AlienVault USM – vyspelý dohľadový systém

Bez nasadenia sofistikovaných nástrojov, správneho nastavenia procesov, zodpovedností a eskalácií nie je možné Kybernetické bezpečnostné incidenty rozpoznať, nie im ešte predchádzať.

Pre kvalitný bezpečnostný dohľad je zásadné, ako v ňom dochádza k zberu, ukladaniu a následnému udržovaniu nazbieraných dát. U auditných záznamov môže byť požadované, aby boli archivované v súlade s politikou uchovávania záznamov, prípadne vzhľadom k požiadavkám na zhromažďovanie a uchovávanie dôkazov podľa platnej legislatívy na prípadnú neskoršiu analýzu forenzného charakteru.

Úrovne dohľadového systému

Organizácia a správa týchto záznamov je riešená systémom LogManagemet. Samotný LogManagement však nenapĺňa požiadavky kladené na vyspelé dohľadové systémy. Nedokáže záznamy kumulovať a následne pomocou korelácie identifikovať kybernetické bezpečnostné udalosti a incidenty.

Súčasťou vyspelejších dohľadových systémov tak býva systém SIEM – Security Information and Event Management. ). Vďaka nemu sa z preventívnych nástrojov, ako sú rôzne firewally a antivíry, stávajú prostriedky detekčného charakteru, ktoré posúvajú kybernetickú bezpečnosť spoločnosti z fáze „verím prevencii“ do fáze „vidím, čo sa deje“.

Tie najvyspelejšie dohľadové systémy sú potom doplnené o procesy spojené s detekciou, eskaláciou a riešením identifikovaných Kybernetických bezpečnostných udalostí a incidentov v zhode s platnou legislatívou. A toto je presná charakteristika riešenia produktu AlienVault Unified Security Manager (USM).

AlienVault USM – „Mám to pod kontrolou“

AlienVault USM využíva rozšírené detekčné mechanizmy, ktoré pracujú aj s informáciami z ďalších oblastí bezpečnosti. Jedná sa o informácie z oblasti správy aktív (Asset Managementu), správy zraniteľností (Vulnerability Assessmentu) a tiež monitoringu správania (Behavioral Monitoring).

Odlišný je aj prístup k tzv. Threat Intelligence, ktorá stojí na pozadí viac ako 2 500 korelačných pravidiel. Tieto pochádzajú z AlienVault Labs a sú každou aktualizáciou systému rozširované.

USM tiež disponuje platformou výmeny bezpečnostných dát komunitnou formou prostredníctvom Open Threat eXchange (OTX). V praxi to znamená možnosť využívať ďalšie korelácie a pravidlá, ktoré už pred vami niekto z komunity otestoval a aplikoval.

Ako to funguje?

Ako prvý krok je nutné spoločne identifikovať tzv. technické aktíva, alebo komponenty, ktoré budú vlastným predmetom bezpečnostného dohľadu. Technické aktíva sú jednou z foriem podporných aktív a ich kompromitácia môže mať za dôsledok ohrozenie aktív primárneho charakteru a narušenie kontinuity podnikania. Pokiaľ doteraz neexistuje analýza dopadov a rizík v organizácii, ponúkame zákazníkom službu zavedenia Riadenia bezpečnosti informácií (ISMS).

Následne je nutné pre vybrané technické aktíva priradiť preventívne nástroje, ktoré majú za úlohu eliminovať pravdepodobnosť, že hrozba bude môcť pôsobiť na slabé a zraniteľné miesta v organizácii. Preventívne nástroje ukladajú všetky informácie o svojom stave a prevádzke do logov prípadne tzv. flow.

Získané informácie sú doplnené ďalšími detekčnými mechanizmami v rámci produktu AlienVault USM, predovšetkým o dáta z oblastí správy zraniteľností, správy aktív a analýzy chovania siete. Všetky zbierané informácie sú potom v reálnom čase vyhodnocované pomocou korelačných pravidiel SIEM modulu AlienVault USM a porovnávané s globálnou databázou hrozieb (Threat Inteligence) vedenou a aktualizovanou tímom AlienVault Labs.

Na základe bezpečnostného skóre, ktoré je vypočítané v reálnom čase pomocou strojovej analýzy dát, sú definované Kybernetické bezpečnostné udalosti (KBU), a v prípade, že počítané skóre prekročí kritickú hranicu, sú automaticky vygenerované tiež Kybernetické bezpečnostné incidenty (KBI).