Корисник:Marko354/песак

Управљање безбедносним информацијама и догађајима (енгл. Security information and event management, SIEM) је област у оквиру рачунарске безбедности која комбинује управљање безбедносним догађајима (енгл. Security event management, SEM) и управљање безбедносним информацијама (енгл. Security information management, SIM) како би омогућила анализу безбедносних упозорења у реалном времену генерисаних од стране апликација и мрежне хардверске опреме. SIEM системи су централни за безбедносне оперативне центре (енгл. Security operations center, SOC), где се користе за откривање, истраживање и одговорање на безбедносне инциденте. ^[1] SIEM технологија прикупља и обједињује податке из различитих система, омогућавајући организацијама да испуне захтеве усаглашености док се истовремено штите од претњи.

Термин SIEM је први пут уведен од стране Гартнер аналитичара Марка Николета и Амрит Вилијамса 2005. године. Од тада, SIEM се развио како би укључио напредне функције попут обавештајних података о претњама и бихејвиоралне аналитике, што омогућава SIEM решењима да управљају сложеним претњама у оквиру сајбер-безбедности, укључујући рањивост нултог дана (енгл. Zero-day vulnerability) и полиморфни малвер.

Историја

У почетку се системскa евиденција примарно користила за дебаговање. Међутим, како су оперативни системи и мреже постајали сложенији, тако се повећала и генерација системске евиденције. Надгледање системске евиденције је постало све чешће услед пораста софистицираних сајбер-напада и потребе за усаглашеношћу са регулаторним оквирима који захтевају евиденцију безбедносних контрола у оквиру оквира за управљање ризицима (енгл. Risk Management Framework, RMF).

Почетком касних 1970-их година, радне групе су кренуле да успостављају критеријуме за управљање програмима ревизије и праћења, постављајући темељ за модерне сајбер-безбедоносне праксе као што су откривање унутрашњих претњи и реаговање на инциденте.

Године 2005., термин „SIEM” (енгл. Security Information and Event Management) је први пут представљен од стране Гартнер аналитичара Марка Николета и Амрита Вилијамса. SIEM системи пружају јединствен интерфејс за прикупљање података од информационих система и њихово представљање у виду применљиве интелигенције. ^[2] Национални институт за стандарде и технологију (енгл. National Institute of Standards and Technology, NIST) дефинише SIEM на следећи начин: „Апликација која омогућава прикупљање безбедносних података из компоненти информационог система и приказивање истих као применљивих информација уз помоћ јединственог интерфејса.” Поред тога, NIST је осмислио и имплементирао федерално прописани оквир за управљање ризицима (RMF).

Након глобалне имплементације RMF-а, ревизија и надзор су постали кључни за сигурност информација и безбедност. Професионалци у оквиру сајбер-безбедности се сада ослањају на податке из евиденција при обављању безбедносних функција у реалном времену, вођени моделима управљања који укључују ове процесе у аналитичке задатке. Како је концепт сигурности информација сазревао крајем 1990-их и почетком 2000-их, потреба за централизовањем системских евиденција постала је очигледна. Централизовано управљање евиденцијом омогућава лакши надзор и координацију преко умрежених система.

17. маја 2021. године, председник САД-а Џозеф Бајден потписао је Извршну наредбу 14028 под називом „Унапређење сајбер-безбедности нације”, којом су успостављени додатни захтеви за евиденцију, укључујући ревизорску евиденцију и заштиту крајњих тачака, са циљем да се побољша способност одговора на инциденте. ^[3] Ова наредба је била одговор на пораст рансомвер напада који су били усмерени на критичну инфраструктуру. Појачавањем контроле сигурности информација у оквиру RMF-а, наредба је имала за циљ да подстакне усклађеност и обезбеди финансирање за иницијативе у оквиру области сајбер-безбедности.

