SlideShare a Scribd company logo

Izrada i konfiguracija sustava upravitelja sigurnosti informacija i događaja pomoću tehnologija otvorenog koda

F
FilipBakula

Službeni naziv projekta je takav jer takav mora biti da bi se uklopio u sve administrativno nametnute norme, okvire i ostalu papirologiju. Normalnim jezikom rečeno, radi se o instalaciji i konfiguraciji primitivnog SIEM rješenja s 0 kn budžeta, od potpunog početka koristeći syslog-ng, elasticsearch i kibanu. Nije na razini SPLUNK-a ili QRadara, ali je 0 kn. Za rad su korištena dva virtualna računala u odnosu server-klijent. Server ima CentOs, a klijent je Kali Linux.

Technology
1 of 51
Download to read offline
IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA
3 SADRŽAJ SADRŽAJ...................................................................................................................................3 POPIS SLIKA ............................................................................................................................3 POPIS TABLICA.......................................................................................................................4 1. UVOD.................................................................................................................................5 2. ZAŠTITA KORPORATIVNIH OKRUŽENJA.................................................................7 2.1. Analiza prijetnji u sustavu..........................................................................................9 2.2. Opći pregled strukture odjela za informacijsku sigurnost unutar korporacija..........10 2.3. Opći pregled pojedinih sustava upravitelja sigurnosti informacija i događaja.........10 3. SUSTAV UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA .................12 3.1. Motivi za kreiranje vlastitog sustava upravitelja sigurnosti informacija i događaja 12 3.2. Sustav upravitelja sigurnosti informacija i događaja kao dio modernih tvrtki.........14 3.3. Način rada sustava upravitelja sigurnosti informacija i događaja ............................16 4. IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA .........18 4.1. Korišteni sustavi koji čine sustav upravitelja sigurnosti informacija i događaja .....18 4.1.1. Tehničke specifikacije poslužitelja.......................................................................18 4.1.2. Tehničke specifikacije klijentskog računala.........................................................19 4.1.3. Podsustav syslog-ng .............................................................................................20 4.1.4. Podsustav elasticsearch.........................................................................................24 4.1.5. Podsustav kibana ..................................................................................................25 4.1.6. Sigurnosna zaštita datoteke sa sistemskih zapisima podsustava kibana...............28 4.1.7. Sigurnosna zaštita konfiguracijske datoteke podsustava kibana..........................29 4.1.8. Pokretanje podsustava kibana...............................................................................30 4.1.9. Pregled sučelja podsustava kibana .......................................................................31 4.1.10. Konfiguracija prometa prema podsustavu elasticsearch ......................................31 4.1.11. Post instalacijske aktivnosti..................................................................................35 4.1.12. Postavljanje klijentskog računala .........................................................................39 4.1.13. Analiza prikupljenih podataka..............................................................................42 5. ZAKLJUČAK...................................................................................................................45 LITERATURA.........................................................................................................................47 SAŽETAK................................................................................................................................49
2 SUMMARY .............................................................................................................................50
3 POPIS SLIKA Slika 1: Usporedba karakteristika komercijalnih SIEM rješenja..............................................14 Slika 2 Shematski prikaz sustava unutar kojeg je implementirano SIEM rješenje ..................17 Slika 3: Logička shema dizajna projekta..................................................................................19 Slika 4: Konfiguracijska datoteka syslog-ng.conf....................................................................23 Slika 5: Definiranje repozitorija odakle će se instalirati elasticsearch .....................................24 Slika 6: Konfiguracijska datoteka elasticsearch.yml................................................................25 Slika 7: Definiranje repozitorija odakle će se instalirati kibana...............................................26 Slika 8 Provjera elasticsearch servisa.......................................................................................26 Slika 9 Dio konfiguracijske datoteke za kibanu .......................................................................27 Slika 10 Vlasništvo nad datotekom sistemskih zapisa podsustava kibana prije izmjene.........28 Slika 11: Vlasništvo nad datotekom sistemskih zapisa podsustava kibana nakon izmjene .....29 Slika 12: Vlasništvo nad kibana.yml datotekom prije izmjene ................................................29 Slika 13: Vlasništvo nad kibana.yml datotekom nakon izmjene..............................................30 Slika 14: Provjera kibana servisa .............................................................................................30 Slika 15: Kibana sučelje unutar Internet preglednika...............................................................31 Slika 16: Konfiguracija izvora syslog-ng datoteke ..................................................................32 Slika 17: Konfiguracija odredišta i putanje zapisnika kroz sustave.........................................33 Slika 18: Provjera sintakse syslog-ng konfiguracijske datoteke ..............................................35 Slika 19 Uspješna provjera sintakse syslog-ng konfiguracijske datoteke................................35 Slika 20: Pokretanje syslog-ng servisa nakon izmjena u konfiguracijskoj datoteci.................36 Slika 21 Učitavanje konfiguracijske datoteke u živući sustav .................................................37 Slika 22 Prikaz sistemskih zapisa vezanih uz ssh konekciju....................................................37 Slika 23 Prikaz input datoteke elasticsearcha s ručno upisanim zapisima ...............................38 Slika 24 Indeks uzorak i polja koja čine sistemski zapis..........................................................39 Slika 25 Prosljeđivanje sistemskih zapisa s klijenta na poslužitelj ..........................................40 Slika 26 Uspješno uspostavljena konekcija između klijenta i poslužitelja ..............................41 Slika 27 Prikaz klijentskog zapisa na poslužitelju ...................................................................41 Slika 28 Graf broja sakupljenih zapisa na pojedini dan ...........................................................43 Slika 29 Kontrolna ploča unutar kibane ...................................................................................44
4 POPIS TABLICA Tablica 1: Prikaz okvirnih cijena komercijalnih SIEM rješenja...............................................13
5 1. UVOD Informacijska sigurnost je u današnje vrijeme sve važnija. Ista postaje nezaobilazna prilikom razvijanja novih usluga i proizvoda uključenih u Internet poslovanje. Svjetsko, kao i hrvatsko tržište informacijske sigurnosti ima sve više izazova. Time je priroda poslova i aktivnosti koje se odnose na sigurnosne informacijske tehnologije sve dinamičnija i kompleksnija. Isto implicira da sigurnosne zakrpe propusta detektiranih u operacijskim sustavima i programskim paketima mogu sadržavati neke dodatne propuste ili generirati ranjivosti drugih dijelova sustava. Tržište sigurnosnih tehnologija svjedoči brzim promjenama i napretku, no rizici od potencijalnih napada neovlaštenim pristupom u informacijski sustav te kompromitacije i štete nad podacima sve više rastu. Ovaj dokument prikazuje instalaciju i konfiguraciju sustava koji ima mogućnost nadzora cijele mreže u stvarnom vremenu. Takav sustav može simultano zabilježiti i upozoriti administratora sustava da je u tijeku pokušaj kompromitacije nekog njegovog djela. Radi se o sustavu upravitelja sigurnosti informacija i događaja, skraćeno nazvanom - SIEM. Dokument je podijeljen u nekoliko poglavlja s pripadajućim pod poglavljima. U uvodu je prikazan sažetak projekta, a drugo poglavlje navodi općenite prijetnje i rješenja u tehnološkoj vertikali industrije te opisuje trend rasta količine korisničkih podataka i Interneta Osim spomenutog, drugo poglavlje opisuje izazove obrade velike količine podataka te prikazuje utjecaj kojeg tako velika količina podataka ima na sigurnost sustava. Spomenuto poglavlje sastoji se od tri dijela te opisuje načine analiziranja prijetnji u sustavu, uobičajene organizacijske strukture odjela informatike unutar kompanija i najčešće razlike u organizacijskoj strukturi velikih i malih kompanija. Glavna tema analizira dva sustava upravljanja informacijskom sigurnosti. Radi se o sustavima Splunk te IBM-ovom SIEM rješenju nazvanom QRadar. Ukratko su opisane njihove mogućnosti, prednosti i nedostaci. Na stvarnim poslovnim primjerima, opisano je kako se SIEM sustavi upotrebljavaju za nadzor nad elektroničkom poštom. U trećem poglavlju komparirani su komercijalni SIEM sustavi usporedbom kvalitete i cijene te su im grafički uspoređene ključne tehničke značajke. To je dijelom motiv ovog projekta jer zbog visoke cijene, SIEM sustavi općenito nisu poznati. Svaka tvrtka bi trebala definirati politiku informacijske sigurnosti te procijeniti odnos investicije i rizika u smislu odluke dobave i implementacije.
