W tym artykule, poznasz kompleksowe podejście do tematu monitorowania bezpieczeństwa usług biznesowych oraz infrastruktury krytycznej, a co za tym idzie – podłączania systemów źródłowych do systemu SIEM (ang. Security Information and Event Management System). Co to oznacza?
Podczas planowania polityki monitorowania systemów i usług powinniśmy pamiętać, by obejmowało ono całą ścieżkę przetwarzania informacji. Tylko kompleksowe, wielopoziomowe podejście może odpowiednio wspomóc nas w monitorowaniu i wykrywaniu incydentów.
Oczywiście, żaden system nie zagwarantuje nam 100% bezpieczeństwa. Rozwój zagrożeń jest obecnie tak szybki, że potrafią one ewoluować już z dnia na dzień. Dobrze przemyślane wdrożenie – w szczególności podłączenie właściwych systemów źródłowych (z odpowiednim poziomem logowania zdarzeń) zwiększy prawdopodobieństwo na detekcję niepożądanych zdarzeń. Wyznacznikiem do monitorowania usług są obowiązujące przepisy prawa, normy czy standardy. Należy również pamiętać, że najlepsze praktyki w zakresie wdrożenia polityki bezpieczeństwa w organizacjach, zobowiązują do monitorowania i wykrywania incydentów bezpieczeństwa, jak również ich późniejszej obsługi.
W tym artykule znajdziesz informacje na temat podejścia do podłączania systemów źródłowych z punktu widzenia zespołu planującego wdrożenie monitorowania usługi biznesowej:
Jak przeprowadzić proces podłączenia systemów?
Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?
Proces podłączania systemów źródłowych do systemu SIEM
Załóżmy, że posiadamy już zamkniętą listę usług biznesowych, z podziałem na ich krytyczność, przypisanych właścicieli oraz osoby merytoryczne (czytaj – użytkownicy oraz administratorzy aplikacji). Nasze prace związane z monitorowaniem usługi biznesowej powinniśmy rozpocząć od inwentaryzacji systemów biorących udział w przetwarzaniu informacji przez tą usługę. Zależnie od organizacji, możemy je podzielić zgodnie z poniższą tabelą:
Jest to tylko przykład. Generalnie chodzi o to, abyśmy mieli pełną świadomość, jakie elementy naszej infrastruktury „biorą” udział w przetwarzaniu informacji.
Z punktu widzenia bezpieczeństwa wszystkie elementy (rodzaje systemów) mogą mieć wpływ na działanie takiej usługi. Dlatego istotne jest, aby zbierać/przesyłać zdarzenia do systemu SIEM, ze wszystkich warstw systemu, nie punktowo lub jednowymiarowo. Mając „pod ręką” zdarzenia z różnych systemów mamy możliwość ich korelacji co pozwoli na szybsze wykrycie zdarzenia/incydentu bezpieczeństwa oraz adekwatną reakcję. Jednocześnie należy pamiętać o właściwym zabezpieczeniu tych systemów przed zagrożeniami zewnętrznymi oraz wewnętrznymi (np. regularne aktualizacje, hardening). Niniejszy artykuł nie obejmuje swoim zakresem sposobów zabezpieczenia systemów. Patrząc na powyższą tabelę, łatwo dojść do wniosku, że systemy Infrastrukturalne oraz Bezpieczeństwa należy podłączyć do systemu SIEM, ponieważ należą do części wspólnej dla większości monitorowanych aplikacji (systemów biznesowych). Oczywiście wspominam w tym miejscu o klasycznej infrastrukturze, niewchodzącej w skład infrastruktury OT, która powinna być w jakiś sposób odizolowana.
Zatem, w pierwszej kolejności powinniśmy nasze prace rozpocząć od podłączenia systemów Infrastrukturalnych oraz Bezpieczeństwa. Podłączając każdy system powinniśmy się kierować co najmniej następującymi wytycznymi:
Ustalić z administratorem i skonfigurować właściwy poziom logowania. Właściwy, to znaczy taki, który pozwoli nam stworzyć potrzebne reguły bezpieczeństwa. Można zacząć od standardowych polityk. W kolejnym etapie wdrożenia można zmodyfikować niniejszy zakres.
Przykłady:
– Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;-
– Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa). Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie, czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.
Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;
Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa). Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie, czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.
