Bezpieczeństwo ELK – jak zobaczyć wszystko i nie polec

Przy aktualnym stanie cyberbezpieczeństwa analitycy muszą cały czas śledzić wszystko, co dzieje się w systemach informatycznych: każdy najmniejszy nawet sygnał może wskazywać na to, że firmowa sieć jest atakowana przez APT, zainfekowana przez ransomware czy wykorzystywana przez nieuczciwego pracownika firmy do pozyskiwania poufnych danych. Rozwiązania SIEM to najbardziej adekwatne narzędzia do obsługi całej tej ogromnej masy informacji, ale ich wdrożenie może okazać się dużym wyzwaniem. W tym kontekście José Pedro Mayo, Kierownik Działu Architektury i Projektowania Rozwiązań w GMV, wygłosił wykład podczas „Elastic{ON} Tour Madrid”, wykorzystując doświadczenie GMV w zakresie wspomnianych rozwiązań, aby pokazać, jakie są kluczowe punkty, których należy szukać w SIEM, i jak ELK może je zrealizować.

Najistotniejszy problem w obszarze cyberbezpieczeństwa to prawidłowe zarządzanie danymi. Musimy gromadzić wszelkie możliwe informacje dotyczące systemów oraz korzystać ze skutecznych narzędzi pozwalających na usprawnienie naszej pracy i zapewniających przejrzystość wszystkich naszych działań. Najlepszym narzędziem do realizacji tego celu jest narzędzie SIEM (Security Information Events Manager), które umożliwia nam zarządzanie zdarzeniami w jednolity sposób, pomaga w przestrzeganiu przepisów, zwiększa widoczność i zmniejsza liczbę zdarzeń, którymi należy się zająć.

ELK to zestaw narzędzi open source o wysokim potencjale, które w połączeniu tworzą narzędzie do zarządzania logami, pozwalające na monitorowanie, konsolidację i analizę logów generowanych na wielu serwerach. Narzędzia składające się na ELK to: ElasticSearch (wyszukiwarka i narzędzie analityczne), Logstash (gromadzenie logów) oraz Kibana (platforma do wizualizacji).

Każdy zespół ds. reagowania na zdarzenia zagrażające bezpieczeństwu powinien dysponować powyższymi narzędziami do scentralizowanego przechowywania, wyszukiwania danych i wykorzystywania ich do wykrywania problemów, jak również do generowania ostrzeżeń dostosowanych do potrzeb danej organizacji. Z doświadczenia GMV wynika, że zastosowanie Elastic jako rozwiązania SIEM pozwala na zrealizowanie następujących etapów zarządzania zdarzeniami zagrażającymi bezpieczeństwu: gromadzenie logów dotyczących interesujących nas aktywów, normalizacja nieuporządkowanej informacji pozwalająca na jej indeksowanie, wzbogacenie jej o dodatkowe dane (geolokalizacja, rozdzielczość DNS itp.), korelowanie i wykrywanie anomalii (grupowanie, kategoryzacja i filtrowanie zdarzeń) oraz generowanie różnorodnych raportów i alarmów.