6 Četvrto poglavlje sadrži opis projektnog zadatka i opis izvedbe projekta s pripadajućim sustavima. U izvedbi su korištene tehnologije virtualizacije uz opis specifikacija i konfiguracija ključnih dijelova sustava. Projekt je izveden pomoću tri ključne komponente povezane u jednu cjelinu te se u daljnjem opisu nazivaju podsustavi. Za sva tri podsustava, detaljno je opisana instalacija i konfiguracija. Također, prikazan je način zaštite ključnih datoteka sustava (npr. konfiguracijske datoteke) od neovlaštenog pristupa kao i grafičko sučelje podsustava uz osnovni opis njegova korištenja. Sustav je izveden u klijentsko-poslužiteljskoj arhitekturi. Na kraju, opisuje se implementacija klijentskog računala u funkciji prosljeđivanja sistemskih zapisa (eng. log) poslužitelju i dodatne post implementacijske aktivnosti.
7 2. ZAŠTITA KORPORATIVNIH OKRUŽENJA Kao što je poznato, Gordon Moore je još 1965. godine pisao je o nabijanju više komponenti na integrirane sklopove. Tom prilikom, ovaj suosnivač tvrtki Fairchild Semiconductor i Intel opisao je zapažanje prema kojem se na svakih 18 mjeseci broj komponenata po integriranom krugu udvostručuje. Takvo zapažanje kasnije je nazvano Moore-ov zakon i jedan je od najpoznatijih zakona u digitalnom svijetu. Istarski astronom Korado Korlević, 5 desetljeća kasnije, u svom predavanju pod nazivom „Transhuman agenda: posljednje stoljeće homo sapiensa“ uočava puno širu primjenu Moore-ovog zakona. Naime, Korado spominje kako se Moore-ov zakon ne odnosi samo na broj tranzistora na čipu nego je „primjenjiv i na evoluciju memorijskog prostora, brzinu procesiranja, kapacitet akumulatora, kompleksnost grafike i softvera, sposobnosti robota, upravljanje evolucijom preko genetskih manipulacija“ i ostale pojave koje su dio života modernog doba. Jedna od tih pojava je svakako i razvoj digitalne sigurnosti, ali i digitalnih napada, ugroza i rizika. Potonjem dakako pogoduje i strelovit rast industrije i tržišno nadmetanje u kojem je cilj biti ne samo brži od konkurencije, nego i jeftiniji te ponuditi kvalitetniju uslugu. Takav razvoj industrije dovodi do bržeg izdavanja proizvoda na tržište, nerijetko nauštrb sigurnosti. Stoga nije neuobičajeno da se i u moderno doba događaju sigurnosni incidenti. U siječnju 2019. godine, javnosti su objavljene 2,2 milijarde kombinacija korisničkih imena i lozinki. Informacijska sigurnost je vrlo aktivna tema u kojoj se svakodnevno otkrivaju novi sigurnosni nedostaci te su svakog dana ranije otkriveni sigurnosni nedostaci izloženi raznim zakrpama (engl. patch). Na stranicama tvrtke Kaspersky dostupna je digitalna mapa koja prikazuje digitalne prijetnje u realnom vremenu. Osim toga, smjer u kojem se kreće tehnologija vidljiv je i iz procjene prema kojoj je 2008. godine broj korisnika Interneta širom svijeta bio otprilike 1 milijardu i 547 milijuna. Samo 10 godina kasnije, taj broj se povećao na 3 milijarde i 896 milijuna korisnika. Primjerice Facebook je te 2008. godine imao oko 80 milijuna korisnika, a na svijetu je bilo oko 250 milijuna mobilnih uređaja. Dakle, u samo 10 godina, 2018. godine stvoren je digitalni okoliš unutar kojeg se u jednoj minuti dogodi sljedeće:1 • 4,53 milijarde indeksiranih web stranica, • 3,5 milijuna pretraživanja na popularnoj tražilici Google, • 900 tisuća korisnika se autentificira na društvenu mrežu Facebook, • objavi se 452 tisuće tvitova (engl. tweet) na društvenoj mreži Twitter, 1 Podaci prikupljeni s više izvora navedenih u sekciji „LITERATURA“.
8 • pošalje se 156 milijuna poruka elektroničke pošte diljem svijeta (engl. email), • kreira se 1,8 milijuna objava putem društvene mreže Snapchat, • 46,200 slika objavi se na društvenoj mreži Instagram, • 4,1 milijuna videa se pregleda na YouTube-u, • Više od 70 tisuća sati se pregleda preko Netflix platforme, • Više od 700 tisuća dolara se potroši u kupovini preko Interneta i • preuzme se više od 342 tisuće mobilnih aplikacija s 2 najpoznatije tržnice za mobilne aplikacije - Google Play i App Store. Te brojke neprestano rastu, a s njima i problemi za sve vlasnike Internet sadržaja. Globalno gledajući, vlasnici web stranica i tvrtke napadnuti su više desetaka tisuća puta dnevno. Razvojem tehnologije, dolaskom IoT uređaja, 5G mreža, oblaka i dostupnosti Interneta, pojavljuju se dodatni rizici ne samo za informatičku tehnologiju i informacije, već i za kvalitetu života svakog pojedinca. Komunikacija uređaja i razvoj mreže uvele su jednu potpuno novu dimenziju, a to je blizina. Ta dimenzija je posebno opasna jer napadačima omogućava geografsku dislociranost, a istovremeno informacijsku blizinu. Sigurnost informacija podrazumijeva višestruke kontrole nad različitim skupinama uređaja, aplikacijama koje svaki uređaj koristi te podacima koji se koriste, obrađuju i razmjenjuju. Osim toga, potrebno je kontrolirati i kojim protokolima uređaji i aplikacije međusobno komuniciraju te koje podatke pritom razmjenjuju jer protokoli s vremenom zastarijevaju kako tehnologija napreduje. Njihove karakteristike i načini na koji protokoli rade i razmjenjuju informacije postaju s vremenom izvori ranjivosti. Razvojem tehnologije, povećava se i informatička pismenost, ali i područja koja je potrebno štititi. Ukupni prihodi digitalnog kriminala u 2018. godini procjenjuju se na 1,5 bilijuna američkih dolara od čega taj broj otpada na sljedeće kriminalne aktivnosti: • digitalno ilegalno tržište – 860 milijardi dolara, • trgovanje poslovnim tajnama i IP krađe – 500 milijardi dolara, • trgovanje podacima – 160 milijardi dolara, • zlonamjerni kod na zahtjev, kao usluga (engl. crime-ware) – 1,6 milijardi dolara te • zlonamjerni kod koji šifrira podatke (engl. ransomware) – 1 milijarda dolara. Osim toga, neki od najpoznatijih kompromitiranja sustava u posljednjem desetljeću kronološkim redoslijedom su: • 2011 – PlayStation = 77 milijuna kompromitiranih korisničkih računa, • 2013-2014 – Yahoo = 3 milijarde kompromitiranih korisničkih računa,
9 • 2014 – eBay = 145 milijuna kompromitiranih korisničkih računa, • 2014 – JPMorgan Chase = 76 milijuna domaćinstava i 7 milijuna malih poslovnih subjekata, • 2016 – Uber = 57,6 milijuna kompromitiranih korisničkih računa, • 2018 – Facebook = 87 milijuna kompromitiranih korisničkih računa te • 2018 – Under Armour = 150 milijuna kompromitiranih korisničkih računa. Upravo iz tog razloga, SIEM se profilira kao rješenje iako čak niti takav sustav ne garantira stopostotnu zaštitu, ali uvelike smanjuje vjerojatnost kompromitacije sustava. Koristeći određen skup softvera, uz pripadajuća znanja, smanjuje se vrijeme potrebno za identificiranje uzroka incidenata te mrežnih aktivnosti. Također, smanjuje se i vrijeme odgovora na incident, odnosno izolacija dijela mreže ako je to potrebno. Takav pristup čuva podatke, smanjuje troškove, održava plan kontinuiteta poslovanja tvrtke ili ustanove uz minimalne zastoje u radu i gubitke te na kraju krajeva, čuva ugled same tvrtke ili ustanove. Razvoj tehnologije svakim danom pred korporacije stavlja sve veći izazov zaštite korporativnih IT sustava. Korporacije imaju imperativ očuvanja podataka, odnosno njihove točnosti, cjelovitosti i dosljednosti. Takav imperativ ne nameće se samo zbog kvalitete vlastitog poslovanja nego i zbog zakonskih regulativa. Nametnute norme i regulative razvijaju se i ažuriraju sukladno razvoju tehnologije kako bi održale korak i pomogle u zaštiti sustava od modernih prijetnji. 2.1. Analiza prijetnji u sustavu Analiza prijetnji podijeljena je na statičku i dinamičku analizu. Statička analiza pregledava sadržaj datoteka koji cirkuliraju kroz sustav pomoću raznih softvera koji pretvaraju strojni jezik u asemblerski jezik (engl. disassemblers). Tako je moguće vidjeti instrukcije pojedine štetne datoteke te predvidjeti na koji način će one utjecati na okruženje i podatke unutar njega. Takav pristup mnogo ovisi o ljudskom radu i ekspertizi pojedinca stoga ponekad iz pristupa statičkom analizom mogu proizaći mnogobrojni rizici. Dinamička analiza označava pokretanje štetne datoteke na sustavu, u izoliranom okruženju ili okruženju koje nema utjecaj na rad važnih sustava. Kada se datoteka pokrene, administratori uz pomoć ostalih ugrađenih sustava i softvera mogu pratiti ponašanje štetne datoteke i njen utjecaj na sustav. Osnovno praćenje podrazumijeva provjeru procesa koje zlonamjerna datoteka pokreće, njeno spajanje na Internet, pregled datoteka koje preuzima te sustave s kojima pokušava ostvariti interakciju.
