοιου είδους προσεγγίσεις, προχωρώντας ακόμα περισσότερο τις σημερινές τους δυνατότητες.

Τα συστήματα SIEM θα προβαίνουν στις εξής ενέργειες:

  • Συνεχής συγκέντρωση και με έξυπνο τρόπο, δεδομένων ασφάλειας από όλα τα περιβάλλοντα των οργανισμών.
  • Ανάλυση και συσχέτιση των δεδομένων από διάφορους ελέγχους ασφαλείας, που θα είναι εγκατεστημένοι σε αυτά τα περιβάλλοντα.
  • Αναλύσεις μέσω ολοκληρωμένων και συνεχών πληροφοριών για απειλές σχετικά με επιθέσεις που συμβαίνουν εκτός οργανισμού.
  • Λειτουργίες αυτοματισμού και ενορχήστρωσης για τον εξ ορθολογισμό της απόκρισης απειλής, μετά τον εντοπισμό της κακόβουλης δραστηριότητας από την πλατφόρμα.

Τα τελευταία δύο σημεία δίνουν την κρίσιμη διαφορά σε σχέση με τα προηγούμενα συστήματα SIEM σήμερα. Ας ρίξουμε μια πιο προσεκτική ματιά στο πώς λειτουργούν και γιατί αποτελούν την εμπροσθοφυλακή εκεί που χρειάζεται τα συστήματα SIEM να εξελιχθούν στο μέλλον.

Συστήματα SIEM: Η ανάγκη για μηχανισμούς ευφυΐας κατά των απειλών

Το ζήτημα και ο στόχος των συστημάτων SIEM είναι να κάνει χειρισμούς ασφάλειας πιο αποτελεσματικούς και να ανταποκρίνονται ταχύτατα στις επιθέσεις. Ωστόσο, χωρίς τους κατάλληλους μηχανισμούς ευφυΐας κατά των απειλών να καθοδηγούν τους κανόνες που συσχετίζουν τις μεγάλες ροές δεδομένων στο SIEM, η πλατφόρμα SIEM σπάνια θα ανταποκρίνεται σε αυτόν τον στόχο.

Οι ειδικοί σήμερα πιστεύουν ότι για πιο ανθεκτικό μηχανισμό εντόπισης και ανταπόκρισης κατά των απειλών, χρειάζεται η περαιτέρω εξέλιξη της κυβερνοασφάλειας. Με αυτό τον τρόπο θα εξελιχθούν και οι  πιο κοινότυποι μηχανισμοί ανίχνευσης. Θα ήταν κρίσιμο να βρεθεί ένας τρόπος απεξάρτησης από τους απλούς δείκτες συμβιβασμού (IoCs – Indicators of Compromise).

 Θα πρέπει να γίνει μετακίνηση σε μεθόδους παρακολούθησης, τεχνικών και διαδικασιών των υποκείμενων τακτικών σε πραγματικό χρόνο (TTPs – Tactics, Techniques, and Procedures). Αυτές οι μέθοδοι με τη σειρά τους θα υποδεικνύουν την κακόβουλη συμπεριφορά.

Αυτή η αλλαγή από τη μέθοδο IoC στη μέθοδο TTP, καθορίζεται από το πόσο γρήγορα κάποιος κακόβουλος θα μπορούσε να αλλάξει τα χαρακτηριστικά της επίθεσης τους. Συγκεκριμένα, εξαρτάται από το πόσο γρήγορα θα αλλάξουν την ΙP διεύθυνση (Internet Protocol address) τους ή τον κωδικό  του Malware, για να αποφύγουν τον εντοπισμό.

Δυστυχώς, οι περισσότερες από τις παραδοσιακές πλατφόρμες SIEM εξακολουθούν να περιορίζουν τους κανόνες συσχέτισής τους, με βάση το IoC.

Αυτό συμβαίνει γιατί δεν μπορούν να χειριστούν τα μεγάλα σε αριθμό δεδομένα καταγραφής που τροφοδοτούνται σε αυτά.

Για να αντιμετωπίσουν οι οργανώσεις κάθε κακόβουλη επίθεση, θα πρέπει να ενσωματώσουν πολύπλοκους μηχανισμούς ανίχνευσης, στα εργαλεία ασφάλειας τους. Μέσα σε εκείνα τα εργαλεία θα πρέπει να συμπεριλαμβάνονται και οι κανόνες  συσχέτισης του συστήματος SIEM. Επίσης θα πρέπει να περιλαμβάνονται μηχανισμοί ανίχνευσης εισβολών στο δίκτυο υπογραφών του συστήματος (NIDS – Network-based Intrusion Detection System) και οι κανόνες Yara. Οι κανόνες YARA χρησιμοποιούνται για την ταξινόμηση και τον εντοπισμό δειγμάτων κακόβουλου λογισμικού. Ύστερα δημιουργούν περιγραφές οικογενειών κακόβουλου λογισμικού με βάση κειμενικά ή δυαδικά μοτίβα.

Η υψηλότερης τάξης ανίχνευση είναι η βασική προϋπόθεση πίσω από το δημιουργικό πλαίσιο τέτοιων εφαρμογών. Αυτές οι εφαρμογές σχεδιάστηκαν για να μεταφέρουν τις πρακτικές αντιμετώπισης εκείνων των περιστατικών στο επόμενο επίπεδο. Επίσης, οι εφαρμογές παρέχουν μια ολοκληρωμένη και συνεχή ενημέρωση των πιο κοινών μεθόδων TTP, που χρησιμοποιούν οι «κακόβουλοι εισβολείς».

Τα σύγχρονα συστήματα SIEM έχουν σχεδιαστεί βάσει των παραπάνω ζητημάτων.

Οι μηχανισμοί ευφυΐας κατά των απειλών, τροφοδοτούν τα συστήματα SIEM. Ενημερώνουν τα συστήματα με νέες, παγκοσμίου επιπέδου πληροφορίες για απειλές. Αυτές οι ενημερώσεις γίνονται με βάση την υποδομή του κάθε SIEM περιβάλλοντος και σε σύγκριση με τον εντοπισμό κακόβουλης συμπεριφοράς. Εκτός από μεθόδους IoC για συσχέτιση, παρέχει και μεθόδους της υψηλότερης τάξης των δεικτών του TTP.

Αυτοί οι μηχανισμοί ευφυΐας, τροφοδοτούν τα συστήματα SIEM με αυτόματους κανόνες συσχέτισης. Εκτός από την απλή αποθήκευση των καταγραφών (log files) και την αναζήτηση IoC, βοηθούν στην εστίαση των παραγόντων που πρέπει να αναζητηθούν. Το έργο που παρέχουν οι μηχανισμοί ευφυΐας, θα χρειαζόταν στο παρελθόν μια ολόκληρη εργασιακή ομάδα για να πετύχει κάτι σε παρόμοιο επίπεδο. 

Αντιθέτως, μπορείτε να αποκτήσετε εικονικά, σχεδόν τα ίδια οφέλη από τις ενημερώσεις κατά των απειλών, κατευθείαν μέσω ενός συστήματος SIEM.

Η εξέλιξη των λογισμικών συστημάτων SIEM αποδεικνύει το σημαντικό ρόλο που έχουν ως προς την ασφάλεια των δεδομένων των οργανισμών. Πόσο καλά θωρακισμένος είναι ο δικός σας οργανισμός απέναντι σε μια κακόβουλη επίθεση;