SIEM: Bezpečnost pod kontrolou

Jak ovšem ještě i dále uvidíme, označit SIEM za bezpečnostní řešení je trochu zjednodušující, protože zároveň jde o aplikaci analytickou a dokumentační (tj. SIEM lze použít např. pro potřeby auditu, zajištění shody s předpisy - compliance apod.).

Řešení SIEM samo o sobě také nezajišťuje bezpečnost (nejde o nic s jasně definovanou funkcionalitou ochrany, jako je třeba antivirus nebo firewall), ale spíše detekuje průnik, upozorňuje na možné problémy a shromažďuje informace, které správcům IT dávají komplexní přehled o situaci. Význam SIEM a místo této technologie v zajištění bezpečnosti naznačuje např. následující pohled. "V důsledku setření hranic sítí, kam se připojuje celá řada pevných i mobilních zařízení, je prakticky nereálné zabránit průniku škodlivého kódu do sítě a ke zdrojům v ní," říká Ivo Němeček ze společnosti Cisco. Průzkumy Cisco ukazují, že v podstatě neexistuje firma, v jejíž síti by nějaký škodlivý kód nebyl. "Funkční bezpečnostní řešení musí tedy nejenom chránit před útokem, ale také co nejrychleji odhalit napadení, omezit jeho rozsah a napravit případné škody, které způsobí," dodává Němeček. (ICT revue 10/2015)

Historie SIEM a magické kvadranty

Kategorii SIEM roce 2005 vytvořila společnost Gartner spojením systémů SIM a SEM. První skupina přitom zahrnovala hlavně dlouhodobé uchovávání bezpečnostních dat, jejich analýzu a reporting, druhá monitoring a korelaci událostí v reálném čase (zobrazování výstrah na konzoli správce apod.). SIEM se tak z definice nachází mezi analytickými a bezpečnostními řešeními a vymezení celé kategorie je alespoň podle kritiků poněkud matoucí.

Gartner se nepodílel pouze na původní definici SIEM, celá skupina těchto produktů je od počátku spjata s magickým kvadrantem Gartneru. V tom posledním z října 2015 jsou zastoupeny následující firmy: AccelOps, AlienVault, BlackStratus, EMC (RSA), EventTracker, HP, IBM Security, Intel Security (McAfee), LogRhythm, Micro Focus (NetIQ), SolarWinds, Splunk, a Trustwave. Mezi lídry je kromě známých jmen (HP, IBM, Intel/McAfee) také Splunk, jehož řešení se jinak řadí mezi "big data/noSQL", tj. nástroje pro zpracování velkého množství nestrukturovaných informací, které jsou generovány např. v důsledku přijetí internetu věcí. Čtyři výše uvedení dodavatelé ovládají 60 procent trhu. Jako konkurenceschopný poskytovatel jednoúčelových řešení SIEM se uvádí firma LogRhythm, což je tradiční dodavatel těchto systémů.

Funkce SIEM

Ve své základní funkčnosti řešení SIEM shromažďuje informace ze síťového hardwaru a aplikací. Kromě jejich samotného uchovávání by řešení SIEM mělo poskytovat i analytické výstupy v podobě různých grafů, "panelů" a dalších nadstaveb. Samo o sobě toto řešení neposkytuje žádnou ochranu (nejde o IPS - prevenci průniku, spíše se blíží jiné kategorii pasivnějších bezpečnostních řešení - IDS, detekce průniku), samozřejmě lze ale provázat s dalšími bezpečnostními systémy.

Gartner ve své definici trvá na tom, že aby systém mohl být označen za SIEM, musí být obecný, tj. neomezovat se např. na analýzu dat z jednoho konkrétního síťového prvku nebo bezpečnostního zařízení.

Systémy SIEM mají vztah i k současným požadavkům na agilitu a schopnost reagovat v reálném čase, protože umožňují korelovat data s konkrétními incidenty. Shromážděná data (hlavně protokoly - logy, ale i síťový provoz třeba na úrovni paketů) lze samozřejmě také zpětně analyzovat za účelem vylepšení bezpečnosti, ale i zefektivnění jiných procesů. Současné technologie (big data, in-memory computing...) umožňují právě širší využívání analytických aplikací, což rozšiřuje i možnosti SIEM. Systémy SIEM při své činnosti mj. podrobně mapují infrastrukturu podnikového IT a její využívání, což může mít smysl pro plánování budoucích investic a samozřejmě také řízení rizik.

"Řešení SIEM se stále více stává business nástrojem, zejména v oblasti business rizik. Jaký typ požadavků a informací chodí z a do Číny? Nebyly bezpečnostní incidenty zachycené naším systémem SIEM způsobeny aktivitou firmy, se kterou máme výhledově strategicky spolupracovat?" zdůrazňuje analytickou funkci nástrojů SIEM Kamil Brzák ze společnosti Trask solutions.