10 2.2. Opći pregled strukture odjela za informacijsku sigurnost unutar korporacija Veliki broj kompanija na slabije razvijenim tržištima nema strogo definirane odjele za informacijsku sigurnost koje se bave samo informacijskom sigurnosti nego se najčešće radi o objedinjenim odjelima. U takvim kompanijama za sigurnost su najčešće zaduženi zaposlenici postojećih odjela informatike koji se bave administriranjem sustava i/ili informatičkom podrškom. To je donekle i razumljivo zbog visoke cijene kvalitetne informacijske sigurnosti. Takvim pristupom manje i srednje kompanije pristaju na mnogo veće rizike napada i probijanja sustava te krađe i objave povjerljivih poslovnih informacija. Kompanije koje imaju specijalizirane odjele za informacijsku sigurnost najčešće su velike i svima dobro poznate kompanije. Odjel informatičke sigurnosti ponekad može biti zadužen i za niz drugih aktivnosti poput fizičke sigurnosti, zaštite na radu, zaštite od požara te za sprječavanje računalnih prijevara odnosno blisku suradnju s odjelom za prijevare. Informatička sigurnost najčešće se dijeli na dva dijela. Jedan dio čini uprava za sigurnost na čelu s predsjednikom za sigurnost (engl. Chief Security Officer – CSO) koji upravlja svim područjima sigurnosti unutar kompanije. Uprava za sigurnost donosi odluke o načinima pristupa o pojedinoj prijetnji. Drugi dio čini centar za operativnu sigurnost (engl. Security Operations Center – SOC). SOC je zadužen za operativni dio informacijske sigurnosti koji između ostalog podrazumijeva prepoznavanje i uklanjanje prijetnji, prijedloge rješenja, proaktivan nadzor nad sustavom te unaprjeđivanje sigurnosne inteligencije. SOC ima izravan pristup podacima i sustavu te je dužan na temelju prikupljenih podataka pružati podršku upravi za sigurnost u donošenju odluka. 2.3. Opći pregled pojedinih sustava upravitelja sigurnosti informacija i događaja Iz razgovora s pojedincima iz struke, zaključak je kako tvrtke na hrvatskom tržištu prate svjetske trendove u odabiru sustava upravitelja sigurnosti informacija i događaja – SIEM. Razlog za takvu situaciju na tržištu je cijena. SIEM si mogu priuštiti samo velike kompanije. Na hrvatskom tržištu, najčešće se radi o podružnicama velikih svjetskih kompanija koje potom svoju metodologiju i sustave koriste u cijeloj grupaciji. Dva poznata i korištena sustava na hrvatskom tržištu su Splunk, proizvod istoimene kompanije te rješenje IBM-a nazvano QRadar. Oba sustava načelno rade na sličnom principu te prikupljaju podatke iz više izvora, odnosno s različitih uređaja i drugih sustava. Njihova sposobnost su napredne aritmetičke operacije koje obavljaju nad prikupljenim podacima. Analizom i identificiranjem sirovih i nesortiranih podataka, spomenuti sustavi mogu izdvojiti važne i relevantne informacije za administratore
11 što im omogućava pravovremenu reakciju kada je to potrebno. Takvi sustavi su vrlo napredni te imaju čitav spektar dodatnih mogućnosti kao što su slanje dojava kada se u sustavu primijete definirani događaji te se takvi sustavi vrlo često koriste za nadzor komunikacije elektroničkom poštom. Primjerice, ako se dogodi situacija da zaposlenik korporacije A primi elektroničku poštu s domenom korporacije od zaposlenika korporacije B, a elektronička pošta nije poslana s poslužitelja elektroničke pošte unutar korporacije, SIEM sustavi mogu kreirati obavijest zaposleniku da se radi o potencijalno malicioznoj poruci ili u kombinaciji s drugim sustavima zaštite čak spriječiti da takva elektronička pošta ikada dođe do zaposlenika korporacije B. Međutim, takva konfiguracija bi otvorila nove rizike, a detaljniji opis svih scenarija izašao bi iz opsega ovog dokumenta.
12 3. SUSTAV UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA SIEM je alat koji ima mnogobrojne mogućnosti i poboljšanja u raznim područjima poslovanja, a stručnjacima informacijske sigurnosti služi kako bi na vrijeme primijetili i odgovorili na incidente. SIEM koristi napredne algoritme pomoću kojih automatizira zadatke koji se ponavljaju. Osim toga, u stanju je pružiti korisne informacije administratorima sustava i ostalim obučenim IT profesionalcima. Takav sustav pomaže korporaciji uspješno sanirati računalne incidente, donositi pravovremene i ispravne odluke te analizirati prijetnje u računalnom okruženju. Analiza prijetnji provodi se s ciljem prevencije i zaštite sustava prije nego ranjivosti budu iskorištene. SIEM je u svojim počecima bio kreiran kao rješenje koje bi sakupljalo sistemske zapise s različitih sustava i pohranjivalo ih na centralno mjesto. Međutim s porastom količine podataka, počele su se širiti i njegove mogućnosti. S vremenom, SIEM se razvijao kako bi mogao detektirati različite tipove sumnjivih ponašanja te ih pratiti i nadzirati. 3.1. Motivi za kreiranje vlastitog sustava upravitelja sigurnosti informacija i događaja Velike tvrtke imaju vrlo kompleksna IT okruženja koja generiraju velike količine podataka (engl. big data) s različitih uređaja u stvarnom vremenu. SIEM može unaprijediti faktor iskoristivosti informatičkih resursa tvrtke te analizirati stanje podataka vezanih uz sigurnost korištenjem analitike prilagođene tvrtkama koji generiraju velike količine podataka. Iako je tržište već podijeljeno kada je riječ o SIEM rješenju, nekoliko karakteristika je zajedničko svim proizvođačima. Kao najvažnija karakteristika, za članove uprava i ljude koji donose odluke o takvim financijskim i tehnološkim rješenjima, ističe se cijena. Osim toga, kako bi se postigla konkurentnost na tržištu, SIEM rješenja su često dizajnirana s fokusom na pojedine aktivnosti, odnosno reducirajućih sposobnosti za neke druge aktivnosti kako bi se bolje uklopila u poslovanje tvrtke i kako bi bila cjenovno prihvatljivija.
