NIS2. Možná jste o ní zatím neslyšeli, ale v IT kruzích je tahle zkratka skloňována už dlouhé měsíce. Evropská směrnice, která v České republice ovlivní fungování několika tisíců firem a zavede přísnější opatření na poli kybernetické bezpečnosti. V platnost vstoupila v lednu 2023 a jednotlivé členské země mají čas do října 2024 na její transpozici do vnitrostátního práva.
Obdobně se před lety dotklo firem nařízení GDPR. NIS2 se v praktické rovině s GDPR částečně prolíná, očekává se ale, že přinese změnu mnohem větší. Hlavním důvodem pro zavedení nové regulace je zvyšující se počet kybernetických útoků a vznik nových hrozeb.
Zásadní částí NIS2 je ohlašovací povinnost bezpečnostních incidentů a hrozeb. Pro zhruba šest tisíc subjektů se stanou log management a SIEM klíčovými ke splnění této povinnosti.
Zajistit vše svépomocí zvládnout jen ti největší hráči. Většina firem proto nejspíš bude poptávat řešení log managementu na klíč.
Pojďte se dozvědět víc
Že to jsou pro vás dosud neznámé pojmy? Log management je proces sběru a ukládání logů (událostí) z různých serverů a služeb na centrální místo v jednotném formátu. SIEM (Security Information and Event Management) funguje nad log managementem a umožňuje analýzu logů, korelaci, reporty i alerty.
Definice přesného předělu mezi log management a SIEM prakticky neexistuje. Zjednodušeně lze ale říct, že zatímco log management logy pouze shromažďuje a ukládá, SIEM umožňuje pokročilé nastavení pravidel pro jejich zpracování a analýzu.
Pokud se právě teď poohlížíte po tom, jaké první kroky musíte podniknout, připojte ve středu 29. listopadu na Snídani u Mastera. Solution architekt MasterDC Jan Sedlák nastíní v přednášce více, než zazní v článku.
Sběr logů přináší strategické výhody
Problematika event managementu získala nálepku něčeho nepopulárního. Pro firmy znamená složitou analýzu jejich IT prostředí, veškerých provozovaných systémů a další investice do implementace nástrojů i jejich údržby. Argument číslo jedna? Splnění regulačních požadavků.
Co už tolik nezaznívá je, že log management – a obzvláště SIEM – jsou především strategické nástroje. Pomáhají předcházet bezpečnostním hrozbám, ztrátám dat, a navíc zvyšují efektivitu organizací. Firma se správně nastaveným systémem pro sběr a analýzu logů dokáže:
- včas odhalit pokusy o neoprávněný přístup k datům;
- najít souvislosti mezi událostmi napříč systémy a identifikovat hrozby;
- sledovat dynamické prostředí microservices a snáze debuggovat;
- reagovat na incidenty v reálném čase a snížit dobu nedostupnosti svých služeb;
- rozpoznat nadbytečné nebo neefektivní využití zdrojů;
- přesněji plánovat potřebné budoucí kapacity.
To vše má především ekonomické důsledky. Potenciální náklady spojené s bezpečnostními incidenty – ať už v podobě pokut, ztráty důvěry zákazníků, nebo přímo finančních ztrát – mohou být mnohonásobně vyšší než investice do efektivních bezpečnostních nástrojů. Průměrná finanční ztráta způsobená vážným bezpečnostním incidentem nezřídka dosahuje milionů korun. SIEM a log management nejenže snižují riziko těchto incidentů, ale také umožňují organizacím získat lepší přehled o tom, jak jsou jejich IT zdroje využívány, což může přinést další úspory.
Krok 1: Proveďte základní analýzu
Aby event management dobře sloužil, je potřeba mít jasno v tom, co je jeho cílem v konkrétní organizaci. Odpověď na tuto otázku napoví, které události budou důležité a měly by se posílat přes API do nástroje pro log management nebo SIEM.
Fázi analýzy může obstarat i poskytovatel SIEM. „Zákazníkům, kteří jsou se SIEM úplně na začátku, nejprve pomáháme upřesnit jejich potřeby. Případně jim asistujeme při analýze infrastruktury nebo ji provádíme za ně,“ přibližuje proces realizace Martin Žídek, technický ředitel MasterDC.