Aktuální vývoj trhu

Co se týče změn trhu SIEM mezi roky 2014 a 2015, Gartner hovoří o konsolidaci (aniž by ale v této oblasti došlo k nějakým významnějším akvizicím), širším přijetí systémů ze strany zákazníků a rozšiřování funkčnosti na straně dodavatelů. Někteří dodavatelé - HP, IBM, RSA - integrují svá SIEM řešení především s vlastními nástroji, jiní - Splunk a Intel (McAffe) - využívají technologie třetích stran.

Prognóza společnosti Markets and Markets odhaduje velikost trhu SIEM v roce 2020 na 6 miliard dolarů, jiné analýzy zase předpovídají průměrný roční růst v této oblasti na 20-25 procent. Objem trhu v roce 2014 se odhaduje na 2,6 mld. dolarů, loni to měly být 3 mld.

Základní problém u těchto čísel samozřejmě spočívá v tom, že definice kategorie SIEM je docela volná. A aby situace byla ještě komplikovanější, sám Gartner vedle SIEM nedávno přišel s další, související a příbuznou zkratkou UBA (User Behavior Analytics). Jde vlastně o paralelní funkčnost, kdy SIEM shromažďuje data na úrovni síťových prvků či aplikací, UBA by vedle toho mělo monitorovat chování jednotlivých uživatelů.

Prognózy a trendy

Co říkají další analytické firmy? Podle prognózy IDC je v letošním roce právě oblast SIEM jedním z hlavních bezpečnostních trendů - spolu se zajištěním bezpečnosti mobilních technologií a řešeními poskytovanými formou cloudu. IDC souhlasí, že zatímco dnes jsou tyto produkty nasazeny především ve velkých podnicích, do roku 2020 by se měly rozšířit i do menších firem. Někteří dodavatelé SIEM ve své nabídce primárně už deklarují právě zájem o tento segment, např. AlienVault.

Další podobně cílené produkty se nacházejí na pomezí definice SIEM, např. LogManager od českých firem CompuNet/Sirwisa. Dodavatelé ho označují za konkurenci SIEM, ovšem současně za způsob, jak tuto funkcionalitu snadno a levně dostat do menších podniků.

Nejde ale pouze o přijetí těchto řešení novou skupinou zákazníků. Velké podniky budou podle IDC zase inovovat své řešení SIEM především s ohledem na trend big data - v záplavě zaznamenávaných dat (ve velkém podniku může jít i o terabajty měsíčně) je třeba se nějak vyznat a korelovat je s událostmi, k nimž dochází v prostředí podnikového IT.

Co se týče speciálně domácího trhu, víceméně kopíruje ten celosvětový.

"Produkty SIEM jsou obvykle využívány středními až velkými firmami, tzn. od 250 uživatelů a více. Obecně pak zákazníky s vyššími nároky na bezpečnost jako například ve státní správě, zdravotnictví, finančních službách a automobilovém odvětví," uvádí Zdeněk Bínek ze společnosti GFI Software.

A jaké další hlavní změny můžeme v oblasti SIEM očekávat?

"Cloud a big data jsou trendy, které budou mít vliv na SIEM, a také lze vsadit na sémantické vyhledávání a threat intelligence," odhaduje Zdeněk Bínek.

"Konvergence Network Operations Center a Security Operations Center, řešení internetu věcí (IoT) a dosažení celistvého náhledu na IT infrastrukturu (tzv. 360 °), jehož lze dosáhnout právě SIEM," domnívá se v této souvislosti Kamil Brzák.

Podle IDC i jiných analytických firem jsou bezpečnostní rozpočty podniků stabilní nebo rostoucí. Překážkou pro nasazení systémů SIEM je tak, alespoň v menších firmách, kromě samotných peněz také nedostatek odborníků. Průzkum americké společnosti 451 Research vedl k závěru, že na nedostatek vlastních kvalifikovaných specialistů si stěžují téměř 3/4 firem. Systémy SIEM ve své současné podobě vyžadují další "lidskou" práci, jinak poskytnou pouze velmi omezený přínos - alespoň pokud je cílem podniku skutečně zvýšit své zabezpečení a analytické využití dat, nikoliv pouze splnit regulační požadavky či si z jiných důvodů příslušnou "kolonku odškrtnout". Specialista na SIEM by měl být kromě přehledu o IT bezpečnosti současně odborníkem na forenzní analýzy, velká data a obecně statistické vyhodnocování.

Článek byl publikován v ICT revue 4/2016.