integracija pam in siemKako PAM in SIEM ter povezovanje z ostalimi varnostnimi orodji (npr. SAO – Security Automation and Orchestration) izboljša varnost vašega celotnega komunikacijsko-informacijskega sistema?

 

Eden izmed načinov je, da sistema PAM in SIEM povežete, kar je lahko podlaga za izdelavo celostne slike poteka komunikacije privilegiranih uporabnikov na podlagi odstopanj od običajnih vzorcev obnašanja omenjenih uporabnikov.

 

Razlika med PAM in SIEM

SIEM (Security Information and Event Management) oz. sistem za upravljanje varnostnih informacij in dogodkov, je programska oprema za zaznavanje in prepoznavanje varnostnih groženj v realnem času. Deluje po principu koncentratorja dnevniških zapisov iz večjega števila mrežnih naprav (stikal, požarnih pregrad, sistemov PAM…), na podlagi katerih lahko med povsem nepovezanimi dogodki ustvari korelacije, ki bi jih s človeškimi viri zelo težko opazili. Predvsem zaradi ogromne količine dnevniških zapisov porazdeljenih na več različnih sistemih. SIEM kot tak že v osnovi beleži dogodke in akcije, ki jih je posamezni uporabnik izvajal ter na podlagi vzorcev prometa, ki odstopajo od običajnih, določi, ali gre za varnostno grožnjo, ali ne.

 

Njegova glavna pomanjkljivost je, da nadzorniku/varnostnemu inženirju ne poda konkretnih podatkov in podrobnosti o dejanjih uporabnika. Ob nepravilnih nastavitvah pa so podatki, ki jih generira, neuporabni (preveliko število generiranih poročil oz. varnostnih incidentov). Torej pogoj, da nam bo integracija obeh sistemov koristila, je, da je sistem SIEM pravilno in smiselno zastavljen.

 

Ko sistem SIEM ustvari varnostno opozorilo, v obdelavo celotnega poteka vključimo sisteme PAM, ki se v tej povezavi uporabijo kot »lupa« za prikaz podrobnosti varnostnega opozorila, generiranega s strani sistema SIEM. Varnostni inženir je na ta način takoj obveščen, kdo in do katerega sistema je dostopal, PAM pa mu zagotavlja video zapis posnete seje z vsemi podrobnostmi, ki jih je privilegirani uporabnik izvajal.

 

Integracija PAM in SIEM

Navajam 10 korakov, ki jih je dobro upoštevati, če želite, da bo integracija sistemov PAM in SIEM dosegla vaša pričakovanja:

 

  • Pripravite uporabno in razumljivo varnostno politiko na podlagi poslovnih zahtev in zahtev po skladnosti z veljavno zakonodajo.
  • Zagotovite, da so vsi zaposleni in zunanji izvajalci seznanjeni in da razumejo izdelano varnostni politiko.
  • Uveljavite varnostne politike.
  • Uporabite politiko, ki temelji na principu POLP (Principle of Least Privilege). Uporabnik ima z vidika dostopa do informacijskega sistema samo toliko pravic, kot je potrebno, da lahko opravlja svoje delo.
  • Uporabite proces potrjevanja dostopov do sistemov ter s tem zagotovite, da do sistemov dostopajo samo pooblaščene osebe.
  • Spremljajte in nadzorujte vse seje povezave s privilegiranimi uporabniki in s kritičnimi informacijskimi sistemi.
  • Vse uporabnike, ki se povezujejo na sisteme, obvestite, da se njihove seje snemajo in nadzorujejo.
  • Izvajajte sistematične preglede povezovanja na kritične sisteme z uporabo SIEM-a.
  • V primeru opozorila o nevarnosti s strani SIEM-a, z uporabo PAM sistema določite, ali gre za resnično nevarnost, ali zgolj za napako s strani uporabnika.
  • Iz vsakega obdelanega varnostnega poročila se učite ter na podlagi tega naredite izboljšave v varnostni politiki.

 

Več o sistemih PAM (Privileged Access Management) si lahko preberete v mojem zapisu Zakaj je upravljanje privilegiranih dostopov potrebno?

 

Pomemben podatek pri vpeljavi omenjenih dveh rešitev in njunem medsebojnem povezovanju je, da gre za povsem pasivna sistema, ki ne posegata v delovanje mrežne infrastrukture in kot taka ne predstavljata težav pri vpeljavi v že obstoječe informacijske sisteme. Namenjena sta (zgolj) spremljanju in beleženju dogodkov in obveščanju administratorja ob morebitnih ugotovljenih grožnjah.

 

Integracija varnostnih sistemov je ključ do obrambe vaše organizacije pred različnimi vrstami napadov, saj poveča vaše varnostne sposobnosti in pohitri način obvladovanja kritičnih opozoril. Potrebujete nasvet, kako učinkovito in uspešno ustaviti napadalce? Kontaktirajte nas in z veseljem se oglasimo pri vas.

 

Prispevek je pripravil Matevž Kuhelj.