Połączenia z systemów źródłowych do systemu SIEM i z powrotem, na potrzeby przekazania zdarzeń powinny być szyfrowane przy wykorzystaniu protokołów oraz algorytmów uznanych powszechnie za bezpieczne.
W warstwie transportowej zdarzenia powinny być przesyłane za pomocą protokołu TCP. Zapewni to wyższą niezawodność w transporcie logów do systemu SIEM, niż protokół UDP. Podejmując decyzję wysyłania logów za pomocą protokołu UDP (czytaj – mniejszy narzut ruchu sieciowego), akceptujemy większe ryzyko niedostarczenia pewnej ilości logów, chociażby z powodu krótkiej przerwy w działaniu sieci.
Dla systemów zlokalizowanych w strefach „mniej zaufanych”, np. DMZ, system SIEM powinien być tak skonfigurowany, aby zdarzenia z tych segmentów były pobierane z sieci LAN (czytaj z LAN do DMZ). Nigdy w odwrotną stronę, czyli ruch sieciowy z DMZ do LAN, ponieważ w ten sposób możemy sami ułatwić „ścieżkę” dostępu do systemów zlokalizowanych wewnątrz naszej sieci potencjalnemu atakującemu.
Należy stosować różne, dedykowane konta serwisowe na potrzeby pobierania zdarzeń, z poszczególnych typów systemów. Jeżeli jesteśmy zmuszeni zapisać poświadczenia w pliku w postaci niezaszyfrowanej, należy ograniczyć uprawnienia do niezbędnego minimum.
Przeanalizować logi pod kątem anonimizacji wybranych kategorii zdarzeń. Wiele systemów potrafi zanonimizować wybrane wartości pola w zdarzeniu. Jeżeli istnieje uzasadniona potrzeba „ukrycia” pewnych informacji w myśl zasady minimalizacji przetwarzanych informacji, system SIEM powinien być w ten sposób skonfigurowany. Przykładowymi informacjami, które mogłyby być poddane zanonimizowaniu będą: numery kart kredytowych, dane osobowe, hasła. Wszystko zależy od kontekstu przetwarzanych informacji i potrzeby utworzenia scenariuszy bezpieczeństwa.
Skonfigurować system SIEM w zakresie monitorowania systemów źródłowych pod kątem odbierania logów. Administratorzy systemu powinni być powiadamiani w sytuacji gdy system źródłowy przestał przesyłać zdarzenia.
Posiadając „podłączone” do SIEM-a (skonfigurowane do przekazywania logów) systemy infrastrukturalne oraz bezpieczeństwa, możemy rozpocząć konfigurację podłączeniową systemów aplikacyjnych. Oczywiście proces podłączenia systemu aplikacyjnego zależy od jego możliwości oraz zdolności jakie daje system SIEM.
Ważnym elementem jest rozmowa z osobą z ramienia właściciela systemu. To zazwyczaj użytkownik/administrator ma największą wiedzę w organizacji, zarówno od strony możliwości podłączeniowej aplikacji, ale również, co w systemie można nazwać normalnym zachowaniem, a co anomalią/zdarzeniem/incydentem. Na tej podstawie administrator systemu SIEM powinien wybrać optymalną metodę podłączenia systemu.
W kolejnej fazie wdrożenia, analityk we współpracy z administratorem i/lub użytkownikiem aplikacji powinni uzgodnić scenariusze bezpieczeństwa.
Kolejnym istotnym elementem naszych czynności powinno być upewnienie się, że systemy bezpieczeństwa służące do wykrywania incydentów (takie jak IPS/IDS, WAF) poddają inspekcji cały ruch sieciowy (czytaj – istnieje potrzeba deszyfracji ruchu) kierowany z/do aplikacji. Tylko w ten sposób możemy przekazać z systemów bezpieczeństwa do systemu SIEM, wszystkie informacje o wykrytych incydentach.
Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?
W początkowej fazie wdrożenia systemu warto wziąć pod uwagę kilka istotnych elementów, które powinny zostać przeanalizowane, następnie wykonane w systemie. Chodzi przede wszystkim o właściwą konfigurację, która zapewni odpowiednie działanie systemu, które przełożyć możemy na główne korzyści funkcjonowania naszego SIEM-a.
