Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Stará dobrá poučka praví, že řídit můžeme jen to, v čem máme pořádek a přehled. K dosažení maximálního řádu a transparentnosti stejně jako k okamžitému vyhodnocování získaných informací se používají systémy z kategorie Security Information Management (SIM; někdy též SIMS – SIM Systems).

Logy, logy, moře logů

Problém, se kterým se pravidelně setkáváme, je naše neschopnost využít logy. Sice je velkoryse generujeme a ukládáme, což spotřebovává kapacitu i zdroje systémů, ale často je nedokážeme vyhodnotit nebo spojit dohromady. A je to velká škoda: vždyť díky logování máme v rukách informace o stavu sítě, o pokusech o útoky, sondování terénu, často i o útoku probíhajícím. Není přitom nic zbytečnějšího, než bezpečnostní incident, který na sebe upozorňuje, ale který prostě nejsme schopni vidět.

Obvyklých příčin tohoto stavu je několik. První z nich je různý formát logů, které se pak špatně porovnávají proti sobě. Každý výrobce si tvrdošíjně razí svůj formát v naději, že se tento stane standardem. Ba co víc: často se lze v reálném světě setkat s případy, kdy jeden výrobce používá různé (že navzájem nekompatibilní, jistě netřeba zdůrazňovat) formáty logování.

Druhou příčinou je absence sběrného systému dat, resp. jejich decentralizace. Logy se ukládají na nejpříhodnější místa, ale málokdy někam společně, aby se z nich daly vyčíst použitelné informace.

A do třetice: problémem je nepoužívání kvalitních systémů pro vyhodnocování a zpracování logů. Logy tak často vytěžujeme, centralizujeme – ale to stále neznamená, že nám něco prozradí. Systém zpracování logů musí být poměrně sofistikovaný, aby mu neunikly žádné drobné nuance. Zatímco jistá událost může být z pohledu logu A vnímána jako běžný provoz (maximálně jako typická chybová nebo podobná situace, kterou se ovšem netřeba zatěžovat), stejně tak z hlediska logu B i logu C. Ale když se všechna tato data poskládají na hromadu, můžeme zjistit, že o běžný stav rozhodně nešlo, ale že to byl třeba útok šikovně se za běžný stav skrývající.

Právě toto je odpovědí na otázku, proč potřebujeme kompatibilní logy, umístěné centralizovaně a kvalitně vyhodnocené. Jenže – kde vzít a nekrást?

Vyhledávání nepřítele

Proto spatřily světlo světa systémy SIM. Podstata jejich činnosti je veskrze jednoduchá: shromažďovat logy a převádět je na společný formát. Často také vytvářejí s pomocí agentů a čidel logy vlastní, protože těžko předpokládat, že skutečně absolutně všechno je ve stávajících výpisech skryto. Následně jsou tyto logy korelované a hledané v nich závislosti, vztahy a vazby. Podotýkáme, že řeč je o logování nejen v rámci bezpečnostních systémů, ale o logování jakémkoliv. Bezpečnostní problém se totiž může skrývat prakticky kdekoliv.

Jde přitom o velmi delikátní práci, neboť útoky (ať již automatizované či vedené lidmi, a to zevnitř i zvenčí) mají pochopitelně tendenci vypadat co nejvíce nenápadně. Proto je kritické, aby byly vyhodnocovací algoritmy co nejcitlivější a aby jim žádná vazba neunikla.

Ovšem nejen to: abychom získali smysluplné informace, musí být veškerá analýza prováděná v reálném čase. To znamená nikoliv jednou po určité době, ale prakticky neustále: zastavit útok trvající několik sekund na základě včerejších logů je jaksi „mimo mísu“. Jistě, i zpětná vazba je důležitá: třeba při analýze stavu systému nebo rozboru incidentu, který unikl naší pozornosti (mj. proto, aby příště neunikl – co jsme přehlédli nebo mohli udělat lépe?). Stejně jako si fotbalisté rozebírají hru po zápase: na skóre to ovšem nemá vliv. Skóre je nutné vytvářet v průběhu zápasu.

Neméně důležitou součástí jsou výstupy ze SIMS. Tyto mohou mít podobu zprávy o stavu systému stejně jako by měly být podkladem pro aktivní a v reálném čase prováděné upravování konfigurací či politik. Výstupy přitom mohou být prezentovány z pohledu jednotlivých systémů, aktivit uživatelů, datových zdrojů, obchodních procesů, dosažení shody s legislativními požadavky (ISO, SOX, BASEL II) atd.

SIM navíc může pomáhat identifikovat a porovnat aktuální bezpečnostní konfiguraci monitorovaných systémů s požadavky bezpečnostních politik, či výše zmíněných legislativních a jiných požadavků, a tím umožňuje odstranit zjištěné nesoulad. Celý proces je automatizovaný, výstupy jsou kvantifikovatelné, a tedy měřitelné.

SIMS nejsou všeřešící

Firewally často nesplní svoji funkci, protože jsou špatně nakonfigurované. Varovná volání systémů IDS nepadnou na úrodnou půdu, protože jsou prostě ignorována. A stejně tak systémy SIMS se bez dozoru neobejdou. Na jedné straně musí být maximálně samostatné a automatizované, aby byly schopné rychle řešit aktuální situaci. Na straně druhé ovšem vyžadují průběžnou kontrolu a vylaďování, abychom minimalizovali množství falešných poplachů a maximalizovali citlivost.

Na závěr ještě podotýkáme, že systémy SIM nepředstavují kompletní bezpečnostní technologii. Jsou jen její součástí – ovšem součástí čím dále důležitější.