Bezpieczeństwo IT

Skąd wiadomo, co dzieje się w sieci? SIEM i analiza logów

Miłosz Rowiński - Security Operations Center L1
Miłosz Rowiński
Security Operations Center L1

Powiązane usługi

Tagi

Zagrożenia cybernetyczne stały się codziennością. Z tego powodu w organizacjach istnieje pilna potrzeba budowy skutecznych strategii ciągłego monitorowania i reagowania na potencjalne incydenty. Jednym z istotnych aspektów funkcjonowania systemu szybkiego reagowania przez SOC jest integracja wszystkich urządzeń w infrastrukturze danej organizacji z rozwiązaniem gromadzącym spływające z nich dane (SIEM), by mogły być monitorowane. Analiza logów, które z nich spływają, stanowi bazę, na której można budować kompleksowy system detekcji i reakcji.

Jakie urządzenia podlegają monitorowaniu? Dlaczego są one tak istotne oraz jakie korzyści daje analiza logów? Poniżej znajdziecie informacje na temat różnych aspektów monitorowania urządzeń przez systemy SIEM/SOAR w SOC.

Rodzaje urządzeń monitorowanych przez system SIEM

Skuteczne działanie SOC, czy to budowanego we własnych strukturach, czy działającego w ramach usług outsourcingu, jest uzależnione od monitorowania urządzeń i innych źródeł danych w czasie rzeczywistym. Kluczowe rodzaje urządzeń podlegających monitorowaniu w SIEM to:

  • Serwery, które stanowią serce infrastruktury organizacji, przechowując ogromne ilości danych. Ich monitorowanie jest kluczowe dla szybkiego wykrywania ewentualnych naruszeń bezpieczeństwa, jak ataki typu DDoS.
  • Routery i firewalle odpowiedzialne za kontrolę ruchu sieciowego. Monitorowanie ich działań pozwala zidentyfikować nieautoryzowane próby dostępu i chronić sieć przed niebezpieczeństwami.
  • Komputery osobiste, laptopy i inne urządzenia końcowe, które są często punktami ataku, dlatego tak ważne jest zabezpieczenie ich rozwiązaniami typu endpoint protection. Monitorowanie ich aktywności pozwala szybko reagować na ewentualne próby naruszenia zabezpieczeń i przedostania się do sieci organizacji tym kanałem.
  • logowania do systemu przy użyciu Active Directory również są monitorowane przez SOC, identyfikując wszelkie nieautoryzowane próby dostępu. W przypadku podejrzanej aktywności, reaguje odpowiednio, zabezpieczając system przed potencjalnym naruszeniem.
  • Przez monitorowanie switchy w systemie SIEM gromadzone są logi na temat aktywności w sieci, co pozwala identyfikować podejrzane wzorce ruchu oraz reagować na ewentualne incydenty bezpieczeństwa. Dzięki temu SOC może skuteczniej chronić sieć przed atakami, kontrolować dostęp do zasobów sieciowych oraz monitorować komunikację między różnymi segmentami sieci.

Protokoły i standardy reakcji na podatności

Efektywne monitorowanie urządzeń w SOC wymaga skutecznych protokołów i standardów, które umożliwiają zbieranie, analizę i reakcję na dane z różnych źródeł. Oto główne protokoły i standardy stosowane w SOC, które umożliwiają skoordynowane działania w celu utrzymania bezpieczeństwa organizacji:

  • SNMP (ang. Simple Network Management Protocol) jest protokołem umożliwiającym monitorowanie i zarządzanie urządzeniami sieciowymi. W SOC jest szeroko stosowany do zbierania informacji o stanie urządzeń, ich wydajności i zabezpieczeń.
  • Protokół Syslog jest powszechnie używany do zbierania, przesyłania i archiwizacji logów z różnych urządzeń. W SOC umożliwia analizę zdarzeń bezpieczeństwa i identyfikację potencjalnych incydentów.
  • NetFlow to protokół umożliwiający zbieranie informacji na temat ruchu sieciowego. W SOC jest wykorzystywany do analizy przepływów danych, zidentyfikowanych anomaliach i detekcji ataków.
  • SIEM (ang. Security Information and Event Management) to kompleksowy system, który integruje dane z różnych źródeł, w tym logów, alarmów i zdarzeń bezpieczeństwa. Działa na zasadzie analizy i korelacji danych, umożliwiając szybką reakcję na potencjalne zagrożenia.
  • ISO/IEC 27001 to standard zarządzania bezpieczeństwem informacji. W SOC pełni rolę ramy referencyjnej, która pomaga w utrzymaniu skutecznych praktyk bezpieczeństwa na poziomie organizacyjnym.
  • IDS (ang. Intrusion Detection System) analizuje ruch sieciowy w poszukiwaniu nieprawidłowości, anomalii czy podejrzanych wzorców, które mogą wskazywać na potencjalne zagrożenia. IPS (ang. Intrusion Prevention System) natomiast działa w oparciu o reguły, które definiują konkretne sytuacje wymagające reakcji.