13 Sljedeća tablica prikazuje najpopularnija SIEM rješenja i njihovu okvirnu cijenu. Treba imati na umu da svaki proizvođač nudi različite modele plaćanja te da usluge ovog tipa imaju više mogućih cijena zbog toga što se temeljem njih mogu ponuditi različite razine kvalitete isporuke. Također, napretkom rješenja u oblaku, cijena dodatno varira u odnosu na fizička rješenja postavljena u prostorijama tvrtke. Samu cijenu definira i duljina trajanja licence. Zbog preglednosti dokumenta, ali i potencijalnog variranja cijena i usluga, tablicom 1 je prikazana samo okvirna cijena pojedinih SIEM rješenja. Sve navedene cijene nisu jednokratne nego predstavljaju troškove sustava u određenom vremenu. Tablica 1: Prikaz okvirnih cijena komercijalnih SIEM rješenja Splunk Enterprise Security (ES) $600-$4.500/GB LogRhythm SIEM $28,000 AlienVault Unified Security Management (USM) $5,595/licence Micro Focus ArcSight Na temelju podataka i sigurnosnih događaja u sekundi, prema komentarima, u vrhu cjenovnog ranga u odnosu na konkurenciju Micro Focus Sentinel Enterprise $48,000 McAfee Enterprise Security Manager (ESM) $40,794 IBM Security QRadar $10,700/mj - lokalno odnosno $800/mj za Cloud (SaaS) RSA NetWitness Suite Maloprodajni model - $857/mj Term licenca za poduzeće - $8200/mj SolarWinds Log & Event Manager $4585 za 30 čvorova Dakle, vidljivo je da cijena SIEM rješenja nije zanemariv trošak nego se radi o vrlo dobro proučenom i ispitanom trošku koji se odobrava s namjerom. Visoki menadžment prije odobravanja takvog troška mora prikupiti sve potrebne informacije kako bi izračunao isplativost takve investicije te na kraju odlučiti da li je investicija opravdana ili nije. Naravno, potreba ovisi o mnogo faktora i donosi se na temelju mnogo kriterija. Ti faktori i kriteriji neće biti detaljnije raspisivani zato što početnici u početku svoje karijere neće imati priliku raditi s takvom opremom stoga im te informacije neće biti od koristi. S druge strane, IT profesionalci i ljudi koji su dugi niz godina dio informatičkog i poslovnog svijeta zasigurno već
14 imaju sve potrebne informacije te su razvili način razmišljanja koji ih navodi na zaključke i bez da su se prije susretali s takvom opremom. Zbog cjelovitosti samog dokumenta, prikazane će biti tek neke osnovne karakteristike pojedinih komercijalnih SIEM rješenja. Slika 1 prikazuje neke od najpoznatijih svjetskih komercijalnih SIEM rješenja te njihovu međusobnu usporedbu i rangiranje prema najčešćim karakteristikama koje tvrtke traže od SIEM rješenja. Slika 1: Usporedba karakteristika komercijalnih SIEM rješenja Kao što je vidljivo na slici 1, ne postoji univerzalno, odnosno najbolje SIEM rješenje. Svako rješenje je razvijeno s naglaskom na pojedinu prednost nad konkurencijom te svaka karakteristika pojedinačno ima svoje prednosti. 3.2. Sustav upravitelja sigurnosti informacija i događaja kao dio modernih tvrtki Tvrtke koriste SIEM rješenja zato što pomoću njih mogu spremiti i analizirati velike količine prikupljenih podataka. Ovisno o industriji, SIEM rješenja vrlo brzo daju izvještaje na temelju kojih se donose odluke te se planira daljnje poslovanje. Ipak, u ovom dokuementu naglasak je u korištenju SIEM rješenja u informatičke svrhe. Kao što je već spomenuto, broj računalnih ugroza i sigurnosnih prijetnji u konstantnom je porastu. Tvrtke pomoću SIEM rješenja žele: • zaštititi poslovanje, • spriječiti napade na svoje sustave,
15 • očuvati poslovne tajne, • spriječiti curenje podataka te • očuvati imidž tvrtke i povjerenje svojih korisnika. SIEM rješenja bilježe i prate sistemske zapise te obavještavaju administratora tvrtke o sumnjivim događanjima koje su detektirane unutar mreže tvrtke. Padom cijene potrošačke tehnologije, rastom broja čipova i rastom snage tih čipova, generira se previše zapisa da bi sam čovjek to mogao pratiti. Istraživačka tvrtka Gartner malom implementacijom SIEM-a smatra otprilike 300 izvora događaja uz brzinu od 1500 događaja u sekundi (engl. events per second - EPS) i pohranu podataka do 800 GB. Tvrtka Volkswagen ima 16 tisuća poslužitelja, od čega 12 tisuća poslužitelja čine Linux poslužitelji te 4 tisuće poslužitelja koji su pokretani Windows Server operacijskim sustavom. U takvim okruženjima, nije učinkovito da se administratori spajaju na svaki poslužitelj te s njega očitavaju sistemske zapise i analiziraju prijetnje. U praksi, svi zapisi se skupljaju na centralnom poslužitelju te se uz pomoć dodatnih mehanizama filtriraju kako bi se izvukle samo važne informacije na temelju kojih se donose odluke. SIEM ima sposobnost filtrirati sve podatke i dati na uvid samo najvažnije podatke kako bi upravljanje bilo što jednostavnije. Osim toga, SIEM ima ugrađene mehanizme za pomoć tvrtkama s nizom propisa i regulativa s kojima zakonski moraju biti usklađene. Prema podacima iz 2017. godine, organizacije su potrošile oko 2,4 milijarde dolara na SIEM rješenja dok se općenito na digitalnu sigurnost izdvojilo 98 milijardi dolara. Tvrtka Gartner predviđa rast troška za SIEM na 2,6 milijardi dolara u 2018. godini te 3,4 milijarde dolara u 2021. godini. Brojke i nisu toliko važne kao dio ovog dokumenta koliko je važno razumjeti da se radi o tržištu s kontinuiranim porastom prijetnji i ulaganja. Tome u prilog ide trajni nedostatak vještina ljudskih resursa na tržištu rada, ali i regulatorne promjene kao što je primjerice „Opća uredba o zaštiti podataka“ (GDPR) koja vrijedi za podatke koji su povezani s geografskom lokacijom Europske Unije. Iako su navedeni faktori samo dio uzorka rasta tržišta sigurnosnih usluga, vrlo kvalitetno ilustriraju trenutnu situaciju u području informacijske sigurnosti i donose podlogu za daljnje diskusije i promišljanja. Pitanja privatnosti sve više postaju predmetom razgovora i rasprava ne samo u visokim regulatornim tijelima, nego i u svakodnevnom životu korisnika. Mišljenja i iskustva korisnika izravno su povezana s poslovnim rezultatima tvrtke. Stoga, tvrtke ulažu puno resursa kako bi poslušali svoje korisnike i pružili im najbolje korisničko iskustvo. Gartner vjeruje da će zabrinutost za privatnost dovesti do barem 10% tržišne potražnje za sigurnosnim uslugama u 2019. godini. Sigurnosne usluge koje su usmjerene ka zaštiti privatnosti utječu na različite segmente poslovanja kao što su
16 upravljanje identitetom i pristupom (engl. identity and access management - IAM), raspolaganje i administracija podataka (engl. identity governance and administration - IGA) te sprječavanje gubitka podataka (engl. data loss prevention - DLP). Jedan od primjera povrede podataka (engl. data breach) koji je snažno odjeknuo u stranim medijima, dok je u hrvatskim medijima prošao gotovo nezapaženo, jest incident koji je imao SingHealth. Radi se o najvećoj singapurskoj zdravstvenoj instituciji. Naime, prema članku 33 Opće uredbe o zaštiti podataka, tvrtke su obavezne prijaviti riskantne povrede podataka nadzornom tijelu u roku od 72 sata. Tako je otkriveno da su iz SingHealtha iscurili osobni podaci 1,5 milijuna pacijenata među kojima je i sam singapurski premijer Lee Hsien Loong te nekoliko drugih ministara. Takve situacije ukazuju na ranjivosti informacijskih sustava te na nedovoljne ili neodgovarajuće mehanizme zaštite koje se primjenjuju. 3.3. Način rada sustava upravitelja sigurnosti informacija i događaja Već je ranije objašnjeno da je SIEM specijalizirani sustav za analizu koji generira korisne zapise iz velike količine događaja. Ključni izvori podataka su sistemski zapisi koje generiraju sustavi kao što su poslužitelji, radne stanice, sigurnosni uređaji i drugi. SIEM također može uzimati i razne druge vrste podataka kao što su NetFlow i mrežni paketi, kontekstualne informacije o korisnicima, resursima, prijetnjama i ranjivostima koje se mogu pronaći unutar organizacije ili u njenoj okolini. NetFlow tehnologija karakteristična je za CISCO mrežne uređaje koja omogućava prikupljanje, analizu i upravljanje korisničkim navikama. Zbog različitih izvora, prikupljeni podaci se moraju preoblikovati kako bi ih SIEM mogao razumjeti i izvještavati na temelju njih. Jednom kada se podaci dovedu u oblik razumljiv SIEM-u, tada on može nad njima vršiti interpretaciju, izvještavati o prijetnjama, pružati korelaciju i analitiku, prikazivati sigurnosna upozorenja, prezentirati podatke i održavati usklađenost sa zadanim zahtjevima. Ključna razlika između različitih SIEM alata je u broju i raznolikosti izvora zapisa koji se mogu povezati za potrebe agregiranja podataka i donošenja odluka na temelju tih podataka. Obično je moguće napraviti konektor za pojedinačni uređaj ili aplikaciju, ali to može biti skup i dugotrajan proces. Iz tog razloga razvoj zasebnih konektora je nepraktičan za velik broj izvora zapisa. Upravo netom navedeno je razlog zbog čega svaki proizvođač SIEM rješenja ima cilj obuhvatiti što je moguće veći broj izvora zapisa u skladu s internom politikom i tržišnim metama na koje cilja. Međutim, mnogo tvrtki ima razvijene svoje vlastite aplikacije koje su prilagođene poslovnim potrebama. Ako tvrtke žele takve aplikacije uključiti u SIEM, moraju za njih napraviti odgovarajuće konektore. Što se tiče komercijalnih aplikacija, na temelju broja
17 podržanih aplikacija, specifikacije podržanih aplikacija, cijene i dodatnih faktora se odabire određeni SIEM proizvod. Slika 2 prikazuje načelni smještaj SIEM rješenja unutar postojećeg informacijskog sustava: Sustav uvoza podataka – kolektor (engl. Collector) Radne stanice Vatrozid PreklopnikUsmjernik Glavno računaloPoslužitelj SIEM sustav Administrator sigurnosti Slika 2 Shematski prikaz sustava unutar kojeg je implementirano SIEM rješenje
18 4. IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA Zadatak projekta je kreirati SIEM sustav temeljen na tehnologijama otvorenog koda koristeći samo osobni laptop, poslužitelj i tehnike virtualizacije. Kreiranje sustava započinje instalacijom operacijskog sustava, ali taj dio se ne opisuje jer izlazi izvan opsega ovog dokumenta. Sustav mora odgovarati stvarnim poslovnim potrebama današnjice stoga je specifikacija hardvera i softvera izvedena na reprezentativnim uzorcima. Nakon kreiranja okruženja, sustav će biti testiran. 4.1. Korišteni sustavi koji čine sustav upravitelja sigurnosti informacija i događaja U nastavku slijedi popis sustava korištenih za izradu projekta: • operacijski sustav poslužitelja: CentOS 7, • operacijski sustav klijenta: Kali Linux. • softver za virtualizaciju: Oracle VM VirtualBox 6.0 te • operacijski sustav računala domaćina: Windows 7 Poslužitelj se sastoji od sljedećih ključnih sustava: • syslog-ng, • elasticsearch i • kibana. Za spajanje na virtualna računala korišten je ssh protokol na mrežnom priključku 22 pomoću putty softvera. 4.1.1. Tehničke specifikacije poslužitelja Kada je sve ispravno instalirano, moguće je nastaviti projekt. Ključno je izdvojiti na koji način je projekt izveden. Slika 3 prikazuje logičku shemu dizajna projekta, odnosno opisuje na koji način je projekt postavljen.
