Celý rozhovor o nasazení SIEM technologie do organizací pro Hospodářské noviny
Kdy se organizace musí nebo má poohlédnout po vhodném řešení pro správu bezpečnostních informací a událostí?
Ve chvíli, kdy nechce, aby informace o stavu bezpečnosti byly rozdrobeny v jednotlivých technologiích, ale chce získat komplexní pohled na bezpečnostní situaci chráněné infrastruktury. K pořízení SIEMu z našich zkušeností vede i nedostatečné množství lidských zdrojů pro obsluhu jednotlivých technologií a je zde na místě centralizace. Dalším z důvodů k pořízení řešení je potřeba celkového zefektivnění procesu řízení bezpečnostních událostí a incidentů. Důvodů k poohlédnutí je celá řada, v obecné rovině by se organizace měla poohlížet po vhodném řešení v případě, že to s kybernetickou bezpečností myslí vážně a chce ji posunout na vyšší úroveň.
Lze řešení SIEM uplatnit i mimo svět kybernetické bezpečnosti? Mohou přispět také k samotnému provozu IT a jeho efektivnosti?
Ano, SIEM je postavený na informacích, které přijímá od jiných zařízení. Takovým příkladem může být monitoring dostupnosti daných zařízení. Díky SIEM řešení je tak možné efektivně monitorovat jednotlivé prvky námi chráněné infrastruktury a včas reagovat na případné provozní incidenty a zmírnit tak potenciální nežádoucí dopad na organizaci.
Nakolik problematická je integrace řešení SIEM do heterogenních prostředí, v nichž funguje směs starých a nových systémů, včetně cloudových?
Princip integrace je vždy stejný, jen je rozdílně časově náročný. Specifické a časově náročnější jsou zejména atypické, zastaralé či již nepodporované systémy, které do SIEMu mohou posílat informace v nestandardních formátech, kterým SIEM nativně nerozumí. Nejčastěji se jedná o aplikace vytvořené na míru, oproti kterým běžné systémy odesílají „normovaná“ data. Takovéto zdroje informací není však třeba vypínat, rušit či nepoužívat, je zde však nezbytné počítat s vyšší časovou náročností a celkovou složitostí jejich integrace. Máme zkušenosti s vytvářením řešení na míru v podobě speciálně vytvořeného API (Application Programming Interface).
Jaká je realita provozu stávajících řešení SIEM? Využívají podniky plně jejich možností?
Bohužel na českém trhu nejsou plně využity možnosti SIEM řešení. U většiny projektů se setkáváme se situací, kdy byla podceněna analytická fáze. SIEM je sice naimplementovaný, ale nejsou plně využívány veškeré možnosti tohoto nástroje a zpravidla bývá SIEM zahlcený irelevantními informacemi, které přicházejí z připojených zdrojů. V tomto případě nás společnosti kontaktují i po letech provozu s tím, že jim SIEM nevyhovuje. Po analýze problému docházíme nejčastěji k závěru, že byla podceněna zmíněná analytická fáze a přistupujeme k nápravným krokům. Následná spolupráce často pokračuje například v podobě konzultačních nebo servisních služeb.
Nakolik pokročila automatizace nástrojů SIEM? Nakolik vytěžují lidské zdroje a jaké kladou nároky na jejich kvalifikaci?
Automatizace nástrojů pokročila, stále se vyvíjí a vyplatí se ji využívat. SIEM dokáže automatizovat probíhající procesy a předložit důležité informace až do chvíle, kdy je nezbytná akce na straně analytika. Ten musí často zjišťovat související detaily z externích systémů, které z nějakého důvodu nejsou, nebo nemohou být do SIEM řešení napojeny. Procesy se tak zefektivní, ale finální rozhodnutí musí vždy činit kvalifikovaní pracovníci. Vytížení lidských zdrojů tedy s pokroky v automatizaci klesá. Nároky na kvalifikaci však zůstávají stejné. V obecné rovině je možné konstatovat, že s narůstajícím množstvím atypických hrozeb je kvalifikovaný personál klíčovým faktorem úspěchu.
Kdo se v tuzemských organizacích o nastavení a provoz nástrojů SIEM stará? Jaký provozní model české podniky preferují?
Obvykle jsou to bezpečnostní týmy organizací, které mají pod správou kompletní provoz nástroje SIEM. Setkáváme se však také s organizacemi, které nemají kapacity, aby si správu obstaraly vlastními zdroji. Stává se tak trendem, že ji delegují. Na trhu je celá řada modelů včetně našich. Jedná se například o řešení, kde má hardware zákazník, třetí strana implementuje SIEM a stará se o jeho provoz. Případně je SIEM poskytován jako služba. Setkali jsme se však i se situací, kdy zákazník nemá hardware a je mu měsíčně zprostředkován, včetně komplexního servisu až do úrovně vyšetřování bezpečnostních incidentů.
Jaké organizace jsou v tuzemsku typickým uživatelem nástrojů SIEM, které parametry je spojují? Kdo patří mezi potenciální nebo budoucí zákazníky pro SIEM?
Jsou to organizace, které musí naplňovat legislativní požadavky (Zákon o kybernetické bezpečnosti, SWIFT, PCI DSS aj.), nebo chtějí být v souladu s normativními standardy jako například ISO normy a další. Typicky se jedná o banky, pojišťovny a společnosti, které nakládají s enormním množstvím osobních údajů a dat. Výjimkou však nejsou ani menší subjekty, které to myslí s bezpečností vážně a chtějí se jejímu rozvoji kontinuálně věnovat. Ty zpravidla delegují SIEM na nás, čímž ušetří náklady a razantně zvýší svou kybernetickou bezpečnost.
Jaké trendy ovlivňují segment SIEM na poli technologií, a jaké v oblasti trhu, tj. nabídky a poptávky?
Outsourcing je budoucností celé bezpečnosti. SIEM se postupně stává další technologií spadající do segmentu „security as a service“. Pro zákazníka to znamená, že se zbaví vysokých investic do licencí, hardwaru, ale i kvalifikovaných pracovníků, kterých je nedostatek. Vše svěří nám nebo do bezpečnostních center, která sdružují ty nejlepší technologie, kvalifikované pracovníky i obrovské know-how, protože službu poskytují desítkám či stovkám dalších firem na trhu.