Logpoint. Η πρόσθετη αξία στα δεδομένα σας – Υπάρχουν πολλά περισσότερα σε αυτά πέρα από την συμμόρφωση
Αυτό που ωθεί τους περισσότερους οργανισμούς και εταιρείες να συλλέγουν αρχεία καταγραφής συμβάντων, είναι η συμμόρφωση. Υπάρχουν ορισμένες εξαιρέσεις βεβαίως, αλλά για τους περισσότερους κάτι τέτοιο σημαίνει απλώς την συλλογή και την αποθήκευση logs (αρχείων καταγραφής συμβάντων).
Όμως γιατί να κάνετε μόνο αυτό; Δεν μοιάζει να είναι κάπως άσκοπο; Αν είναι να κάνετε κάτι τέτοιο, τότε δεν θα έπρεπε τουλάχιστον να βγάλετε κάτι από αυτό, πέρα από το να “τσεκάρετε” [να βάζετε ένα “τικ”] το κουτάκι της συμμόρφωσης;
Μην παρεξηγηθούμε πάντως. Η συμμόρφωση είναι ένα εξαιρετικό πράγμα, και για ορισμένους αποτελεί κλειδί και βασικό συστατικό για την επιχείρηση τους. Ωστόσο η συμμόρφωση είναι μόνο ένα ελάχιστο πρότυπο. Είναι το λιγότερο που μπορεί να κάνει κάποιος, και όμως οι περισσότεροι σταματούν ακριβώς εκεί. Γιατί συμβαίνει αυτό; Η απάντηση στην συγκεκριμένη ερώτηση αφορά σε ένα άλλο ζήτημα όμως, για το οποίο θα μιλήσουμε κάποια άλλη φορά.
Σε αυτό που εστιάζουμε περισσότερο μέσα σε ένα SIEM, είναι η ασφάλεια (και ναι, σε αυτό το κομμάτι συμπεριλαμβάνεται και η συμμόρφωση επίσης). Υπάρχει μία τεράστιας σημασίας, σχετική με την ασφάλεια, πρόσθετη αξία που μπορεί να βγάλει στην επιφάνεια η ανάλυση των δεδομένων σας, και αναφερόμαστε σε όλα αυτά τα τυπικά πράγματα, όπως τα αποτυχημένα log-ins, και η παρακολούθηση των προνομιακών χρηστών σας, για να αναφέρουμε μερικά.
Όμως υπάρχει μία ολόκληρη σειρά από άλλα πράγματα που μπορείτε να κάνετε (και θα έπρεπε) αλλά δυστυχώς δεν κάνετε, επειδή είναι πάνω και πέρα από το θέμα της συμμόρφωσης. Μιλάμε για πράγματα όπως τα επιτυχημένα log-ins (συνδέσεις) και log-offs (αποσυνδέσεις) και ο καθορισμός του χρονικού διαστήματος μεταξύ των δύο αυτών γεγονότων. Έίναι για παράδειγμα πολύ μικρό αυτό το χρονικό διάστημα για να έχει γίνει από άνθρωπο; Έχετε διαπιστώσει για παράδειγμα ότι γίνονται αρκετές συνδέσεις και αποσυνδέσεις σε μικρά χρονικά διαστήματα; Κάτι τέτοιο ενδέχεται να είναι σημάδι ότι κάποιος έχει στοιχεία κάποιων λογαριασμών σας (όνομα χρήστη, κωδικό) και προσπαθεί να διαπιστώσει αν είναι έγκυρα για παράδειγμα.
Πολύ πιθανόν να θέλετε ή να χρειάζετε να εντοπίσετε “αυτό το σήμα μέσα στον θόρυβο” – όπως για παράδειγμα να συγκρίνετε την συμπεριφορά των χρηστών σας στην επιχείρηση σε βάθος χρόνου, για να διαπιστώσετε ποιος εργαζόμενος κάνει κάτι ασυνήθιστο σε σχέση με τους συναδέλφους του. Ακόμα και απλά -αλλά σημαντικά- πράγματα, όπως η παρακολούθηση κρίσιμης σημασίας επιχειρησιακών αρχείων και η κίνηση τους στο δίκτυο θα δώσουν πρόσθετη αξία στην ασφάλεια του οργανισμού σας.
Παρόλα αυτά, σκεφτείτε λίγο και τα υπόλοιπα γράμματα στο ακρωνύμιο SIEM πέρα από το “S” (Security): Information and Event Management (Διαχείριση Πληροφοριών και Συμβάντων).
Εδώ είναι που μπορείτε πραγματικά να βρείτε πρόσθετη αξία από τα δεδομένα σας, και μάλιστα σε περιοχές και τομείς της επιχείρησης σας που ενδεχομένως δεν μπορούσατε να σκεφτείτε. Δεν θα ήταν καλό για την επιχείρηση σας να παρακολουθείτε την κίνηση δεδομένων VOIP;
Η καταγραφή και η ανάλυση των κλήσεων, του χρόνου διάρκειας των κλήσεων και αν πρόκειται για διεθνείς κλήσεις για παράδειγμα. Ενδεχομένως να θέλετε να λάβετε κάποια ειδοποίηση όταν κάποιος μιλάει στο τηλέφωνο πάρα πολύ ή όταν επικοινωνεί με το εξωτερικό.
Ίσως είναι καλό να έχετε αυτά τα δεδομένα, για να μπορείτε να κάνετε και τις απαραίτητες συγκρίσεις με τις χρεώσεις στον λογαριασμό του τηλεφώνου σας. Ίσως πάλι, θέλετε να παρακολουθείτε την χρήση των πόρων στην επιχείρησης σας. Οπότε όταν φτάσει η ώρα της ανανέωσης –π.χ της συνδρομής σε κάποια υπηρεσία- να έχετε όλες τις πληροφορίες που χρειάζεστε για να διαπιστώσετε αν αξίζει να ανανεώσετε ή αν προτιμάτε να δαπανήσετε κάπου αλλού χρήματα από τον προϋπολογισμό σας. Ίσως για παράδειγμα να μην χρειάζεστε αυτόν τον Super Duper Malware Threat Defender 5000, αλλά να χρειάζεστε ένα νέο switch. Έχοντας πραγματική, “real-life usage information” στα χέρια σας, έχετε ένα πολύτιμο εργαλείο για να εκτιμήσετε σωστά που θα ξοδέψετε τα χρήματα από τον προϋπολογισμό σας.
Το σωστό σύστημα SIEM, όπως το Logpoint, μπορεί να κάνει όλα τα παραπάνω πράγματα που αναφέρασμε για εσάς και την επιχείρηση σας, και ακόμα περισσότερα. Μπορεί, και θα έπρεπε, να είναι το επίκεντρο σε ότι και να κάνετε.
Τα δεδομένα έχουν αξία, αλλά αυτό που μετράει, είναι πως τα χρησιμοποιείτε. Οπότε με την πρόσθετη αξία που μπορεί να φέρει ένα σύστημα SIEM, ενδεχομένως να σταθείτε τυχεροί, και κάποιοι τομείς στην επιχείρηση σας να συνεισφέρουν στον προϋπολογισμό σας για να αγοράσετε επιτέλους το σωστό SIEM. “Τα χρήματα, ακολουθούν την αξία” λένε…
Από τον Andy Deacon, Security Consultant, LogPoint
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.