Gdy ponad dziesięć lat temu na rynku pojawiły się pierwsze narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa (ang. SIEM), wielu praktyków uznało połączenie tych funkcjonalności za przełomowe. Od tego czasu technologia ta przeszła wiele iteracji dążących do ulepszenia i udoskonalenia jej możliwości. Na przykład dodania analizy zachowań użytkowników (ang. UBA), możliwości uczenia maszynowego i sztucznej inteligencji oraz gotowych konfiguracji „out-of-the-box” dla mniejszych organizacji.
Pomimo tych postępów – oraz faktu, że SIEM jest podstawą bezpieczeństwa dla niezliczonych centrów operacyjnych (ang. SOC) dużych przedsiębiorstw – rola SIEM w zarządzaniu bezpieczeństwem może okazać się skomplikowana ze względu na szum i ilość generowanych informacji. W rezultacie wielu specjalistów i analityków może znaleźć się w sprzeczności ze swoim narzędziem SIEM. Po zainwestowaniu dużej ilości czasu, pieniędzy i zasobów we wdrożenie i optymalizację SIEM, zespoły ds. bezpieczeństwa spodziewają się znacznych ulepszeń i zwiększonej wydajności, jednak ich oczekiwania nie zawsze się spełniają.
W miarę dynamicznego wzrostu wykorzystania infrastruktury chmurowej starsze rozwiązania SIEM nie są wystarczające, jeśli chodzi o bezpieczeństwo chmury. Głównie dlatego, że ponad połowa organizacji korzystających z chmury korzysta z wielu różnych dostawców tych usług lub z wielu różnych domen/dzierżaw. Według ankiety przeprowadzonej w 2023 r. przez dostawcę SIEM na temat wartości, jaką organizacje dostrzegają w swoich rozwiązaniach SIEM, mogą one powodować niejednolite pokrycie infrastruktury i fałszywe alarmy, a jednocześnie nie są funkcjonalne i zwiększają koszty.
Podmioty zagrażające w dalszym ciągu obierają za cel chmurę jako wektor ataku. W ciągu ostatniego półtora roku prawie 80% firm doświadczyło naruszenia bezpieczeństwa danych w chmurze.
Zanim zaczniemy zastanawiać się, w jaki sposób organizacje mogą osiągnąć lepsze bezpieczeństwo w chmurze, ważne jest, aby spojrzeć na SIEM całościowo i zobaczyć, gdzie wygrywa, a gdzie rozczarowuje, jeśli chodzi o aplikacje SaaS.
Korzyści z zastosowania platformy typu SIEM
Przypomnijmy jeszcze raz, że SIEM ma wiele zalet, a główną z nich jest model „zrób to sam”, który pozwala dużym przedsiębiorstwom na pełną kontrolę nad ustawieniami, strategiami i alertami w SOC.
Inne zalety to:
- Kontrola – SIEM jest z założenia otwarty, co pozwala wewnętrznym zespołom na dostrojenie narzędzia według potrzeb.
- Monitorowanie i widoczność – SIEM monitoruje wiele aspektów środowiska, zapewniając zespołom wgląd w ich aplikacje w czasie rzeczywistym.
- Wykrywanie zagrożeń – możliwości tworzenia reguł w SIEM pozwalają zespołom określić normalne zachowanie, co pozwala wykryć zachowanie anormalne.
- Zgodność – SIEM może spełniać typowe raporty dotyczące zgodności z powszechnymi przepisami.
Wszystkie te zalety sprawiają, że SIEM jest atrakcyjnym narzędziem dla organizacji, które chcą usprawnić monitorowanie, spełnić wymagania w zakresie zgodności i reagować na zagrożenia, zanim przerodzą się one w naruszenie bezpieczeństwa danych. Jednak podobnie jak wiele narzędzi, te same możliwości, które czynią SIEM użytecznym, mogą również powodować problemy dla zarządzających nim zespołów.
Minusy narzędzi SIEM
Teoretycznie automatyzacja gromadzenia, agregowania i analizy danych ze wszystkich narzędzi bezpieczeństwa brzmi jak marzenie każdego analityka. Ponieważ jednak SIEM jest z założenia otwarty, konieczność wzięcia na siebie ciężaru wewnętrznej konfiguracji i konserwacji każdego aspektu narzędzia może spowodować niedobór zasobów, prowadzący do błędnych konfiguracji, zmęczenia alertami i innych problemów, które mogą bardziej utrudniać bezpieczeństwo niż je wzmacniać.
Wady SIEM to między innymi:
- Długi czas wdrożenia – pełne wdrożenie SIEM może zająć inżynierom od kilku miesięcy do roku, co często nie obejmuje czasu potrzebnego na skonfigurowanie SIEM pod kątem wyszukiwania określonych korelacji w środowisku.