19 Slika 3: Logička shema dizajna projekta Kao što je vidljivo sa slike 3, korištena je tehnika virtualizacije kako bi se simulirao SIEM poslužitelj pokrenut na fizičkom računalu. Korištenjem Oracle VM VirtualBox 6.0 kreirano je računalo sa sljedećim hardverskim karakteristikama: • radna memorija: 2 GB, • broj procesorskih jezgri: 1, • veličina virtualnog čvrstog diska: 20 GB, • način rada mrežnog adaptera: način mosta (engl. bridged mode) te • iso datoteka korištena za instalaciju operacijskog sustava CentOS 7: CentOS-7-x86_64- Minimal-1810.iso. Tako kreirano računalo ima ulogu SIEM poslužitelja. 4.1.2. Tehničke specifikacije klijentskog računala Klijentsko računalo čija je namjena prikupljati sistemske zapise i slati ih SIEM poslužitelju na obradu koristi Kali Linux operacijski sustav. Radi se o virtualnom računalu koje se sastoji od sljedećih hardverskih karakteristika: • radna memorija: 4 GB, • broj procesorskih jezgri: 4, • veličina virtualnog čvrstog diska: 20 GB, • način rada mrežnog adaptera: način mosta (engl. bridged mode) te Operacijski sustav domaćina Hipervizor Operacijski sustav gosta Aplikacije Biblioteke Elasticsearch Kibana Ostale aplikacije
20 • iso datoteka korištena za instalaciju operacijskog sustava Kali Linux: Kali Linux 2018.1 4.1.3. Podsustav syslog-ng Syslog-ng je besplatna implementacija syslog protokola za sustave bazirane na Unix-u. Syslog- ng je aplikacija otvorenog koda, a zahvaljujući zajednici Belabit IT Security Ltd. koja radi na njegovom unaprjeđenju, do sada je omogućeno proširenje funkcija originalnog syslogd modela. Tako je dodano filtriranje temeljeno na sadržaju i ostale bogate mogućnosti filtriranja. Osim toga, syslog-ng je unaprijeđen opcijama dinamičke konfiguracije te TCP protokolom za transport kojeg originalni syslog ne posjeduje. Postoje dva izdanja sa zajedničkom kodnom bazom - syslog-ng Open Source Edition (OSE) s LGPL licencom te Premium Edition (PE) koja ima dodatne module s vlasničkom licencom koja inačicu izdvaja iz kategorije besplatnih softvera. U ovom projektu korištena je besplatna inačica syslog-ng (OSE). Syslog-ng omogućava mnoštvo dodatnih značajki za prijenos syslog poruka i njihovo spremanje u datoteku koja sadrži sistemske zapise. Neke od značajki nabrojane su u nastavku: • mogućnost formatiranja sistemskih zapisa koristeći proširenje ljuske koja je slična kao i uobičajena ljuska dostupna na Unix sustavima (može biti nekompatibilna s formatima sistemskih zapisa između više različitih platformi), • korištenjem jedne tvrdnje unutar proširene ljuske, moguće je pri imenovanju datoteka označiti više datoteka na različitim lokacijama, • omogućava slanje sistemskih zapisa lokalnim aplikacijama, • pruža podršku za kontrolu protoka poruka u mrežnom prometu, • omogućava bilježenje sistemskih zapisa u bazu podataka - od verzije syslog-ng OSE 2.1, • omogućava prepisivanje dijelova poruke s postavljenim i zamjenskim dijelovima - od verzije syslog-ng OSE 3.0, • omogućava klasificiranje dolaznih sistemskih zapisa te istovremeno strukturiranje informacija iz nestrukturirane poruke - od verzije syslog-ng OSE 3.0, • omogućava podršku za generička imena i vrijednosti - svaki zapis je skup parova ime:vrijednost koji se može koristiti za pohranjivanje dodatnih informacija - od verzije syslog-ng OSE 3.0, • mogućnost obrade strukturiranih zapisa koji se prenose preko syslog-a, kao što su izdvojeni stupci iz CSV formatiranih linija od verzije i
21 • sposobnost povezivanja višestrukih dolaznih zapisa u složeniji, korelirani događaj - od verzije syslog-ng OSE 3.2. Instalacija syslog-ng na CentOS 7 Nakon što je kreirano virtualno računalo i instaliran CentOS 7 operacijski sustav, potrebno je instalirati i dodatne alate kako bi virtualno računalo bilo spremno ispuniti definirani zadatak. U nastavku se nalaze dvije naredbe koje su unesene odmah nakon instalacije CentOS-a: • sudo yum groupinstall "Development tools" i • sudo yum install wget Te dvije naredbe bile su preduvjet i za dohvaćanje syslog-ng arhive. Važno je spomenuti da se u informatici do istog rezultata može doći na više načina, a zbog velikog broja načina te njihovih međusobnih odnosa i karakteristika nema smisla opisivati svaki pojedinačno. Takav pristup bi izašao daleko izvan okvira samog dokumenta. Nakon toga, dohvaćeni su i dodatni korisni paketi čiji se sadržaj neće detaljno opisivati. Za potrebe ovog dokumenta, dovoljno je spomenuti da su paketi dohvaćeni naredbama: • wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm i • rpm -Uvh epel-release-latest-7.noarch.rpm Nakon toga, ljuska je prebačena u odgovarajući direktorij kako bi bila spremna za preuzimanje syslog-ng repozitorija. Mijenjanje direktorija je napravljeno naredbom: • cd /etc/yum.repos.d/ Sam sustav syslog-ng dohvaćen je sljedećom naredbom: • wget https://copr.fedorainfracloud.org/coprs/czanik/syslog-ng321/repo/epel-7/czanik- syslog-ng321-epel-7.repo Instalacija syslog-ng sustava napravljena je naredbom: • yum install syslog-ng Nakon instalacije, potrebno je omogućiti i pokrenuti syslog-ng servis kako bi se provjerilo je li syslog-ng sustav ispravno instaliran. Omogućavanje i pokretanje servisa napravljeno je sljedećim naredbama:
22 • systemctl enable syslog-ng i • systemctl start syslog-ng Kada se instalacija dovrši, dobra praksa nalaže provjeriti da li je izlazni rezultat jednak očekivanom. Iz tog razloga, naredbom cd /etc/syslog-ng ljuska ulazi u instalacijski direktorij syslog-ng. Unutar tog direktorija nalazi se aktualna konfiguracijska datoteka syslog-ng. Osim konfiguracijske, ovdje se nalazi još jedna važna datoteka imena patterndb.d. Ta datoteka sadrži uzorak xml datoteke koja se koristi za parsiranje sistemskih zapisa. Datoteka configure je skripta koja se pokreće kako bi se konfigurirala syslog-ng infrastruktura. Ista se pokreće naredbom ./configure ako se ljuska nalazi u direktoriju unutar kojeg nalazi sama configure datoteka. Pretpostavimo da se ljuska nalazi u istom direktoriju kao i datoteka configure. U ovom projektu, taj direktorij se nalazi unutar arhive na lokaciji /usr/local/src/syslog-ng 3.5.4.tar.gz. Ako se unutar tog direktorija pokrene naredba ./configure --help rezultat će biti dodatne informacije i popis postavki koje se mogu poslati kao argumenti i tako konfigurirati syslog-ng. Opisani postupak je ekvivalent označavanja opcija klikom miša u modernim Windows operacijskim sustavima. Pregled konfiguracijske datoteke Kada se ljuska pozicionira u instalacijski direktorij syslog-ng, u njemu se nalazi konfiguracijska datoteka imena syslog-ng.conf. Takvu datoteku moguće je otvoriti bilo kojim uređivačem teksta, a s obzirom na to da je u projektu korišten CentOS 7 operacijski sustav, za otvaranje konfiguracijske datoteke korišten je VI uređivač teksta. Naredbom vi syslog-ng.conf otvara se konfiguracijska datoteka sa sadržajem kao na slici 4:
23 Slika 4: Konfiguracijska datoteka syslog-ng.conf Datoteka se sastoji od 3 glavne komponente konfiguracije: • izvorište (engl. source), • odredište (engl. destination) te • zapisnik (engl. log) U komponenti izvorište definirani su različiti izvori koji mogu generirati sistemske zapise. Komponenta odredište označava odredište na kojem će se spremiti zabilježeni sistemski zapisi. Unutar konfiguracije komponente odredište, naveden je i predložak prema kojem će se spremiti zabilježeni sistemski zapisi. U konkretnom slučaju ovoga projekta, zapisi će se spremiti kao par ključ:vrijednost poput programske varijable rječnik (engl. dictionary). Uloga komponente zapisnik je povezivanje komponenti izvorište i odredište.
