Kibervédelem irányítása SIEM-rendszereken keresztül

Kiberbiztonsági SIEM magánügyfélnek

A Kiberbiztonsági SIEM akkor hasznos, ha magánügyfélként nem csak egy programot keresel, hanem olyan embert, aki rendbe teszi a naplózást, átnézi a riasztásokat, és érthetően elmondja, mi történik a rendszeredben. Ez a munka távolról is jól végezhető, mert a feladat nagy része hozzáférések, szabályok, naplók és jelentések kezelése. Itt általában nem céghez fordulnak az emberek, hanem egy önálló szakemberhez, aki rugalmasan tud dolgozni, kisebb környezethez is alkalmazkodik, és nem akar felesleges csomagot ráerőltetni a megrendelőre.

Én azt látom, hogy a legtöbb érdeklődőnek nem a rövidítés a fontos, hanem az, hogy legyen végre rend az események között. Ha valaki több felhőszolgáltatást, levelezést, végpontvédelmet vagy szervert használ, nagyon gyorsan szétesik az átláthatóság. Egy jól beállított naplóelemző rendszer ebben segít. Összegyűjti az eseményeket, kiemeli a gyanús mintákat, és csökkenti annak esélyét, hogy egy valódi probléma elveszik a sok adat között. A Qjob.hu felületén ezért inkább olyan szakembert érdemes keresni, aki nem csak eszközt ismer, hanem üzleti szemmel is tud kérdezni.

Ez a szolgáltatás magánügyfélnek akkor jó döntés, ha világos cél tartozik hozzá. Lehet ez gyanús belépések figyelése, rendes riasztási logika kialakítása, megfelelési szempontok előkészítése vagy egyszerűen az, hogy ne manuálisan kelljen átnézni a naplókat. Szerintem a jó indulás mindig azzal kezdődik, hogy a megrendelő leírja, milyen rendszereket használ, hol tárol adatot, kik férnek hozzá, és mi volt az a pont, ahol úgy érezte, már nem lát rá a kockázatokra.

Mit ad egy SIEM rendszer

Egy SIEM rendszer központi helyre gyűjti az eseményeket, majd összefüggésben mutatja meg őket. Ez nem csak kényelmi kérdés. Ha valaki külön nézi a felhőnaplókat, a levelezési figyelmeztetéseket és a végpontok jelzéseit, könnyen félreérthet egy támadást vagy egyszerűen későn veszi észre. A távolról dolgozó kiberbiztonsági szakértő feladata ilyenkor az, hogy bekösse a fontos forrásokat, szűrje a zajt, és olyan szabályokat állítson be, amelyek valódi értéket adnak.

Tapasztalatom szerint egy eseményfigyelő rendszer akkor működik jól, ha kevés, de hasznos riasztást küld. A túl sok jelzés elfárasztja a megrendelőt. A túl kevés pedig hamis biztonságérzetet ad. Ezért fontos, hogy az első beállítás után finomhangolás is legyen. Egy önálló szakember ezt több rövid körben is elvégezheti online. Először felméri a környezetet, utána beállítja az adatforrásokat, majd néhány hét használat után átnézi, melyik szabály dolgozik jól és melyik okoz felesleges terhelést.

Sokan azt hiszik, hogy egy ilyen megoldás önmagában megoldja a védelmet. Nem oldja meg. Inkább egy erős megfigyelési és elemzési réteg, amely gyorsabb reagálást tesz lehetővé. Kell hozzá megfelelő hozzáféréskezelés, végpontvédelem, biztonsági mentés és tiszta folyamat is. De ha ez az alap hiányzik, azt egy jó szakértő már az elején jelzi. Ez hasznosabb, mint egy látványos, de üres telepítés.

Kiberbiztonsági SIEM árak

Az ár attól függ, hogy a szakember csak felmérést és javaslatot ad, vagy tényleg beköti a forrásokat, elkészíti a szabályokat, tesztel, dokumentál és utána is finomít. A túl olcsó munka ezen a területen gyakran gyengébb minőséget jelent. Nem azért, mert minden drága szakember jobb, hanem azért, mert a használható beállítás időt kér. Egy gyors másolás ritkán illik a valós környezethez.

Ezek irányadó összegek. Magánügyfélnél gyakran kisebb a környezet, de ettől a feladat nem lesz automatikusan egyszerű. Ha egy laptop, felhőfiók, levelezés és néhány üzleti alkalmazás érintett, akkor is komoly értéke lehet annak, hogy valaki egyben látja az eseményeket. Szerintem jobb külön árat kérni a felmérésre és külön a tényleges kivitelezésre. Így mindkét fél tisztábban látja a munkát.