Integracja z innymi systemami
Poniższa lista systemów ma charakter przykładowy. Każda organizacja zależnie od potrzeb powinna przeanalizować to indywidualnie i podjąć właściwą decyzję w zakresie integracji. Spora część poniższych zaleceń może wydawać się oczywista. Jednak dosyć często można zauważyć, integrację z systemami z pominięciem pewnych czynności. To właśnie kompleksowe podejście zwiększa bezpieczeństwo naszego systemu/organizacji.
Dla wysyłania powiadomień, potrzebna jest integracja z systemem pocztowym. Do tego celu warto wykorzystać uwierzytelnianie dedykowanym użytkownikiem. Pamiętajmy aby nie pozostawić serwerów tzw. Open Relay (niezabezpieczony serwer przed nieautoryzowanym wykorzystaniem). Ważne jest, aby komunikacja z takim systemem była szyfrowana.
Do uwierzytelniania warto wykorzystać usługę katalogową (np. Active Directory), z zaimplementowanym szyfrowaniem komunikacji.
Synchronizacja czasu to podstawowy element działania każdego systemu, dlatego SIEM powinien być zintegrowany z serwerem czasu w każdej organizacji.
Zależnie od naszej polityki backupu może być konieczna integracja z systemem backupu. Zatem takie wymaganie może wiązać się z instalacją agenta na każdym z systemów operacyjnych naszego SIEM-a. Odnośnie instalacji na wirtualnych hostach, raczej nie powinniśmy mieć większych problemów, ale z instalacją na tzw. fizycznych appliance-ach powinniśmy być ostrożni. Taki „gotowy”, fizyczny appliance, posiada system operacyjny przygotowany przez producenta. Agent backupu może wymagać instalacji dodatkowych pakietów. Pamiętajmy, że podczas procesu aktualizacji SIEM-a, będziemy zmuszeni przeanalizować tą zależność, aby nie mieć problemów z przeprowadzeniem aktualizacji systemu. Może być potrzeba podmontowania dodatkowego repozytorium, z którego system będzie musiał pobrać nowsze wersje pakietów dla agenta backup. Inne rozwiązanie to odinstalowanie wcześniej zainstalowanych dodatkowych pakietów, aktualizacja systemu i finalnie zainstalowanie nowych pakietów agenta.
Posiadając system Help Desk, który pełni rolę systemu zgłoszeń/incydentów, warto wykonać integrację z systemem SIEM, który przekaże informacje w zakresie wystąpienia określonego incydentu. Niniejsza integracja pozwoli nam zautomatyzować pewną część procesu zarządzania incydentami (np. zgłoszenie będzie utworzone w trybie automatycznym oraz przydzielone właściwej grupie na 1. linii wsparcia).
Wiele organizacji integruje swoje SIEM-y z platformami, które dostarczają informacje na temat wskaźników włamań tzw. IOC (ang. Indicator of compromise). Systematycznie aktualizowane i pobierane przez system SIEM, są porównywane z wartościami tej samej kategorii, znajdujących się w zdarzeniach z systemów źródłowych. W ten sposób można znaleźć np. potwierdzenie komunikacji hosta z naszej sieci, który komunikował się z adresem sklasyfikowanym jako „niebezpieczny”.
Retencja przechowywanych zdarzeń bezpieczeństwa
Długość okresu przechowywania zdarzeń bezpieczeństwa powinien zależeć przede wszystkich od wymagań prawnych oraz do jakich zadań wykorzystujemy nasze logi. Wyjaśniając: możemy podzielić zdarzenia przetwarzane w systemie SIEM na co najmniej dwie kategorie (bieżące – to te które wyzwalają nam nowe incydenty, archiwalne – to zdarzenia, które wykorzystujemy do analizy, weryfikacji, potwierdzenia incydentów/zdarzeń, które wystąpiły jakiś czas temu). Jak się zapewne domyślacie, taki podział generuje nam konkretne wymagania, które powinniśmy uwzględnić.
Dla zdarzeń bieżących proponuję maksymalnie 1 miesiąc przechowywanych zdarzeń. Nic nie stoi na przeszkodzie aby było to również 14 dni. Tego typu logi powinny być przechowywane na szybszych dyskach (np. SSD), ze względu na potrzebę szybkiego dostępu do danych oraz jak najszybszą potrzebę przetwarzania danych, finalnie utworzenia właściwych incydentów. Przydzielając zasoby dyskowe, powinniśmy odpowiedzieć na kluczowe pytanie: W jakim okresie czasowym będziemy potrzebowali przeszukiwać tego typu zdarzenia według przyjętych kryteriów?
