Kljub velikim naložbam sodobne platforme SIEM ne zaznajo skoraj 80 % znanih tehnik MITRE ATT&CK. Ta kritična vrzel pomeni, da lahko tudi zelo napredne platforme SIEM spregledajo standardne tehnike, kar omogoča, da napadalci dlje časa ostanejo skriti. Zato se je v današnjem razvijajočem se okolju groženj tvegano zanašati izključno na sisteme SIEM.
Pomanjkljivi sistemi SIEM: Beleženje ni zaznavanje
Rešitve SIEM (Security Information and Event Management – upravljanje varnostnih informacij in dogodkov) so dobro poznane v obrambi kibernetske varnosti. Organizacije jih uporabljajo za zbiranje in analiziranje podatkov o dnevnikih in dogodkih iz svojih okolij IT. Sistemi SIEM se pogosto uporabljajo tudi za odkrivanje, preiskovanje in odzivanje na morebitne grožnje. Takšen pristop je bil izvedljiv morda pred petimi do desetimi leti.
Vendar pa je danes okolje groženj povsem drugačno in zanašanje na sisteme SIEM pri odkrivanju groženj je tvegana poteza. Sistemi SIEM so v bistvu sistemi za upravljanje dnevnikov in ne rešitve za odkrivanje in odzivanje na grožnje. To potrjujejo tudi najnovejše raziskave.
Kljub velikim zmogljivostim sodobnih sistemov SIEM in vse večjim naložbam v platforme SIEM ima večina organizacij zelo malo dejanskega vpogleda v vedenje nasprotnikov. Zadnje poročilo družbe CardinalOps razkriva, da sodobni sistemi SIEM ne zaznajo skoraj 80 % znanih tehnik MITRE ATT&CK, zaradi česar v obrambnih strategijah podjetij ostajajo kritične vrzeli. To preprosto povedano pomeni, da lahko napadalci, tudi če ste veliko vložili v vodilne sisteme SIEM, še vedno uporabijo zelo pogosto tehniko, kot je vbrizgavanje procesov (T1055), in zaradi manjkajočih pravil zaznavanja več kot 90 dni ne opazijo.
Pri ocenjevanju pokritosti z odkrivanjem ni dovolj, da zgolj preštejete pravila ali vire dnevnikov. Pomembno je, ali so vaša odkritja skladna z dejanskimi tehnikami, ki jih uporabljajo resnični nasprotniki. Tu pride na vrsto okvir MITRE ATT&CK – svetovno priznana baza znanja, ki prikazuje taktike, tehnike in postopke (TTP), ki jih uporabljajo akterji groženj v celotnem življenjskem ciklu napada. Z merjenjem pokritosti vašega SIEM ali MDR glede na ATT&CK dobite jasen, na nasprotnike osredotočen pogled na vaše prednosti in pomanjkljivosti pri odkrivanju. Ta pristop pomaga določiti prednostne naloge inženiringa, zmanjšuje „slepe pege“ in zagotavlja, da se ne odzivate le na včerajšnje grožnje, temveč se aktivno pripravljate na današnje in jutrišnje grožnje.
Medtem ko se je pokritost zaznavanja v letu 2024 nekoliko izboljšala, in sicer za 2 %, povprečni SIEM še vedno pokriva le 21 % ustreznih tehnik. Poleg tega je 13 % obstoječih pravil odkrivanja nefunkcionalnih, pogosto zaradi napačno konfiguriranih virov podatkov ali manjkajočih polj dnevnika, kar pomeni, da organizacije nevede delujejo na slepo proti pogostim TTP.
To ni vprašanje razpoložljivosti podatkov. Sistemi SIEM v povprečju zaužijejo 259 vrst dnevnikov iz skoraj 24.000 edinstvenih virov, kar teoretično omogoča pokritost več kot 90 % okvira MITRE ATT&CK. Vendar pa ročno ustvarjanje pravil in krhki delovni postopki za odkrivanje preprečujejo organizacijam, da bi izkoristile to telemetrijo.
Po mnenju podjetja CardinalOps je glavni vzrok v zastarelih praksah inženiringa odkrivanja. Brez avtomatizacije, stalnega preverjanja in optimizacije, ki jo poganja umetna inteligenca, se organizacije odzivajo počasi, medtem ko se nasprotniki hitro obnavljajo.
Platforme SIEM niso sistemi za odkrivanje, ki jih je mogoče priključiti in uporabiti. Brez ustreznega inženiringa so mnoge le še platforme za shranjevanje dnevnikov. Še huje, neusklajenost med vnosom dnevnikov in vsebino zaznavanja, kot so manjkajoče ukazne vrstice procesov ali metapodatki o omrežnih povezavah, vodi do tihega neuspeha.
Organizacije pogosto domnevajo, da se dnevniki analizirajo samo zato, ker so zaužiti. Vendar pa beleženje ne pomeni odkrivanja. Brez ustrezne logike korelacije, zdravja pravil in potrjevanja se večina napadov izogne odkrivanju, tudi če obstaja telemetrija.
Sistemi SIEM so lahko pomembni. Vendar za odkrivanje groženj niso dovolj.
Ne gre za to, da so sistemi SIEM že po naravi slabi. Do neke mere jih je mogoče upravičiti za izpolnjevanje zahtev glede hrambe dnevnikov iz predpisov EU (kot sta NIS2 in DORA). Vendar pa moramo biti previdni, da ne nasedemo trženju prodajalcev in napačno razumemo, da so sistemi SIEM sposobni zanesljivo odkrivati grožnje in/ali se nanje odzivati. Za slednje so sistemi XDR veliko bolj učinkoviti.
Vendar pa tudi XDR niso popolni – še vedno je treba prilagoditi pravila, da ustrezajo vašemu okolju. Inženiring odkrivanja je treba obravnavati kot stalno disciplino in ne kot enkratno nastavitev.
Če se vaša organizacija zanaša na SIEM, je to pravočasen opomnik, da pokritost ni nujno enaka učinkovitosti. Odkrivanje groženj se mora razvijati dlje od preprostega vnosa in uvajanja pravil – v smeri inteligentnih, avtomatiziranih in nenehno potrjenih strategij odkrivanja. Rešitve, ki združujejo MDR, ofenzivno testiranje in obveščevalne podatke o kibernetskih grožnjah, lahko zapolnijo te vrzeli in zagotovijo, da kritični napadi ne ostanejo neodkriti. Če želite razumeti, kako dobro vaš SIEM ščiti pred resničnimi nasprotniki, se vprašajte: Kdaj ste nazadnje potrdili svoja zaznavanja?