24 Nakon što je syslog-ng uspješno instaliran, sljedeći korak je instalirati elasticsearch koji će zapravo pohranjivati podatke. 4.1.4. Podsustav elasticsearch U projektu, korišten je elasticsearch verzije 7.2.0-1. Nužno je da se verzije elasticsearcha i kibane podudaraju kako bi mogle funkcionirati međusobno. Kako bi instalirali elasticsearch, pomoću vi uređivača teksta kreirana je datoteka na putanji /etc/yum.repos.d/elasticsearch.repo sljedećom naredbom: • vi /etc/yum.repos.d/elasticsearch.repo Slika 5 prikazuje sadržaj elasticsearch.repo datoteke. Slika 5: Definiranje repozitorija odakle će se instalirati elasticsearch Nakon što je repozitorij definiran, vrijeme je za instalaciju. Elasticsearch za CentOS 7 napravljen je u obliku paketa veličine 148 MB, ali za rad zahtjeva 231 MB slobodnog prostora na disku. Instalacija elasticsearcha pokreće se naredbom: • yum install elasticsearch Kada se elasticsearch instalira, u direktoriju /etc/elasticsearch kreira se datoteka imena elasticsearch.yml. To je konfiguracijska datoteka za elasticsearch. Slika 6 prikazuje konfiguracijsku datoteku elasticsearcha. Datoteka je dohvaćena naredbom: • vi /etc/elasticsearch/elasticsearch.yml
25 Slika 6: Konfiguracijska datoteka elasticsearch.yml Na slici 6 označena je putanja u koju se bilježe sistemski zapisi. Također, vidljiva je struktura datoteke i način na koji su odijeljena određena područja i njihove konfiguracije. U dijelu Network postavlja se IP adresa poslužitelja na kojem će elasticsearch osluškivati promet. Predefinirana vrijednost je IP adresa lokalnog poslužitelja (engl. localhost). Kako u ovom konkretnom slučaju elasticsearch koristi kibanu za vizualizaciju podataka, on sam ne mora slušati na posebnom mrežnom sučelju nego može ostati na lokalnom poslužitelju. 4.1.5. Podsustav kibana U projektu, korištena je kibana verzije 7.2.0. Kibana nudi vizualnu podršku administratoru i prikazuje podatke spremljene u elasticsearchu. Kibana je instalirana na vrlo sličan način kao i elasticsearch. Kako bi instalirali kibanu, pomoću vi uređivača teksta kreirana je datoteka na putanji /etc/yum.repos.d/kibana.repo sljedećom naredbom:
26 • vi /etc/yum.repos.d/kibana.repo Slika 7 prikazuje sadržaj kibana.repo datoteke: Slika 7: Definiranje repozitorija odakle će se instalirati kibana Sam Kibana paket ima 191 MB, međutim za rad koristi 432 MB prostora na disku. Kada se kibana instalira, u direktoriju /etc/kibana kreira se datoteka imena kibana.yml . To je konfiguracijska datoteka za kibana platformu. Nadalje, u ovom trenutku uspješno su instalirani elasticsearch i kibana. Sljedeće naredbe će postaviti omogućiti servis elasticsearch i pokrenuti ga: • systemctl enable elasticsearch i • systemctl start elasticsearch Prije provjere da li se elasticsearch stvarno pokrenuo, potrebno je instalirati netstat mrežni alat ako već nije instaliran. S obzirom na to da napravljeno novo virtualno računalo isključivo za potrebe projekta, potrebno je instalirati grupu mrežnih alata naredbom yum -y install net-tools . U toj grupi alata nalazi se i spomenuti netstat. Naredba watch 'netstat -tupan | grep -i list' prikazuje na kojim se mrežnim priključcima aktivno osluškuju promet. Slika 8 prikazuje rezultat izvršavanja navedene naredbe. Slika 8 Provjera elasticsearch servisa
27 Na slici 8 označeni su mrežni priključci 9200 i 9300 koji potvrđuju da je elasticsearch ispravno pokrenut. Naime, radi se o preddefiniranim mrežnim priključcima na kojima elasticsearch osluškuje promet. Konfiguracijska datoteka za kibanu dohvaća se sljedećom naredbom: • vi /etc/kibana/kibana.yml Slika 9 prikazuje predefinirane postavke konfiguracijske datoteke za kibanu. Slika sadrži samo dio datoteke. Slika 9 Dio konfiguracijske datoteke za kibanu Kao što je vidljivo iz konfiguracijske datoteke na slici 9, preddefinirani mrežni priključak za kibanu je 5601, a poslužitelj na kojem osluškuje promet je lokalni poslužitelj (engl. localhost). U ovom slučaju, moguće je pustiti kibanu da se pokrene na lokalnom poslužitelju ili je moguće napraviti obrnuti proxy pristup preko mrežnih priključaka 80 ili 443 bez izlaganja kibane
28 stvarnom mrežnom sučelju. Odlučeno je da će se u projektu kibana postaviti da osluškuje promet na stvarnom mrežnom sučelju koje nosi IP adresu 192.168.1.61. To je ujedno i IP adresa virtualnog računala na kojemu je kibana instalirana. Kada je konfiguracijska datoteka otvorena pomoću uređivača teksta, u konkretnom slučaju radi se o vi uređivaču teksta, potrebno je pronaći redak #server.host: „localhost“ te obrisati znak # s početka postavke. Znak # označava da je postavka onemogućena te ju program koji izvršava kod (engl. interpreter) ne izvršava nego je preskače, odnosno koristi preddefinirane postavke. Osim toga, potrebno je obrisati „localhost“ te umjesto toga upisati ranije spomenutu IP adresu – 192.168. 1.61. Također, potrebno je postaviti postavku elasticsearch.hosts. Zbog toga što je elasticsearch konfiguriran tako da osluškuje na lokalnom poslužitelju (engl. localhost), dovoljno je samo ukloniti znak # koji označava komentar s početka naredbe. Ako će elasticsearch biti potrebno pokrenuti na nekoj drugoj instanci ili IP adresi, ovdje je potrebno postaviti poveznicu (engl. link) tako da se kibana može ispravno povezati s elasticsearch. U konfiguraciji kibane potrebno je postaviti i odredište na koje će se zapisivati sistemski zapisi. Ispod retka #logging.dest: stdout potrebno je dodati novi redak sadržaja logging.dest: /var:log/kibana.log. Nakon što je konfiguracijska datoteka uspješno izmijenjena, potrebno je spremiti promjene. Za korištenje servisa, podsustav kibana koristi korisnika kibana“. Stoga prije pokretanja podsustava kibana pokrenuta je naredba usermod -a -G kibana kibana kako bi osigurali da grupa imena kibana sadrži korisnika imena kibana. 4.1.6. Sigurnosna zaštita datoteke sa sistemskih zapisima podsustava kibana Radi se o datoteci kibana.log te ovo poglavlje nema utjecaj na izvršavanje kibane. Dodano je kao sigurnosna mjera kako bi cijeli projekt bio kvalitetno zaokružena cjelina. Datoteka sistemskih zapisa kibane nalazi se na putanji /var/log/kibana.log. Upisom naredbe ls -l /var/log/kibana.log prikazat će se prava koja ima datoteka sistemskih zapisa kibane, koja se zove kibana.log. Slika 10 prikazuje kako je korisnik root vlasnik kibana.log datoteke te kako grupa root ima pristup, odnosno vlasništvo nad tom datotekom. Slika 10 Vlasništvo nad datotekom sistemskih zapisa podsustava kibana prije izmjene
29 Naredbom chown kibana:kibana /var/log/kibana.log mijenja se vlasnik i grupa koja ima pristup datoteci. Slika 11 prikazuje promjenu vlasništva nad datotekom kibana.log. Novi vlasnik nad datotekom kibana.log je korisnik imena kibana, a nova grupa koja ima pristup, odnosno vlasništvo nad datotekom je grupa imena kibana. Slika 11: Vlasništvo nad datotekom sistemskih zapisa podsustava kibana nakon izmjene Kako bi sigurnosni aspekt bio zadovoljen, naredbom chmod 200 /var/log/kibana.log samo korisniku imena kibana koji je vlasnik datoteke dodijelit će se pravo da može pisati u datoteku sistemskih zapisa podsustava kibane. Ta dozvola je vrlo restriktivna sa stajališta sustava, ali sa stajališta sigurnosti, nema potrebe da nad datotekom sistemskih zapisa bude omogućeno bilo koje dodatno pravo. 4.1.7. Sigurnosna zaštita konfiguracijske datoteke podsustava kibana Radi se o datoteci kibana.log te ovo poglavlje nema utjecaj na izvršavanje kibane. Dodano je kao sigurnosna mjera kako bi cijeli projekt bio kvalitetno zaokružena cjelina. Konfiguracijska datoteka kibane nalazi se na putanji /etc/kibana/kibana.yml . Naredbom ls -l /etc/kibana/kibana.yml dobit ćemo prava koja ima konfiguracijska datoteka kibane, koja se zove kibana.yml. Slika 12 prikazuje kako je root korisnik vlasnik kibana.yml datoteke te kako grupa root ima pristup, odnosno vlasništvo nad tom datotekom. Slika 12: Vlasništvo nad kibana.yml datotekom prije izmjene Naredbom chown kibana:kibana /etc/kibana/kibana.yml mijenja se vlasnik i grupa koja ima pristup datoteci. Slika 13 prikazuje promjenu vlasništva nad datotekom kibana.yml . Novi vlasnik nad datotekom kibana.yml je korisnik imena kibana, a nova grupa koja ima pristup, odnosno vlasništvo nad datotekom je grupa imena kibana.