Dla zdarzeń archiwalnych zalecane są wolniejsze dyski, ponieważ nie potrzebujemy aż tak szybkiego dostępu do wyników wyszukiwania. Akceptujemy dłuższy okres oczekiwania na rezultaty przeszukiwania logów. Rozmiar przestrzeni powinniśmy określać przede wszystkim w oparciu o obowiązujące przepisy prawa. Bardzo często, wiele organizacji jest zobligowanych do przechowywania zdarzeń ze względu np. na potrzebę rozliczalności użytkowników lub potwierdzenia komunikacji z adresami zidentyfikowanymi jako niebezpieczne.
Spora część rozwiązań daje możliwość ustawienia retencji zależnie od rodzaju logów. Załóżmy, że zdarzenia z Firewall-i, z jakiegoś powodu musimy przechowywać 2 lata, a zdarzenia z systemów operacyjnych 1 rok.
Wykorzystanie najlepszych baz wiedzy na potrzeby stworzenia scenariuszy bezpieczeństwa
Aktualnie znaną i polecaną bazą wiedzy w tym zakresie jest MITRE ATT&CK (https://attack.mitre.org/), która bazuje na najlepszej wiedzy i doświadczeniu ekspertów bezpieczeństwa. Podstawą wyżej wymienionego framework-u są tzw. taktyki oraz techniki. Zależnie od stosowanej technologii mamy możliwość szybkiego zapoznania się z atakami oraz zaleceniami ochrony przed nimi. W odniesieniu do szczegółowych informacji publikowanych w MITRE ATTA&CK, można utworzyć bardzo dużo scenariuszy, które znacząco podniosą dojrzałość organizacji w zakresie wykrywania incydentów bezpieczeństwa.
Minimalizacja uprawnień
Bardzo często pomijany element całej układanki. Powinniśmy zadbać o to, aby system albo usługa były uruchamiane i pracowały z uprawnieniami, które wystarczą do prawidłowej pracy. W tym przypadku powinniśmy kierować się zasadą minimalizacji. Jeśli producent wspiera taką konfigurację, to tak należy zrobić, czyli uruchamiać usługi z uprawnieniami dedykowanego użytkownika (nieposiadającego uprawnień administracyjnych). Nie konfigurujmy/uruchamiajmy usług naszego systemu z wykorzystaniem użytkowników typu root/Administrator. W przypadku ataku, wykorzystanie błędu w takiej usłudze o wiele bardziej narazi system na włamanie. Oczywiście tę czynność zazwyczaj wykonujemy na etapie instalacji lub początkowej konfiguracji. Możemy jednak to zrobić, nawet gdy „zastaliśmy” w taki sposób skonfigurowany system.
Lokalny Firewall
Po pierwsze, nie wyłączaj lokalnego Firewall-a! Dodawaj reguły tylko dla skonfigurowanych usług na potrzeby prawidłowej pracy systemu. Filtracja ruchu przez lokalny firewall to również ważna kwestia bezpieczeństwa systemu. Nie zapominajmy o tym. W pewnych okolicznościach może się okazać, że to była ostatnia deska ratunku.
Podsumowanie
Temat monitorowania usługi biznesowej to dosyć złożony proces. W mojej ocenie najważniejsze elementy tego procesu to podłączenie właściwych systemów oraz integracja z właściwymi elementami infrastruktury organizacji. Tylko kompleksowe podejście do tematu zapewni nam odpowiedni poziom monitorowania usługi biznesowej za pomocą systemu SIEM. Z punktu widzenia zespołów bezpieczeństwa tego typu system, jest głównym narzędziem w codziennej pracy. Mając zdarzenia bezpieczeństwa w jednym systemie, zespoły wszystkich linii wsparcia mogą czerpać z niego wiele korzyści.
Wychodząc naprzeciw oczekiwaniom naszych Klientów, świadczymy wsparcie na każdym etapie wdrożenia systemów SIEM. Rozpoczynając od planowania samego wdrożenia, kończąc na implementacji scenariuszy bezpieczeństwa oraz integracji z systemami typu SOAR, aby zautomatyzować pewne procesy dla całej organizacji.
Czytaj więcej