A SIEM átalakítása felhőszolgáltatásokba való áttéréskor

A SIEM (Security Information and Events Management) szoftvereszközök (Security Information and Events Management) két fő funkciót látnak el: a biztonsági információkezelést (SIM) és az eseménykezelést, amelyek a biztonsághoz kapcsolódnak (biztonsági eseménykezelés - SEM).

felhőszolgáltatásokba

A naplógyűjtő rendszerek (syslog és eseménykezelés) kapcsolódnak a szerverekhez, kapcsolókhoz, tűzfalakhoz és sok más típusú eszközhöz, operációs rendszerhez és alkalmazáshoz. A naplótömbökbe érkező üzenetek különböző formátumúak.

SIEM funkcionalitás

A SIEM főbb funkciói az alábbi listában foglalhatók össze:

1. Gyűjtés - naplóbejegyzések elfogadása távoli platformokról és rögzítés helyi tömbbe, gyűjtőknek és csatlakozóknak nevezett közvetítőkön keresztül.

2. Az összesítéssel kapcsolatos eseményeket összesítik, hogy egy okból elkerüljék az ugyanazon valós eseményről történő ismételt értesítéseket.

3. Névtelenség a titoktartás érdekében - bizonyos eseményeket esetleg elő kell dolgozni annak érdekében, hogy bizonyos információkat ne hozzanak nyilvánosságra.

4. Normalizálás - az üzenetek szövegét egységes formátumban fordítják le.

5. Korreláció - a SIEM által végrehajtott fő funkció, olyan események közötti függőségeket észlel, amelyek biztonsági eseményt képeznek, amelynek eredményeként válaszreakció aktiválódik.

6. Intelligencia és tudás támadásfelismerési mintákkal [6].

7. Válaszkezelés - olyan funkció, amely technikai és szervezési intézkedéseket biztosít egy eseményre reagálva. A tisztviselők eljárásokat és technikai eszközöket hajtanak végre - szkriptek és műveletek, amelyek leállítják a hozzáférést, kikapcsolják a rendszereket, izolálják a hálózati szegmenseket stb.

8. Bővítmények az olyan szabványok betartásának fenntartása érdekében, mint a PCI-DSS vagy a HIPAA.

9. Állapotjelentések [1], [7], amelyeket balesetek kivizsgálása esetén manuálisan generálnak és generálnak, vagy amelyeket automatikus küldésre terveznek.

Naplómegosztás a felhőszolgáltatások bérlői között

A felhőszolgáltatások felhasználói a felhőszolgáltatókkal néznek szembe a naplóhoz való hozzáférés igényével. A folyóiratok olyan érzékeny információkat tartalmaznak, amelyek a szolgáltatási életciklusban érintetteket aggasztják.

A kibertámadás első szakasza a célintelligencia, a magazinok pedig kincsesbányát jelentenek a bűnözők számára. A rendszer naplóihoz való hozzáférés olyan adatokat ad számukra, amelyeket nem tudnak felfedni a hálózat vizsgálatával és az egyes rendszerek átvizsgálásával - felhasználónevek, jelszavak és még sok más.

A naplóbejegyzések felhasználhatók rosszindulatú programokkal vagy elfogadhatatlanul konfigurált biztonsággal fertőzött gépek azonosítására.

Az uralkodó nézet szerint a naplóbejegyzések megosztásának akadályai technikai problémákon, majd társadalmi árnyalatokon alapulnak [8].

Az 1. ábra a felhőalapú ügyfelek érdeklődésének könnyű változatát mutatja a naplófájlokban létrehozott és benne lévő információk iránt. A témával foglalkozó publikációk az újságírás kérdéseivel foglalkoznak a szolgáltatás több bérlőjének együttélésével kapcsolatban, de ritkán kommentálják a naplófájlok bérlők és felhőszolgáltatók közötti megosztását.

A naplóbejegyzések kezelésének folyamata közötti különbségek elemzése azt mutatja, hogy a felhőszolgáltatások különböző modelljeinek alkalmazásakor a szervezeteknek meg kell ismerniük és meg kell különböztetniük a termékeket a SIEM-hez kapcsolódó funkcionalitásuk szempontjából. Az ebből az alkalomból levont következtetéseket az 1. táblázat rendszerezi.

Az ott bemutatott megkülönböztetést Terry Roberts és társszerzőinek publikációja segítette [Error: Reference source not found], ahol egyszóval meghatározzák a szervezetek hozzáállását a felhőszolgáltatások különböző modelljeihez, nevezetesen:

A piacon elérhető a SaaS és a PaaS, amelyek bérelt erőforrásra épülnek. Az SaaS-t kínáló szolgáltató bérelt IaaS-t vagy csak PaaS-t, és erre az erőforrásra építette fel a SaaS-t. A valós kép sokkal bonyolultabb, mivel vannak olyan aggregátoroknak nevezett szolgáltatók, akik sok más különböző DOE-től vettek fel forrásokat. Ennek a helyzetnek a következményeként a szolgáltató naplóiban olyan adatok találhatók a hipervizorban zajló folyamatokról, amelyek minden végfelhasználót érintenek, például:

Műveletek virtuális gépekkel - csomópont másolása, áthelyezése, leállítása a fürtből;

Kiváltságos felhasználók műveletei a hipervizor közepén.

A végfelhasználó rendelkezésére bocsátása érdekében ezeket az adatokat kellően személyteleníteni kell vagy el kell takarni, hogy az ne érintse a többi bérlőt és szállítót.

A PaaS-nek nagy szüksége van a biztonsági megsértések nyilvános és operatív megosztására a platformok között, mivel egy platform megsértésével mindenkit figyelmeztetni kell ugyanabban a környezetben, különösen, ha ugyanazon virtuális gép klónjai, de különböző bérlőkhöz tartoznak.

A naplóbejegyzések megosztása a felhőbérlők és a felhőszolgáltatók között anonimizálást és az adatok szűrését teszi szükségessé. A szolgáltató megtekintheti az egyes felhasználók megtekintését a hipervizor vagy a virtuális gép-kezelő konzol naplóbejegyzéseihez, de ott csak a két fél közötti szerződéses viszonyra vonatkozó adatok láthatók. Például a szolgáltató alkalmazottai közül melyik üzemeltetett SaaS szolgáltatást és látta az adatbázis tartalmát, de anélkül, hogy látta volna, melyik IP-címekről csatlakozott. Hasonló a helyzet a felhőszolgáltatások másik két modelljével.

Egyre nagyobb az igény arra, hogy a SIEM rendszerek több IKT-infrastruktúrát lefedjenek és globális lefedettséget érjenek el. Annak érdekében, hogy a biztonsági megoldások hatékonyak legyenek egy ilyen összetett, nagyszabású, több bérlős és elosztott infrastruktúrában, automatikus mechanizmusokat kell tartalmazniuk az alapvető modulok közötti információáramlás-menedzsment makroszintjének biztosítására, például: különböző megbízhatóságú rétegek között a védtelen végrétegektől a védettebb magig; az egyszintű rétegek között az ellenálló képesség javítását szolgáló mechanizmusok alkalmazásával [7].

Nem számít, milyen szolgáltatási modelleket (SaaS, PaaS és IaaS) használnak a szervezetek, IKT-rendszereik felépítése mindig kombinálódik a helyi hálózatokkal és a felhőalapú számítással.