Při analýze infrastruktury doporučujeme následovat tyto body:
Co chcete sledovat a proč
Hledejte odpovědi na otázky typu: Kde máme uložena nejcitlivější data? Jaký typ bezpečnostního incidentu nás může nejvíce ohrozit? Které přístupové body jsou nejzranitelnější? Jak bychom chtěli reagovat na bezpečnostní incidenty? Které výkonnostní problémy ovlivní naše zákazníky?
Jaká zařízení a systémy provozujete
Tento krok je ideální příležitostí k revizi firemního IT. Sepište si všechna zařízení a systémy relevantní pro oblast, kterou potřebujete sledovat. Pokud jste vyhodnotili, že je pro vás nejzásadnější sledovat události a aktivity na úrovni sítě, mohou to být například:
- síťová zařízení (např. veškeré switche, routery, firewally, bezpečnostní technologie, proxy servery);
- servery (např. DNS, DHCP servery; operační systémy Windows/Linux; webové servery; aplikační servery);
- aplikace (např. databázové systémy; mail servery);
- autentizační systémy (např. Active Directory);
- klienti (např. pracovní stanice – notebooky i desktopy; mobilní zařízení – chytré telefony, tablety).
Která pravidla musíte dodržet
Typ sledovaných logů i dobu jejich uchování mohou určovat např. legislativní povinnosti nebo některé ze standardů typu ISO. Kromě zákonů a pravidel se zaměřte i na vlastní potřeby a rizika, která by mohla mít negativní dopad na důvěru zákazníků nebo pověst firmy či instituce.
Co vás může ohrozit
Pokuste se identifikovat slabiny ve firemní IT infrastruktuře. Zvažte, které logy poslouží ke zjištění anomálií a hrozeb – kupříkladu zvýšený počet pokusů o přihlášení může být signálem možného útoku. Dále určete, jaká by měla být očekávaná reakce na případné problémy, tj. jaký bude postup při podezření na útok.
Krok 2: zjistěte velikost potřebného řešení
Pokud už máte jasno v požadavcích, přichází na řadu volba platformy, na které řešení pro event management poběží. Cenu řešení typicky ovlivňuje počet generovaných EPS a potřebných GB.
EPS (events per second) udávají množství událostí, tedy logů, které systémy vygenerují za vteřinu. Počet EPS a doba pro uchovávání logů určují, jak velké úložiště firma potřebuje. Potíž je v tom, že hodnota EPS je vysoce individuální.
Na začátku můžete využít nativní logování, které lze zapnout přímo na úrovni systémů a serverů. Získáte tak informace o počtu logů za hodinu/den u jednotlivých prvků infrastruktury a z nich pak odvodíte počet EPS. Díky nativním logům budete mít také jasno o objemu dat, který se za den vyprodukuje.
V této fázi byste měli mít pohromadě solidní balík informací – zbývá vybrat samotné řešení.
Krok 3: vyberte správného dodavatele
Pokud plánujete investovat do log managementu, myslete na to, aby vám sloužil dlouhodobě. Zaměřte se na rozšiřitelnost o sledování dalších systémů a aplikací, ale i možnosti navýšení hardwarových parametrů. Důležité je také přidávání funkcionalit a případný přechod z log managementu na SIEM.
„Pro menší firmy je výhodná sdílená SIEM platforma, jejíž část si mohou jednoduše pronajímat. Firmám s robustnější infrastrukturou obvykle realizujeme vyhrazené řešení, ať už v cloudu nebo na fyzickém serveru, vždy s ohledem na ekonomiku celého řešení,“ upřesňuje možnosti služby provozní ředitel MasterDC Filip Špaček. Dalšími vlastnostmi řešení pro event management od MasterDC jsou:
- sběr logů na několika úrovních (uživatelé, zařízení, aplikace, infrastruktura);
- konfigurace zápisu událostí na míru;
- vytváření dashboardů s vizualizací logů;
- analýza logů v reálném čase;
- nastavení alertů a definice zpracování;
- identifikace hrozeb a zranitelností.
Dočetli jste až sem a jde vám z nových povinností hlava kolem? Přijďte si udělat jasno na přednášku IT experta.