30 Slika 13: Vlasništvo nad kibana.yml datotekom nakon izmjene Kako bi sigurnosni aspekt bio zadovoljen, naredbom chmod 500 /etc/kibana/kibana.yml korisniku imena kibana koji je vlasnik datoteke dodijelit će se pravo da može čitati i izvršavati konfiguracijsku datoteku podsustava kibana. Ta dozvola je vrlo restriktivna sa stajališta sustava, ali sa stajališta sigurnosti, nema potrebe da nad konfiguracijskom datotekom bude omogućeno bilo koje dodatno pravo. To su minimalna prava nad datotekom koja su potrebna da bi se kibana servis mogao pokrenuti. Ukidanjem prava čitanja ili izvršavanja za korisnika imena kibana, servis kibana se neće uspješno pokrenuti. 4.1.8. Pokretanje podsustava kibana Podsustav kibana se pokreće sljedećim naredbama: • systemctl enable kibana i • systemctl start kibana Također, kao i u slučaju elasticsearch, naredbom watch ‘netstat -tupan | grep -I list’ moguće je provjeriti na kojim se mrežnim priključcima aktivno osluškuju promet. Slika 14 prikazuje uspješno pokretanje elasticsearch i kibana servisa. Slika 14: Provjera kibana servisa Na slici 14 označen je mrežni priključak 5601 koji potvrđuje da je kibana ispravno pokrenuta. Naime, radi se o preddefiniranom mrežnom priključku na kojem kibana osluškuje promet. Mrežni priključci 9200 i 9300 pripadaju elasticsearch servisu kako je ranije prikazano slikom 8.
31 4.1.9. Pregled sučelja podsustava kibana Kada su servisi elasticsearch i kibana uspješno postavljeni i upaljeni može se testirati rad kibane izlaskom iz ljuske CentOS 7, odnosno povratkom na klijentsko računalo. Upisom IP adrese i mrežnog priključka u Internet preglednik, pojavljuje se sučelje kibane. U projektu ono se nalazi na adresi 192.168.1.61:5601 kao što je i prikazano slikom 14. Važno je napomenuti da postoji mnogo poteškoća i problema kako bi se ispravno pokrenuli elasticsearch i kibana servisi te da bi se ispravno otvorilo sučelje. Problemi nastaju zbog Linux operacijskog sustava i zbog kompleksnosti samog sustava. Svaka greška nije opisivana pojedinačno jer nije u opsegu ovog dokumenta. Nakon što su svi problemi riješeni, prikazalo se sučelje kibane čiji izgled predstavlja slika 15: Slika 15: Kibana sučelje unutar Internet preglednika Jedna od najvažnijih karakteristika kibane je vrlo moćna granulacija filtriranja koje omogućava filtriranje zapisa prema mnoštvu različitih metapodataka. Iako se najčešće u poslovima administracije sustava učestalo koristi svega nekoliko metapodataka, u nekim specifičnim slučajevima i kritičnim situacijama, mogućnost filtriranja prema velikom broju različitih metapodataka može uštedjeti vrijeme administratorima kako bi detektirali određene anomalije. 4.1.10. Konfiguracija prometa prema podsustavu elasticsearch Kada su elasticsearch i kibana uspješno postavljeni, potrebno je konfigurirati syslog-ng kako bi prikupljao sistemske zapise s uređaja na mreži i prosljeđivao ih do elasticsearch-a. Na slici 4 već je ranije prikazan izgled konfiguracijske datoteke syslog-ng. S obzirom na opseg
32 dokumenta, izbačena je podrška za TLS te je izmijenjena početna konfiguracijska datoteka. Naredba vi /etc/syslog-ng/syslog-ng.conf otvara konfiguracijsku datoteku syslog-ng pomoću vi uređivača teksta. Kao što je vidljivo sa slike 4, u preddefiniranoj konfiguracijskoj datoteci nije postavljen mrežni izvor prometa. Stoga je potrebno dodati mrežni izvor kako bi elasticsearch dobio mrežni promet koji mora obraditi. Slika 16 prikazuje novokreiranu konfiguraciju mrežnog izvora (označeno crvenim pravokutnikom). Slika 16: Konfiguracija izvora syslog-ng datoteke Postavka ip(0.0.0.0) označava da se promet osluškuje na svim sučeljima. Kao što je vidljivo iz konfiguracije na slici 16, osluškuje se promet po protokolima TCP i UDP. Bilježenje prometa po TCP protokolu je pouzdanije nego preko UDP protokola zato što zahtjeva sinkronizaciju u tri koraka (engl. three-way handshake) te za svaki primljeni paket, čvor kome je paket
33 namijenjen javlja je li ga primio uspješno ili neuspješno te se u slučaju neuspješne dostave, paket šalje ponovno. Međutim neki uređaji ne podržavaju TCP stoga su u konfiguraciju postavljena oba protokola. Za potrebe testiranja, kreirana je i datoteka koja sadrži izvor podataka imena source s_file, na slici 16 označena žutim pravokutnikom. Datoteka se nalazi na putanji /tmp/input/ te će svi zapisi koji se postave na navedenu putanju biti uključeni u elasticsearch. Također, u konfiguraciju je potrebno upisati i odredište elasticsearcha. Na slici 17, zelenim pravokutnikom je označena konfiguracija odredišta elasticsearcha. Slika 17: Konfiguracija odredišta i putanje zapisnika kroz sustave
34 Postoje dva načina na koja se može izvesti konfiguracija odredišta elasticsearcha. Prvi način označava java dodatak (engl. plugin), a drugi način odnosi se na SCTP koji izvodi poziv zatvaranja kako bi poslao seriju zapisa preko HTTP protokola. U projektu se koristi dodatak nazvan elasticsearch-http. Unutar uglatih zagrada, definirani su parametri dodatka. Klijentski način rada postavljen je za rad putem HTTP protokola. Kao indeks, postavljen je syslog-ng s definiranim varijablama koje pridružuju datum svakom elasticsearch indeksu. Indeks sadržava uzorke sistemskih zapisa koje kibana vizualizira i grafički prikazuje. Upisivanjem nepostojećeg imena kao parametar indeksa, stvorit će se novi indeks u koji će se spremati svi sistemski zapisi. Vremenska zona postavljena je na europsko vrijeme. Kao tip, postavljen je parametar log, a url označava putanju do elasticsearcha. Nakon konfiguracije izvorišta i odredišta, potrebno ih je povezati. Na slici 17, plavom bojom označen je dio konfiguracije koji povezuje izvorište i odredište zapisa kako bi se uspješno obuhvatio cijeli proces obrade zapisa. Kada je syslog-ng uspješno konfiguriran, potrebno je ponovno učitati izmijenjenu konfiguracijsku datoteku. Najčešće, korisnicima u kućnim okruženjima je najjednostavnije ponovno pokrenuti računalo. Međutim, u korporativnim rješenjima, takvo rješenje može uzrokovati zastoj nekog od ključnih servisa te uzrokovati financijske gubitke. Iz tog razloga ne preporučuje se ponovno pokretati sustav zbog jednostavnih izmjena u konfiguracijskoj datoteci. Umjesto ponovnog pokretanja sustava, postupak je drugačiji te se u aktivan sustav učitava izmijenjena konfiguracijska datoteka. Prije svega, potrebno se uvjeriti da se konfiguracijska datoteka ispravno napisana te da nema sintaksnih grešaka. Naredbom syslog-ng --syntax-only provjerava se sintaksa konfiguracijske datoteke. Ako konfiguracijska datoteka sadrži sintaksne greške, syslog-ng će prestati s radom. Slika 18 prikazuje primjer izvršavanja navedene naredbe tijekom provedbe projekta.
