Korelasi SIEM Plus = Keamanan?

Korelasi SIEM Plus = Keamanan?

pengantar

Baik Anda bekerja dari pendekatan SANS 20 Security Best Practices, atau bekerja dengan auditor untuk kepatuhan SOX atau QSA untuk kepatuhan PCI, Anda akan menerapkan solusi logging.

Menjaga jejak audit dari peristiwa keamanan utama adalah satu-satunya cara untuk memahami seperti apa operasi ‘biasa’ itu. Mengapa ini penting? Karena hanya jika Anda memiliki kejelasan ini, Anda dapat mulai mengidentifikasi aktivitas tidak teratur dan tidak biasa yang dapat menjadi bukti pelanggaran keamanan. Lebih baik lagi, setelah Anda memiliki gambaran tentang bagaimana keadaan seharusnya ketika semuanya normal dan aman, sistem analisis log cerdas, alias SIM atau SIEM, dapat secara otomatis menilai peristiwa, volume peristiwa, dan pola untuk secara cerdas menilai atas nama Anda jika ada potensi sesuatu yang mencurigakan terjadi.

Ancaman Keamanan atau Potensi Peristiwa Keamanan? Hanya dengan Korelasi Acara!

Janji sistem SIEM adalah bahwa setelah Anda menginstal salah satu sistem ini, Anda dapat melanjutkan pekerjaan Anda dan jika terjadi insiden keamanan, itu akan memberi tahu Anda tentang hal itu dan apa yang perlu Anda lakukan untuk menanganinya. dia.

Kumpulan fitur ‘harus dimiliki’ terbaru adalah korelasi, tetapi ini pasti salah satu istilah teknologi yang paling sering digunakan dan disalahgunakan!

Konsepnya sederhana: peristiwa terisolasi yang merupakan insiden keamanan potensial (misalnya, ‘peristiwa Terdeteksi Intrusi IPS’) penting tetapi tidak sepenting melihat urutan peristiwa, semua berkorelasi dengan sesi yang sama, misalnya, Peringatan IPS, diikuti dengan Login yang Gagal, diikuti oleh Login Admin yang Berhasil.

Pada kenyataannya, aturan korelasi yang maju dan benar ini jarang efektif. Kecuali Anda berada dalam situasi jembatan keamanan yang sangat aktif, dengan perusahaan yang terdiri dari ribuan perangkat, operasi satu peristiwa/peringatan tunggal standar akan bekerja cukup baik untuk Anda.

Misalnya, dalam skenario di atas, seharusnya Anda TIDAK memiliki banyak peringatan intrusi dari IPS Anda (jika ya, Anda benar-benar perlu melihat firewall dan pertahanan IPS Anda karena mereka tidak memberikan perlindungan yang cukup) . Demikian juga jika Anda mendapatkan login yang gagal dari pengguna jarak jauh ke perangkat penting, Anda harus mencurahkan waktu dan upaya Anda ke dalam desain jaringan dan konfigurasi firewall yang lebih baik daripada bereksperimen dengan aturan korelasi ‘pintar, pintar’. Ini adalah prinsip KISS* yang diterapkan pada manajemen acara keamanan.

Dengan demikian, ketika Anda mendapatkan salah satu peringatan penting dari IPS, ini seharusnya cukup untuk memulai penyelidikan darurat, daripada menunggu sampai Anda melihat apakah penyusup berhasil memaksa masuk ke salah satu host Anda (dengan waktu sudah terlambat untuk pergi dengan cara apa pun!)

Aturan korelasi disempurnakan – tetapi sistem telah diretas…

Faktanya, pertimbangkan poin terakhir ini lebih lanjut, karena di sinilah praktik terbaik keamanan menyimpang tajam dari nada Manajer Produk SIEM. Semua orang tahu bahwa mencegah lebih baik daripada mengobati, jadi mengapa ada begitu banyak hype seputar kebutuhan akan peristiwa SIEM yang berkorelasi? Tentunya fokusnya harus pada melindungi Aset Informasi kita daripada menerapkan alat yang mahal dan rumit yang mungkin atau mungkin tidak membunyikan alarm ketika sistem sedang diserang?

Praktik Terbaik Keamanan akan memberi tahu Anda bahwa Anda harus menerapkan – secara menyeluruh – dasar-dasarnya. Praktik terbaik keamanan yang paling mudah dan paling tersedia adalah mengeraskan sistem, kemudian mengoperasikan proses manajemen perubahan yang tangguh.

Dengan menghilangkan kerentanan yang diketahui dari sistem Anda (terutama kerentanan berbasis konfigurasi tetapi, tentu saja, kelemahan keamanan terkait perangkat lunak juga melalui patching), Anda menyediakan sistem yang secara fundamental terlindungi dengan baik. Tingkatkan langkah-langkah pertahanan lainnya juga, seperti anti-virus (cacat sebagai sistem pertahanan yang komprehensif, tetapi masih berguna melawan ancaman malware arus utama), firewall dengan IPS, dan tentu saja, semua didukung oleh pemantauan dan pencatatan integritas file waktu-nyata, sehingga jika ada penyusupan, Anda akan segera mengetahuinya.

Kesimpulan

Solusi SIEM kontemporer menawarkan banyak janji sebagai sistem pertahanan keamanan yang cerdas. Namun, pengalaman dan bukti dari peningkatan jumlah pelanggaran keamanan yang berhasil memberi tahu kami bahwa tidak akan pernah ada ‘peluru perak’ untuk mempertahankan infrastruktur TI kami. Alat dan otomatisasi dapat membantu tentu saja, tetapi keamanan asli untuk sistem hanya berasal dari praktik terbaik keamanan pengoperasian dengan kesadaran dan disiplin yang diperlukan untuk mengantisipasi hal yang tidak terduga.