Przykłady reakcji SOC na incydenty zidentyfikowane podczas monitoringu

Aby zobrazować skuteczność monitorowania urządzeń w SOC, opisane zostaną kilka realnych sytuacji, w których proces ten odegrał kluczową rolę w zabezpieczaniu organizacji przed zagrożeniami cybernetycznymi:

Atak DDoS

SOC otrzymał alarmy dotyczące znacznego wzrostu ruchu sieciowego na jednym z serwerów. Dzięki analizie danych z urządzeń sieciowych, w tym firewallów i systemów IPS, udało się zidentyfikować i zneutralizować atak typu DDoS, zapewniając ciągłość działania usług organizacji.

Nieautoryzowany dostęp do sieci

System IDS/IPS w SOC wykrył próbę nieautoryzowanego dostępu do sieci. Dzięki zintegrowanym narzędziom SIEM i analizie logów z różnych źródeł, udało się zidentyfikować atak, zatrzymać go na wczesnym etapie i przeprowadzić odpowiednie działania reakcyjne.

Systemy SIEM posiadają funkcję uczenia maszynowego. Jeśli jakiś incydent powtarza się i regularnie jest uznawany za false positive, to po kilku wystąpieniach przestaje być identyfikowany jako zagrożenie. Może to być przydatne np. w sytuacjach, kiedy użytkownicy systemów logują się o nietypowych porach – np. dyrektor sprzedaży pracujący w CRM o 2 nad ranem. Jak pokazuje życie – takie sytuacje również się zdarzają. Jeśli taki incydent zostaje zweryfikowany kilka razy jako zdarzenie niezagrażające bezpieczeństwu ekosystemu IT organizacji, system przestaje identyfikować je w takich kategoriach.

SOC staje się nieodłącznym elementem systemu cyberbezpieczeństwa. Stróżem, czuwającym nad integralnością i funkcjonalnością organizacji. Proces monitorowania różnorodnych urządzeń, analizy danych i szybkiej reakcji na potencjalne zagrożenia są nie tylko technologicznymi aspektami, ale fundamentem bezpiecznej cyberprzyszłości. Wdrażając te praktyki organizacje nie tylko chronią swoje aktywa, ale także kształtują pewną przyszłość w erze, gdzie bezpieczeństwo cybernetyczne jest nieodłącznym elementem koniecznym do zapewnienia, aby funkcjonowanie organizacji było możliwe.

Więcej o cyberzagrożeniach

Jutro w Krakowie bardzo ważne wydarzenie poświęcone cyberbezpieczeństwu w Europie @CYBERSECEU
Nasz zespół zaprasza na stoisko W27, gdzie służymy naszą wiedzą i doświadczeniem w zakresie budowy odporności cybernetycznej organizacji przez cały czas wydarzenia

💬Zagrożenia w cyberprzestrzeni są zróżnicowane. Mogą obejmować zarówno próby blokowania dostępu do usług, jak i działania obcych służb specjalnych, których celem jest destabilizacja, dezinformacja oraz kradzież informacji - powiedział @PawelOlszewski w @radiopik.

Około godziny 15:00 Telewizja Polska odnotowała atak DDOS przeprowadzony z adresów IP zlokalizowanych na terenie Polski. Po niecałej minucie zaczęliśmy działania przy współpracy z operatorami krajowymi, które doprowadziły do mitygacji ataku. Służby IT przywróciły usługi.

⚠️ Krytyczna luka w Outlooku. Po otwarciu maila atakujący ma możliwość wykonania poleceń na komputerze użytkownika. Jest to podatność typu zero-click, niewymagająca od użytkownika interakcji z treścią złośliwej wiadomości, co czyni ją niezwykle niebezpieczną. ⬇️

Rosyjska grupa hakerska odpowiada za atak na Uniwersytet Zielonogórski i rozgłośnię Radia Zachód. Poinformowała dziś prokuratura okręgowa w Zielonej Górze, która prowadzi śledztwo w tej sprawie. Do zdarzenia doszło na początku roku.

Wczytaj więcej
Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami!

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.

Powiązane tematy

Powiązane usługi