- Stałe potrzeby konserwacji – środowiska bezpieczeństwa są dynamiczne, co oznacza, że SIEM będzie wymagał spójnych rekonfiguracji i dostosowań w oparciu o nowe informacje o zagrożeniach, dane lub zmiany operacyjne.
- Alerty fałszywie pozytywne – bez prawidłowych korelacji SIEM będzie generował fałszywe alarmy, co zajmie cenny czas i utrudni widoczność oraz reakcję na incydenty.
- Niezbędny personel – SIEM to tylko narzędzie, co oznacza, że jest tak skuteczne, jak zespół, który je obsługuje. Biorąc pod uwagę lukę w umiejętnościach w zakresie bezpieczeństwa i zwiększone koszty zatrudniania specjalistów ds. bezpieczeństwa, obsadzenie SIEM ludźmi może być poważnym wyzwaniem dla wielu organizacji.
Ilość alertów – biorąc pod uwagę ryzyko zmian środowiskowych i błędnych konfiguracji, alerty generowane przez SIEM mogą z łatwością przytłoczyć zespół ds. bezpieczeństwa, prowadząc do przeoczenia krytycznych incydentów i zmęczenia alertami o niskim priorytecie.
Wspomniane poważne wady mogą skłonić organizację do ponownego zastanowienia się, czy SIEM jest dla niej właściwym rozwiązaniem, zwłaszcza że na rynku pojawiły się bardziej usprawnione, zarządzane rozwiązania, takie jak zarządzane wykrywanie i reagowanie (ang. MDR) oraz rozszerzone wykrywanie i reagowanie (ang. XDR).
Biorąc pod uwagę naturę SIEM, jedno jest jasne: nie jest to właściwe rozwiązanie dla bezpieczeństwa SaaS w rozległych organizacjach.
Dlaczego SIEM nie zadziała dobrze dla bezpieczeństwa SaaS?
Wraz z wprowadzeniem SaaS (Software as a Service) i innych ofert w chmurze, integracja i zarządzanie platformą SIEM staje się znacznie bardziej skomplikowane. Chmura nie tylko dodaje wiele nowych źródeł logów, lecz także większość polityk bezpieczeństwa różni się od środowiska opartego na sprzęcie.
Technologia SIEM została pierwotnie stworzona dla lokalnej architektury bezpieczeństwa, w której obwód sieci jest dobrze zdefiniowany. Lokalne konfiguracje SIEM nie są przeznaczone dla środowisk chmury hybrydowej, w których granice są zamazane, gdy użytkownicy uzyskują dostęp do aplikacji SaaS z dowolnego miejsca i na wielu urządzeniach.
Jednym z największych problemów związanych z pozyskiwaniem logów chmury do SIEM są generowane dodatkowe, potencjalnie ogromne ilości danych. Tradycyjny SIEM nie został zbudowany, aby nadążać za takim ładunkiem informacji.
SIEM nie jest również wystarczająco elastyczny w przypadku usług w chmurze, takich jak mikrousługi, ponieważ w lokalnym środowisku sprzętowym reguły opierały się zazwyczaj na znanych problemach. Inaczej jest w przypadku chmury, gdzie zagrożenia szybciej ewoluują.
W wyniku tej złożoności wiele organizacji po prostu rezygnuje z pomysłu wykorzystania SIEM w celu uzyskania wglądu w swoją infrastrukturę chmurową. Stwarza to dodatkowe ryzyko, ponieważ dostawcy usług w chmurze nie ponoszą odpowiedzialności za bezpieczeństwo Twoich zasobów, które przetrzymujesz i udostępniasz.
Są jednak SIEM oparte na SaaS, zaprojektowane wyłącznie dla środowiska chmurowego. Stają się coraz bardziej powszechne. Mają również swoje wady, w tym możliwe awarie, problemy z dostępnością, błędną konfiguracją, problemy z dostawcami, kumulację kosztów i problemy z kontrolą. Niezależnie od tego, czy działa lokalnie czy w chmurze, SIEM nadal potrzebuje personelu i wiedzy specjalistycznej, aby funkcjonować.
Aby prawidłowo utrzymywać SIEM w chmurze, organizacja będzie musiała:
- stale aktualizować SIEM, aby chronić przed nowymi lukami w chmurze,
- wdrożyć solidne strategie bezpieczeństwa tożsamości, ponieważ wielu, jeśli nie wszyscy użytkownicy logują się do różnych aplikacji SaaS w organizacji,
- stosować segmentację sieci i kontrolę dostępu,
- ciągle monitorować SIEM pod kątem potencjalnych problemów z dostępnością i konfiguracją.
To wszystko oprócz pracy związanej z konfiguracją i utrzymaniem SIEM na potrzeby bezpieczeństwa, rejestrowania i zgodności, a także migracją lokalnych systemów i danych do SIEM opartego na chmurze. Jest to dużo pracy, której procesowanie samo w sobie może narazić środowisko na problemy z bezpieczeństwem i zgodnością.