Kiberbiztonsági szakértő választása SIEM feladathoz

A legfontosabb az, hogy a kiválasztott kiberbiztonsági szakértő érthetően kommunikáljon. Nem elég, hogy ismerjen egy eszközt. Tudnia kell megindokolni, melyik naplóforrás miért fontos, melyik riasztás miért hasznos, és mi az, amit most még nem érdemes bevezetni. Magánügyfélként nem kell minden szakmai részletet ismerned, de azt igenis elvárhatod, hogy a feladat és a várható eredmény világos legyen.

Érdemes portfóliót, rövid esettanulmányt vagy anonim mintajelentést kérni. Nem hosszú prezentációra van szükség. Elég néhány konkrét példa arról, hogy a szakember dolgozott már felhős naplókkal, végponti riasztásokkal vagy hozzáférési eseményekkel. A jó jel az, ha nem ígér mindent azonnal. Inkább kérdez. Milyen rendszerek vannak használatban. Ki kezeli a hozzáféréseket. Van-e korábbi incidens. Kell-e rendszeres jelentés. Ezekből gyorsan látszik, hogy valódi munkáról lesz-e szó.

Volt olyan eset, amikor egy ügyfél azért keresett szakértőt, mert naponta több száz figyelmeztetést kapott, és már egyiket sem nézte meg. A probléma nem az volt, hogy kevés adat állt rendelkezésre, hanem az, hogy senki nem hangolta a szabályokat a valós használathoz. Két online egyeztetés, néhány pontosított riasztás és egy rövid dokumentum után a jelzések száma töredékére esett. De a fontos esetek jobban látszottak. Ez mutatja, hogy a SIEM rendszer értéke nem a mennyiségben van, hanem a pontosságban.

SIEM munka online folyamata

A távoli együttműködés akkor működik jól, ha már az elején tiszta a folyamat. Először jön egy rövid egyeztetés, ahol a megrendelő elmondja a célját. Utána a szakember kér egy listát az érintett rendszerekről, hozzáférési módokról és a kívánt eredményről. Ezután készül egy egyszerű feladatleírás. Ebben szerepel, melyik forrásokat kell bekötni, milyen riasztások fontosak, ki kap értesítést, és milyen formában készül átadás.

A következő lépés a hozzáférések rendezése. Ez érzékeny pont, ezért itt mindig rendezett módon kell dolgozni. Ideiglenes jogosultság, külön technikai felhasználó, naplózott belépés és világos határidő. Tapasztalatom szerint aki ezt elnagyolja, később több időt veszít. A kivitelezés után jön a tesztelés. Nem csak azt kell nézni, hogy fut-e a rendszer, hanem azt is, hogy a riasztások érthetők-e, megérkeznek-e, és tényleg arra reagálnak-e, amire kell.

Az átadás jó esetben nem egy nagy iratcsomó, hanem tömör és használható anyag. Benne van, mi lett bekötve, melyik szabály aktív, milyen eseményt jelez, és mi a teendő riasztás esetén. Egy naplóelemző rendszer átadása akkor korrekt, ha a megrendelő később is érti, mit lát. És ha szükséges, kérhet utólagos finomhangolást is. Ez a fajta SIEM munka ilyen formában valóban online szolgáltatásként működik, mert a munka döntő része hozzáféréseken, beállításokon és visszajelzésen múlik.

Gyakori hibák SIEM igénynél

Sokan ott hibáznak, hogy túl korán akarnak kész árat. Pedig amíg nem derül ki, hány adatforrás van, milyen a környezet és mi a cél, addig minden összeg csak becslés. Másik gyakori hiba, hogy a megrendelő egyetlen eszköztől vár teljes védelmet. Az eseményfigyelő rendszer fontos, de nem helyettesíti a rendes jogosultságkezelést vagy a mentést. És hiba az is, amikor valaki csak a látványos irányítópult alapján dönt. A szép felület önmagában nem jelent jó védelmet.

Én azt látom, hogy a félreértések nagy része a túl tág feladatleírásból indul. Ha annyi van leírva, hogy legyen biztonságosabb a rendszer, abból nehéz jó munkát csinálni. Ha viszont az szerepel, hogy legyen figyelés a belépésekre, a rendszergazdai műveletekre, a fájlhozzáférésekre és a gyanús helyváltozásra, máris mérhető a cél. Ez online együttműködésben különösen fontos, mert a szakember nem ül melletted, csak abból tud dolgozni, amit tényleg megkap.

De van egy csendesebb hiba is. Amikor a megrendelő nem szán időt az utókövetésre. Egy SIEM rendszer az indulás után mutatja meg az igazi arcát. Pár hét alatt kiderül, mi a zaj, mi a valódi eltérés, és hol kell módosítani. Szerintem ezért érdemes már a megbízás elején kérni legalább egy rövid utólagos átnézést. Ez nem nagy tétel, mégis sok bosszúságot előz meg.