Могућности

Агрегација података: Управљање евиденцијом (енгл. Log management) подразумева скупљање података из много извора, укључујући мрежу, безбедност, сервере, базе података, апликације, пружајући могућност утврђивања надгледаних података са циљем да се избегне пропуштање кључних догађаја.
Корелација: Тражи заједничке атрибуте и повезује догађаје у смислене целине. Ова технологија пружа могућност извођења различитих техника корелације како би се интегрисали различити извори, са циљем претварања података у корисне информације. Корелација је функција која припада SEM делу у оквиру SIEM решења. ^[4]
Упозоравање: Аутоматизована анализа корелисаних догађаја.
Контролне табле: Алатке могу узети податке о догађајима и претворити их у информативне графиконе како би помогле у уочавању образаца или препознавању активности које не формирају стандардни образац.
Усклађеност података: Апликације могу да буду коришћене у сврху аутоматизације прикупљања података о усклађености, креирајући извештаје који се прилагођавају постојећим процесима безбедности, управљања и ревизије.
Задржавање података: Коришћење дугорочног складиштења историјских података како би се олакшала корелација података током времена и обезбедило задржавање неопходно за захтеве усклађености. Дугорочна евиденција задржаних података је кључна у форензичким истрагама јер је мало вероватно да ће напад на мрежу бити откривен у тренутку када се он догађа. ^[5]
Форензичка анализа: Могућност претраживања евиденција на различитим чворовима и у оквиру различитих временских периода на основу специфичних критеријума. Ово смањује потребу за памћењем информација о евиденцији или претраживањем хиљада и хиљада постојећих евиденција.

Компоненте

SIEM архитектуре могу да се разликују у зависности од добављача; међутим, генерално, основне компоненте чине SIEM мотор. Основне компоненте SIEM-а су следеће: ^[6]

Сакупљач података прослеђује одабране ревизорске евиденције са хоста (пренос евиденција заснованих на агенту или хосту у индекс и тачку агрегирања). ^[7]^[8]
Тачка уноса и индексирања агрегационе тачке за парсирање, корелацију и нормализацију података. ^[9]
Чвор за претрагу који се користи за визуализацију, упите, извештаје и упозорења (анализа се врши на чвору за претрагу). ^[10]

Основна SIEM инфраструктура је приказана на слици испод.

Случајеви коришћења

Истраживач који проучава област рачунарске безбедности, Крис Кубека, идентификовала је следеће примере употребе SIEM-а, представљене на хакерској конференцији 28Ц3 (енгл. Chaos Communication Congress): ^[11]

Видљивост SIEM-а и откривање аномалија могу помоћи у откривању дан-нула рањивости или полиморфног кода. Првенствено због ниске стопе откривања од стране антивируса против ове врсте брзо мењајућег малвера.
Парсирање (енгл. Parsing), нормализација и категоризација евиденције се могу аутоматски обављати, без обзира на тип рачунара или мрежног уређаја, све док постоји могућност слања евиденције.
Визуелизација преко SIEM-а која користи безбедносне догађаје и неуспешне евиденције може да помогне у откривању образаца.
Протоколне аномалије које указују на погрешну конфигурацију или безбедносни проблем могу се идентификовати преко SIEM-а уз помоћ откривања образаца, упозорења, базне линије и контролних табли.
SIEMI-и могу да открију прикривене, злонамерне комуникације и шифроване канале.
Сајбер ратовање се може прецизно открити уз помоћ SIEM-а, откривајући и нападаче и жртве.