Apakah QSA Anda Membuat Anda Kurang Aman?

pengantar

Sebagian besar organisasi akan beralih ke QSA saat melakukan proyek Kepatuhan PCI. Penilai Keamanan yang Memenuhi Syarat adalah orang yang harus Anda puaskan dengan tindakan dan prosedur keamanan apa pun yang Anda terapkan untuk memenuhi kepatuhan terhadap PCI DSS sehingga masuk akal untuk meminta mereka memberi tahu Anda apa yang perlu Anda lakukan.

Bagi banyak orang, Kepatuhan PCI adalah tentang hanya berurusan dengan PCI DSS dengan cara yang sama mereka akan menangani proyek tenggat waktu lainnya. Kapan bank ingin kita menjadi PCI Compliant dan apa yang perlu kita lakukan sebelum kita diaudit untuk mendapatkan izin?

Bagi banyak orang, di sinilah masalah sering dimulai, karena tentu saja, kepatuhan PCI bukan hanya tentang lulus audit tetapi juga membuat organisasi Anda cukup terorganisir dan sadar akan kebutuhan untuk melindungi data pemegang kartu setiap saat. Klise di kalangan PCI adalah ‘jangan mengambil pendekatan kotak centang untuk kepatuhan’ tetapi itu benar. Berfokus untuk lulus audit adalah tujuan yang nyata, tetapi itu seharusnya hanya menjadi tonggak sepanjang jalan menuju proses dan prosedur internal yang matang untuk mengoperasikan lingkungan yang aman setiap hari sepanjang tahun, tidak hanya untuk menyeret organisasi Anda melalui audit tahunan.

Labirin Moral QSA

Namun, bagi banyak orang, QSA dipekerjakan untuk ‘membuat PCI pergi’ dan ini terkadang dapat menimbulkan dilema. QSA berada dalam bisnis dan perlu bersaing untuk mendapatkan pekerjaan seperti usaha komersial lainnya. Mereka biasanya sangat mandiri dan mengambil tanggung jawab mereka dengan serius untuk memberikan bimbingan ahli, namun, mereka juga memiliki tagihan yang harus dibayar.

Beberapa terjebak oleh konflik kepentingan antara menasihati pelaksanaan tindakan dan menawarkan untuk memasok barang yang dibutuhkan. Ini menghadirkan pilihan yang sulit bagi pelanggan – ikuti apa yang dikatakan QSA, dan beli apa pun yang mereka jual kepada Anda, atau pergi ke tempat lain untuk membeli kit apa pun yang diperlukan dan mempertaruhkan hubungan berharga yang diperlukan untuk melewati audit. Apakah ini untuk firewall baru, layanan pemindaian atau Pengujian Pena, atau produk FIM dan Logging/SIEM, terlalu banyak Pedagang yang harus membuat keputusan sulit. Solusi sederhananya adalah memisahkan QSA Anda dari penyediaan layanan atau produk lain untuk proyek PCI Anda, tetapi pastikan hal ini telah dijelaskan sebelumnya.

Konflik kepentingan umum kedua adalah konflik yang mempengaruhi segala jenis konsultan. Jika Anda dibayar per hari untuk layanan Anda, apakah Anda ingin pertunangan lebih pendek atau lebih lama? Jika Anda memiliki kesempatan untuk memengaruhi durasi pertunangan, apakah Anda akan memperjuangkannya agar berakhir lebih cepat, atau dengan senang hati membiarkannya berjalan lebih lama?

Jangan terlalu sinis dalam hal ini – mayoritas Pedagang telah membayar jumlah yang sangat berbeda untuk layanan QSA mereka tetapi senang dengan nilai uang yang diterima. Tetapi kami memiliki satu pengalaman baru-baru ini di mana QSA telah meminta desain ulang arsitektur jaringan dan sistem yang berulang. Mereka merekomendasikan agar firewall diganti dengan versi yang lebih maju dengan kemampuan IPS yang lebih baik. Dalam kedua kasus, Anda dapat melihat bahwa QSA memberikan saran yang akurat dan tepat, namun, salah satu efek samping yang tidak menguntungkan dari melakukannya adalah Merchant menunda implementasi persyaratan PCI DSS lainnya. Hasil dalam kasus ini adalah bahwa QSA sebenarnya menunda langkah-langkah keamanan yang diterapkan, dengan kata lain, saran pakar keamanan adalah untuk memperpanjang postur keamanan organisasi yang lemah!

Kesimpulan

Komunitas QSA adalah sumber yang kaya akan pengalaman dan keahlian keamanan, dan yang lebih baik membantu menavigasi dan mengatur melalui Program PCI daripada mereka yang bertanggung jawab untuk melakukan audit untuk kepatuhan terhadap standar. Namun, praktik terbaik adalah memisahkan QSA dari aspek proyek lainnya. Kedua, mendidik diri sendiri dan membantu diri Anda sendiri dengan membiasakan diri dengan praktik terbaik keamanan – ini akan menghemat waktu dan uang jika Anda dapat memberdayakan diri sendiri alih-alih membayar setiap hari untuk diajarkan dasar-dasarnya. Terakhir, jangan tunda penerapan langkah-langkah keamanan – Anda tahu sistem Anda lebih baik daripada orang lain, jadi jangan membayar untuk memperpanjang proyek Anda! Raih tanggung jawab untuk menghilangkan cakupan lingkungan Anda jika memungkinkan, lalu terapkan praktik terbaik dasar ke sistem yang tersisa dalam cakupan – perkuat, terapkan kontrol perubahan, ukur efektivitas menggunakan pemantauan integritas file, dan pertahankan jejak audit dari semua aktivitas sistem. Ini lebih sederhana daripada yang mungkin Anda percayai oleh QSA Anda.

Forensik Komputer