AlienVault USM – vyspělý dohledový systém

Bez nasazení sofistikovaných nástrojů, správného nastavení procesů, odpovědností a eskalací není možné Kybernetické bezpečnostní incidenty rozpoznat, natož jim předcházet.

Pro kvalitní bezpečnostní dohled je zásadní, jak v něm dochází ke sběru, ukládání a následné retenci nasbíraných dat. U některých auditních záznamů může být požadováno, aby byly archivovány v souladu s politikou uchovávání záznamů nebo vzhledem k požadavkům na shromažďování a uchovávání důkazů, dle platné legislativy pro případnou pozdější analýzu forenzního charakteru.

Úrovně dohledového systému

Organizace a správa těchto záznamů je řešena systémem LogManagemetu. Samotný LogManagement však nenaplňuje požadavky kladené na vyspělé dohledové systémy. Nedokáže záznamy kumulovat a následnou korelací identifikovat kybernetické bezpečnostní události a incidenty.

Součástí vyspělejších dohledových systémů tak bývá SIEM – Security Information and Event Management. Díky němu se z preventivních nástrojů, jako je NGFW, AV, WAF, stávají prostředky detekčního charakteru, které posunují kybernetickou bezpečnost společnosti z fáze „věřím prevenci“ do fáze „vidím, co se děje“.

Ty nejvyspělejší dohledové systémy jsou pak doplněny o procesy spojené s detekcí, eskalací a řešením identifikovaných Kybernetických bezpečnostních událostí a incidentů, a to ve shodě s platnou legislativou. A to je přesná charakteristika řešení produktu AlienVault Unified Security Manager (USM).

AlienVault USM – „Mám to pod kontrolou“

Alien Vault USM využívá rozšířených detekčních mechanismů, které pracují i s informacemi z dalších oblastí bezpečnosti. Jedná se o informace z oblasti „správy aktiv“ (Asset Managementu), „správy zranitelností“ (Vulnerability Assessmentu) a také „monitoringu chování“ (Behavioral Monitoring).

Odlišný je také přístup k tzv. „Threat Intelligence“, která stojí na pozadí více než 2 500 korelačních pravidel. Ty pocházejí z AlienVault Labs a jsou každým updatem systému rozšiřovány.

USM také disponuje platformou výměny bezpečnostních dat formou komunitního charakteru – OTX (Open Threat eXchange). V praxi to znamená možnost využívat dalších korelací a pravidel, které již před vámi někdo z komunity otestoval a aplikoval.

Jak to funguje?

Jako první krok je nutné společně identifikovat tzv. technická aktiva, neboli komponenty, které budou vlastním předmětem bezpečnostního dohledu. Technická aktiva jsou jednou z forem „podpůrných aktiv“ a jejich kompromitace může mít za důsledek ohrožení aktiv primárního charakteru a narušení kontinuity podnikání. Pokud dosud neexistuje analýza dopadů a rizik v organizaci, nabízíme zákazníkům službu zavedení Řízení bezpečnosti informací (ISMS).

Následně je nutné pro vybraná technická aktiva přiřadit preventivní nástroje, které mají za úkol eliminovat pravděpodobnost, že hrozba bude moci působit na slabá a zranitelná místa v organizaci. Preventivní nástroje ukládají všechny informace o svém stavu a provozu do logů případně tzv. flow. 

Získané informace jsou doplněny dalšími detekčními mechanismy v rámci produktu AlienVault USM, především o data z oblastí správy zranitelností, správy aktiv a analýzy chování sítě. Všechny sbírané informace jsou pak v reálném čase vyhodnocovány pomocí korelačních pravidel SIEM modulu AlienVault USM a porovnávány s globální databází hrozeb (Threat Inteligence) vedenou a aktualizovanou týmem AlienVault LABS.

Výsledkem této strojové analýzy dat jsou, na základě real-time počítaného bezpečnostního score, definovány Kybernetické bezpečnostní události (KBU) a v případě, že počítané score překročí kritickou hranici, jsou automaticky vygenerovány také Kybernetické bezpečnostní incidenty (KBI).