Ререфенце

^ Cinque, Marcello; Cotroneo, Domenico; Pecchia, Antonio (2018). Challenges and Directions in Security Information and Event Management (SIEM). стр. 95—99. ISBN 978-1-5386-9443-5. doi:10.1109/ISSREW.2018.00-24. Приступљено 2024-02-02.
^ Williams, Amrit (2005-05-02). „Improve IT Security With Vulnerability Management”. Приступљено 2016-04-09. „Security information and event management (SIEM)”
^ „Improving the Nation's Cybersecurity”. Federal Register. 2021-05-17. Приступљено 2021-07-28.
^ Correlation Архивирано 2014-10-19 на сајту Wayback Machine
^ „2018 Data Breach Investigations Report | Verizon Enterprise Solutions”. Verizon Enterprise Solutions (на језику: енглески). Приступљено 2018-05-02.
^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (новембар 2012). „The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. Besancon, France: IEEE. стр. 761—766. ISBN 978-1-4673-5146-1. S2CID 18920083. doi:10.1109/GreenCom.2012.125.
^ Kotenko, Igor; Chechulin, Andrey (новембар 2012). „Common Framework for Attack Modeling and Security Evaluation in SIEM Systems”. 2012 IEEE International Conference on Green Computing and Communications. стр. 94—101. ISBN 978-1-4673-5146-1. S2CID 15834187. doi:10.1109/GreenCom.2012.24.
^ Karl-Bridge-Microsoft. „Eventlog Key - Win32 apps”. docs.microsoft.com (на језику: енглески). Приступљено 2021-07-18.
^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (новембар 2012). „The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. стр. 761—766. ISBN 978-1-4673-5146-1. S2CID 18920083. doi:10.1109/GreenCom.2012.125.
^ Azodi, Amir; Jaeger, David; Cheng, Feng; Meinel, Christoph (децембар 2013). „Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems”. 2013 International Conference on Advanced Cloud and Big Data. стр. 69—76. ISBN 978-1-4799-3261-0. S2CID 1066886. doi:10.1109/CBD.2013.27.
^ „28c3: Security Log Visualization with a Correlation Engine”. YouTube. 29. 12. 2011. Архивирано из оригинала 2021-12-15. г. Приступљено 4. 11. 2017.

[1] Cinque, Marcello; Cotroneo, Domenico; Pecchia, Antonio (2018). Challenges and Directions in Security Information and Event Management (SIEM). стр. 95—99. ISBN 978-1-5386-9443-5. doi:10.1109/ISSREW.2018.00-24. Приступљено 2024-02-02.

[2] Williams, Amrit (2005-05-02). „Improve IT Security With Vulnerability Management”. Приступљено 2016-04-09. „Security information and event management (SIEM)”

[3] „Improving the Nation's Cybersecurity”. Federal Register. 2021-05-17. Приступљено 2021-07-28.

[4] Correlation Архивирано 2014-10-19 на сајту Wayback Machine

[5] „2018 Data Breach Investigations Report | Verizon Enterprise Solutions”. Verizon Enterprise Solutions (на језику: енглески). Приступљено 2018-05-02.

[6] Kotenko, Igor; Polubelova, Olga; Saenko, Igor (новембар 2012). „The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. Besancon, France: IEEE. стр. 761—766. ISBN 978-1-4673-5146-1. S2CID 18920083. doi:10.1109/GreenCom.2012.125.

[7] Kotenko, Igor; Chechulin, Andrey (новембар 2012). „Common Framework for Attack Modeling and Security Evaluation in SIEM Systems”. 2012 IEEE International Conference on Green Computing and Communications. стр. 94—101. ISBN 978-1-4673-5146-1. S2CID 15834187. doi:10.1109/GreenCom.2012.24.

[:4-8] Karl-Bridge-Microsoft. „Eventlog Key - Win32 apps”. docs.microsoft.com (на језику: енглески). Приступљено 2021-07-18.

[9] Kotenko, Igor; Polubelova, Olga; Saenko, Igor (новембар 2012). „The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. стр. 761—766. ISBN 978-1-4673-5146-1. S2CID 18920083. doi:10.1109/GreenCom.2012.125.

[10] Azodi, Amir; Jaeger, David; Cheng, Feng; Meinel, Christoph (децембар 2013). „Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems”. 2013 International Conference on Advanced Cloud and Big Data. стр. 69—76. ISBN 978-1-4799-3261-0. S2CID 1066886. doi:10.1109/CBD.2013.27.

[11] „28c3: Security Log Visualization with a Correlation Engine”. YouTube. 29. 12. 2011. Архивирано из оригинала 2021-12-15. г. Приступљено 4. 11. 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]