În ultimile 3-4 luni mi-am format impresia că decizia de achiziție a unui SIEM de către unele organizații de la noi are la bază alte criterii decît nevoile reale.

Ce înseamnă SIEM?

Din punct de vedere teoretic, SIEM este un termen ce combină software și hardware  dedicat  pentru:

• security information management (SIM): management jurnale, analiză și raportare pentru conformitate
• security event management (SEM): monitorizare în timp real, management incidente de securitate generate de evenimente de securitate.

La ce servește un SIEM?

O organizație va folosi tehnolgia SIEM pentru:

• managementul ameninărilor la adresa securității: monitorizare în timp real și raportare cu capabilități de interogare ad hoc cu privire la activitățile utilizatorilor, accesul la date din bazele de date, activitatea aplicațiilor  etc
• conformitate — managementul logurilor și raportare conform cerințelor de conformitate impuse de acte normative

(S-ar putea adăuga aici și capacitatea de agregare și corelare a evenimentelor și fluxurilor. Teoretic însă, acest aspect ține de capacitatea de analiză și se încadrează la primul punct, aspect care există la nivelul majorității SIEM-urilor).

Care este primul aspect ce trebuie luat în calcul înainte de achiziție?

Startul deciziei de achiziție este dat de cerințele pentru managementul evenimentelor și raportare. Asta, în teorie, presupune că ar trebui să existe o colaborare între IT și departamentele de audit/conformitate. Există de exemplu o cerință de prezervare a informațiilor în format digital pentru a fi probă în instanță – nonrepudiere? Prevederile internaționale impun:

• SOX – 7 ani
• PCI – 1 an
• GLBA – 6 ani
• EU DR Directive – 2 ani
• Basel II – 7 ani
• HIPAA – 6 sau  7 ani
• NERC – 3 ani
• FISMA – 3 ani.

La noi? Hai să amintesc, de exemplu, de Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal: „Operatorul este obligat sa pastreze fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii.„

 

Cu ce se continuă?

Dacă aceste cerințe au fost identificate se trece la:

• estimarea ratelor de apariție a evenimentelor. Licențierea soluțiilor SIEM se face per EPS (events per second) sau per appliance per EPS, în funcție de producător.
• perioada de timp de stocare a datelor. În funcție de asta și de calculul anterior se va cunoaște dimensiunea unităților de stocare de care este nevoie.

Se impune o mențiune aici. Există Normal EPS și  Peak EPS. Ultimul termen este teoretic pentru că este puțin probabil ca o organizație să își fi măsurat evenimentele și să le clasifice în timpul unui atac. Chiar dacă nici un producător de soluții SIEM nu își descrie capabilitățile prin prisma peak EPS, organizația ar trebuie să estimeze și această valoare pentru că ajută la luare deciziei finale de achiziție. O estimare greșită a EPS (indiferent dacă este în plus sau în minus) înseamnă costuri suplimentare!

 

Cum facem?

1. Identificăm sursele de date și numărul acestora: servere, switch-uri, routere, firewall, IDS/IPS, endpoint….Și le grupăm pe tipuri.

2. Pentru fiecare dintre acestea vom estima: EPS în 24 ore sau dimensiunea zilnică a unui jurnal (în MB) sau numărul de înregistrări din BD (presupunînd că o înregistrare are 500bytes). Suma acestora va fi EPS.

3. Se înmulțește fiecare dintre valorile identificate la punctul 2 cu procentul cu care poate crește (de exemplu dimineața cînd se face login vor fi mai multe evenimente. Dacă un eveniment are 1 EPS iar în anumite momente poate ajunge la 3 EPS, procentul va fi de 300%). Această valoare este Peak EPS.

4. Pentru calculul necesarului de spațiu de stocare al logurilor  trebuie să știm: cerința inițială de stocare în GB; timpul de retenție exprimat în zile; suma tuturor surselor de date; nr. mediu de bytes per log per sursă de date; nr. mediu de loguri per sursă de date per zi.

Definițiile Gartner sună cam așa:

• implementări mici: < 300 surse de evenimente, <1500 EPS, <800GB spațiu stocare;
• implementare medie:  400-800 surse de evenimente; 2000 – 7000 EPS; 4TB – 8TB spațiu de stocare;
• implementare mare: >900 surse de evenimente;  > 15,000 EPS; >10TB spațiu de stocare.

Pentru implementările mici și medii (small business să le spunem) majoritatea producătorilor de SIEM pun la dispoziție soluții „combo„ sau „all-in-one„ sau „express„. Acestea însă nu sînt capabile să urmărească tranzacțiile de la nivelul BD sau datele transmise prin intermediul aplicațiilor.