Kybernetická bezpečnost je čím dál více velmi diskutované téma ve všech průmyslových odvětvích a její monitoring je zásadní pro udržení bezpečnosti pracovních stanic a podnikových sítí. Pojďme si z pohledu bezpečnostního operačního centra (SOC) připomenout, co znamenají zkratky jako DLP, EDR, NDR či SIEM. K tomu nám dobře poslouží informace z textů odborníků společnosti AXENTA.
EDR
EDR (Endpoint Detection and Response) je antivirové řešení, které se od těch běžných odlišuje zejména schopností logovat dění v rámci sledovaného zařízení a schopností vyhodnotit podezřelé aktivity. Bezpečnostní specialista tak získává nástroj, který mu umožňuje včas odhalit činnost útočníka a zasáhnout proti němu prostřednictvím reakce na jeho chování. EDR je tedy nástroj pro detekci bezpečnostních hrozeb a reakci na incidenty.
Primárně se nemusí jednat o samostatný produkt. Celá řada výrobců antivirových řešení poskytuje EDR jako rozšiřující součást svých řešení nebo nadstavu. Tato nástavba využívá stávajících schopností antiviru zaznamenávat dění na koncových stanicích a serverech. Tedy ano, nemusí se jednat jen o uživatelské stanice.
DLP
DLP (Data Loss Prevention/Protection) monitoruje pohyb dat a chování uživatelů na koncových stanicích a serverech. Není tomu tak dávno, kdy se zejména jednalo o řešení provozovaná na infrastruktuře dané organizace. Není výjimkou, že řada vendorů poskytuje DLP jako službu, a to včetně integrace do cloudu a napojení na služby, jako jsou Microsoft 365. Stává se to spíše standardem.
Součástí většiny z nich je i pokročilý monitoring chování uživatelů, který pomáhá v dokreslení situace a umožnuje vyhodnocovat dění v organizaci v širších souvislostech. Jsou to především informace o způsobu využívání aplikací, přístupy k webovým stránkám a další oblasti činností uživatele, které bývají doplněny o vyhodnocení efektivity.
Bezpečnostní analýza síťového provozu je dalším důležitým pilířem při snaze o zabezpečení sítě, který přidává pohled na detekci podezřelých aktivit v síti. K tomuto jsou využívány NBA (Network Behavior Analysis) nástroje, které slouží k monitoringu počítačových sítí. NBA nástroje vznikly jako další vývojový stupeň produktů určených pro provozní monitoring sítě. Základem těchto nástrojů je zaznamenávání komunikace v rámci síťové infrastruktury a její bezpečnostní analýza.
Dalším vývojovým stupněm těchto nástrojů jsou tzv. NDR (Network Detection and Response) řešení, která rozšiřují funkcionalitu NBA nástrojů pro bezpečnostní monitoring sítí o možnosti automatické reakce na detekované bezpečnostní události. Typickým příkladem reakce je automatické zablokování komunikace na IP adresu, která je na seznamu nebezpečných adres, a to na základě vzájemného propojení s firewallem. Dalším typickým příkladem je zablokování odesílání dat při podezření na jejich únik.
VM – Vulnerability Management
Vulnerability Management (VM) nástroje umožňují provádět audit prostředí, dekovat zranitelnosti a co je nejdůležitější, pomáhají s prioritizací aktualizací na základě kritičnosti dané zranitelnosti. Vulnerability Management není jen nástroj. Jedná se o proces zahrnující detekci, analýzu, vyhodnocení a návrh správného postupu na jejich odstranění.
VM je postaven na skenování prvků dané infrastruktury a vyhledávání známých zranitelností. Sken je prováděn prostřednictvím agentů instalovaných lokálně na serverech nebo bezagentově pomocí skenovacího enginu. Záleží na výrobci daného VM. Skener projde všechny systémy, provede detekci použitých komponent, jejich verzí a porovná s databází zranitelností.
LM – Log Management
Log Management slouží ke sběru, přenosu, uchovávání událostí a jejich archivaci. Nástroje pro Log Management ukládají záznamy – logy ve formě strukturovaných událostí. Tím vzniká auditní stopa pro uložení a archivaci. Strukturovaný formát a možnost provádět nad takovými daty vyhledávání, umožňuje bezpečnostnímu analytikovi využít nástroj k pokročilé analýze potenciálního bezpečnostního incidentu.
Log Management umožňuje uchovávat jakékoli logové záznamy, tedy nejen z bezpečnostních technologií, ale také logy z aplikací, serverů, databází nebo koncových stanic.
SIEM
SIEM (Security Information and Event Management) umožňuje zobrazovat výstupy detekcí z různých nástrojů na jednom místě. Díky tomu je možné správně prioritizovat a určovat pořadí pro zpracování těchto výstupů. Slouží k vyhodnocování událostí v reálném čase s využitím předpřipravených korelačních pravidel. Pravidla na základě známých vzorců potenciálně nebezpečného chování detekují bezpečnostní události.
PIM – priviledge identity management v překladu tedy správa privilegovaných identit a PAM – priviledge access management, správa privilegovaných přístupů. Přináší nám tedy možnost správy privilegovaných účtů a jejich kontrolu v rámci dané organizace. Jedná o dvě samostatné technologie, které však často bývají implementované v rámci jednoho produktu z důvodu, že spolu vzájemně souvisí.
Zdroj: AXENTA
Zdroj: IT SECURITY NETWORK NEWS
