Nástroje pro sledování a práci s událostmi jsou žhavým tématem posledních měsíců. Je to hlavně díky vznikající směrnici NIS2, která nařizuje ohlašovací povinnost bezpečnostních incidentů a hrozeb. Pro zhruba šest tisíc subjektů se stanou log management a SIEM klíčovými ke splnění této povinnosti a budou poptávat řešení log managementu na klíč. To je určitě výzva. Můžete z ní ale i vytěžit.

Pokud se právě teď poohlížíte po tom, jaké první kroky je potřeba podniknout, připojte ve středu 29. listopadu na Snídani u Mastera. Solution architekt MasterDC Jan Sedlák nastíní v přednášce více, než zazní v článku.

Sběr logů přináší strategické výhody

Problematika event managementu získala nálepku něčeho nepopulárního. Pro firmy znamená složitou analýzu prostředí, veškerých provozovaných systémů a další investice do implementace nástrojů i jejich údržby. Argument číslo jedna? Splnění regulačních požadavků.

Co už tolik nezaznívá je, že log management – a obzvláště SIEM – jsou především strategické nástroje. Pomáhají předcházet bezpečnostním hrozbám, ztrátám dat, a navíc zvyšují efektivitu organizací. Firma se správně nastaveným systémem pro sběr a analýzu logů dokáže:

• včas odhalit pokusy o neoprávněný přístup k datům;
• najít souvislosti mezi událostmi napříč systémy a identifikovat hrozby;
• sledovat dynamické prostředí microservices a snáze debuggovat;
• reagovat na incidenty v reálném čase a snížit dobu nedostupnosti svých služeb;
• rozpoznat nadbytečné nebo neefektivní využití zdrojů;
• přesněji plánovat potřebné budoucí kapacity.

To vše má především ekonomické důsledky. Potenciální náklady spojené s bezpečnostními incidenty – ať už v podobě pokut, ztráty důvěry zákazníků, nebo přímo finančních ztrát – mohou být mnohonásobně vyšší než investice do efektivních bezpečnostních nástrojů. Průměrná finanční ztráta způsobená vážným bezpečnostním incidentem nezřídka dosahuje milionů korun. SIEM a log management nejenže snižují riziko těchto incidentů, ale také umožňují organizacím získat lepší přehled o tom, jak jsou jejich IT zdroje využívány, což může přinést další úspory.

Krok 1: Proveďte základní analýzu

Aby event management dobře sloužil, je potřeba mít jasno v tom, co je jeho cílem v konkrétní organizaci. Odpověď na tuto otázku napoví, které události budou důležité a měly by se posílat přes API do nástroje pro log management nebo SIEM.

Fázi analýzy může obstarat i poskytovatel SIEM. „Zákazníkům, kteří jsou se SIEM úplně na začátku, nejprve pomáháme upřesnit jejich potřeby. Případně jim asistujeme při analýze infrastruktury nebo ji provádíme za ně,“ přibližuje proces realizace Martin Žídek, technický ředitel MasterDC. Při analýze infrastruktury doporučujeme následovat tyto body:

Co chcete sledovat a proč

Hledejte odpovědi na otázky typu: Kde máme uložena nejcitlivější data? Jaký typ bezpečnostního incidentu nás může nejvíce ohrozit? Které přístupové body jsou nejzranitelnější? Jak bychom chtěli reagovat na bezpečnostní incidenty? Které výkonnostní problémy ovlivní naše zákazníky?

Jaká zařízení a systémy provozujete

Tento krok je ideální příležitostí k revizi firemního IT. Sepište si všechna zařízení a systémy relevantní pro oblast, kterou potřebujete sledovat. Pokud jste vyhodnotili, že je pro vás nejzásadnější sledovat události a aktivity na úrovni sítě, mohou to být například:

• síťová zařízení (např. veškeré switche, routery, firewally, bezpečnostní technologie typu Radware, proxy servery);
• servery (např. DNS, DHCP servery; operační systémy Windows/Linux; webové servery Apache, Nginx; aplikační servery Tomcat, JBoss);
• aplikace (např. databázové systémy – MariaDB, SQL Server; mail servery – Exchange, IMAP);
• autentizační systémy (např. Active Directory nebo LDAP servery);
• klienti (např. pracovní stanice – notebooky i desktopy; mobilní zařízení – chytré telefony, tablety).

Která pravidla musíte dodržet

Typ sledovaných logů i dobu jejich uchování mohou určovat např. legislativní povinnosti nebo některé ze standardů typu ISO. Kromě zákonů a pravidel se zaměřte i na vlastní potřeby a rizika, která by mohla mít negativní dopad na důvěru zákazníků nebo pověst firmy či instituce.

Co vás může ohrozit

Pokuste se identifikovat slabiny ve firemní IT infrastruktuře. Zvažte, které logy poslouží ke zjištění anomálií a hrozeb – kupříkladu zvýšený počet pokusů o přihlášení může být signálem možného útoku. Dále určete, jaká by měla být očekávaná reakce na případné problémy, tj. jaký bude postup při podezření na útok.

Krok 2: zjistěte velikost potřebného řešení

Pokud už máte jasno v požadavcích, přichází na řadu volba platformy, na které řešení pro event management poběží. Cenu řešení typicky ovlivňuje počet generovaných EPS a potřebných GB.

EPS (events per second) udávají množství událostí, tedy logů, které systémy vygenerují za vteřinu. Počet EPS a doba pro uchovávání logů určují, jak velké úložiště firma potřebuje. Potíž je v tom, že hodnota EPS je vysoce individuální.

Na začátku můžete využít nativní logování, které lze zapnout přímo na úrovni systémů a serverů. Získáte tak informace o počtu logů za hodinu/den u jednotlivých prvků infrastruktury a z nich pak odvodíte počet EPS. Díky nativním logům budete mít také jasno o objemu dat, který se za den vyprodukuje. A teď prakticky na třech příkladech:

Tabulka představuje modelové scénáře. Informace z ní nelze zobecnit a využít pro charakteristiku vlastní infrastruktury.

Při stanovování objemu dat (počtu potřebných GB) nezapomeňte zohlednit dobu uložení logů. U vyšších počtů EPS vás bude zajímat i propustnost sítě dodavatele řešení. V této fázi byste měli mít pohromadě solidní balík informací – zbývá vybrat samotné řešení.

Krok 3: vyberte správného dodavatele

Pokud plánujete investovat do log managementu, myslete na to, aby vám sloužil dlouhodobě. Zaměřte se na rozšiřitelnost o sledování dalších systémů a aplikací, ale i možnosti navýšení hardwarových parametrů. Důležité je také přidávání funkcionalit a případný přechod z log managementu na SIEM.

„Pro menší firmy je výhodná sdílená SIEM platforma, jejíž část si mohou jednoduše pronajímat. Firmám s robustnější infrastrukturou obvykle realizujeme vyhrazené řešení, ať už v cloudu nebo na fyzickém serveru, vždy s ohledem na ekonomiku celého řešení,“ upřesňuje možnosti služby provozní ředitel MasterDC Filip Špaček. Dalšími vlastnostmi řešení pro event management od MasterDC jsou:

• sběr logů na několika úrovních (uživatelé, zařízení, aplikace, infrastruktura);
• konfigurace zápisu událostí na míru;
• vytváření dashboardů s vizualizací logů;
• analýza logů v reálném čase;
• nastavení alertů a definice zpracování;
• identifikace hrozeb a zranitelností.

Dočetli jste až sem a ocenili byste pohled z praxe naživo? Přijďte si udělat jasno na přednášku IT experta.