35 Slika 18: Provjera sintakse syslog-ng konfiguracijske datoteke Naredba je pokrenuta prvi puta nakon što je konfiguracijska datoteka izmijenjena. Takav pristup omogućava bolji uvid u realno radno okruženje u kojem greške nisu nešto što se nikada ne događa. Greške je potrebno na vrijeme detektirati i ispraviti prije nego se nađu u produkcijskoj okolini. Kao što je vidljivo sa slike 18, u retku broj 36 na kraju nedostaje znak točka-zarez. Nakon što je ta greška ispravljena ponovno je pokrenuta naredba za provjeru sintakse dokumenta. Slika 19 prikazuje opisani set naredbi i uspješno provedenu provjeru sintakse syslog-ng konfiguracijske datoteke: Slika 19 Uspješna provjera sintakse syslog-ng konfiguracijske datoteke 4.1.11. Post instalacijske aktivnosti Postavljanje syslog-ng konfiguracijske datoteke zadnji je veliki korak u instalaciji SIEM sustava. Kada je konfiguracijska datoteka postavljena, potrebno ju je ponovno učitati kako bi sustav radio prema konfiguriranim parametrima. Moguće je jednostavno ponovno pokrenuti syslog-ng kao što je već predloženo ranije, ali to nije preporučljivo jer ne želimo da sustav prekida sa svojim radom. Pogotovo ne zbog malenih promjena u konfiguraciji. Umjesto toga, bolje rješenje je samo ponovno učitavanje konfiguracijske datoteke.
36 Postoje tri različita načina na koji možemo ponovno učitati konfiguracijsku datoteku, a to je naredbama: • systemctl reload syslog-ng, • syslog-ng-ctl reload ili • killall -HUP syslog-ng. Prije upisa neke od tih naredbi, očekuje se da syslog-ng bude pokrenut. Syslog-ng pokreće se naredbom systemctl start syslog-ng. Kao i u prethodnim slučajevima s elasticsearchom i kibanom, tako i u ovom slučaju, status servisa možemo provjeriti naredbom systemctl status [imeservisa], što zapravo znači da status syslog-ng servisa provjeravamo naredbom systemctl status syslog-ng. Također, isto kao i u slučaju elasticsearcha i kibane, potrebno je provjeriti je li mrežni priključak 51400 osluškuje promet. To se može provjeriti pomoću već spomenute naredbe netstat -tupan | grep -i 51400. Slika 20 prikazuje prethodno opisane naredbe pokretanja syslog-ng, provjere statusa te provjere osluškivanja prometa na mrežnom priključku 51400. Slika 20: Pokretanje syslog-ng servisa nakon izmjena u konfiguracijskoj datoteci Jednom kada je konfiguracijska datoteka promijenjena, a servis syslog-ng aktivan, potrebno je učitati tako promijenjenu konfiguracijsku datoteku. U ovom slučaju, učinili smo to naredbom syslog-ng-ctl reload iz jednostavnog razloga što ona daje povratnu informaciju o uspješnosti izvođenja eksplicitno prikazanu na ekranu, za razliku od primjerice naredbe systemctl reload syslog-ng. Potonja naredba ne daje nikakvu informaciju ako se uspješno izvrši. Čak iako je konfiguracijska datoteka neispravna, ali naredba ponovnog učitavanja servisa nije naišla na grešku pri ponovnom učitavanju servisa, navedena naredba neće ispisati nikakvo upozorenje korisniku. Nakon što se konfiguracija ponovno učita, iskusni administrator će provjeriti
37 osluškuje li servis promet na konfiguriranim mrežnim priključcima. To čini već više puta spomenutom naredbom netstat -tupan | grep -i 51400. Slika 21 prikazuje ponovno učitavanje konfiguracije u živući sustav bez zaustavljanja njegovog rada i ponovnog pokretanja cijelog sustava. Na slici 21 također je vidljiva i provjera servisa po mrežnom priključku 51400 nakon ponovnog učitavanja konfiguracije. Slika 21 Učitavanje konfiguracijske datoteke u živući sustav Kada je poslužitelj uspješno postavljen, potrebno je testirati prikaz sistemskih zapisa. U tu svrhu, prije instalacije i konfiguracije klijentskog računala, zapisi će biti ručno dodani u datoteku iz koje ih elasticsearch čita. Naredba cat /var/log/secure | grep -i ssh prikazuje zapise vezane uz ssh konekciju. S obzirom na to da je tijekom izvedbe projekta korišten putty, sigurno je da će naredba vratiti neki zapis koji se može iskoristiti za prikaz. Slika 22 prikazuje rezultat spomenute naredbe i sistemske zapise vezane uz ssh konekciju na poslužitelju. Slika 22 Prikaz sistemskih zapisa vezanih uz ssh konekciju Označeni zapis govori da je prihvaćena lozinka za korisnika root s IP adrese fizičkog računala te daje informaciju o mrežnom priključku. Taj zapis je odabran i kopiran nekoliko puta u datoteku iz koje elasticsearch čita zapise. Do te datoteke dolazimo naredbom vi /tmp/input . Upisom spomenute naredbe, otvara se prazna datoteka u koju je kopirana označena linija sa slike 22. Kao što je već spomenuto, tako ručno upisan zapis u input datoteku koristi se u svrhu testiranja poslužitelja prije konfiguracije klijentskog računala.
38 Slika 23 prikazuje sadržaj datoteke koju čitaju elasticsearch i kibana. Elasticsearch u tu datoteku sprema zapise, a kibana iz te datoteke uzima spremljene zapise i vizualizira ih u svom interaktivnom grafičkom sučelju. Slika 23 Prikaz input datoteke elasticsearcha s ručno upisanim zapisima Spremanjem input datoteke, kreiran je indeks unutar kibane. Osnovni podaci o indeksu zapisani su u konfiguracijskoj datoteci syslog-ng. Prvotno je definiran parametar index(''syslog-ng'') te je za očekivati da će veličina tog indeksa rasti s vremenom kako se budu popunjavali podaci. Ono što je rizično u takvoj konfiguraciji jest vjerojatnost da se neki sistemski zapisi izbrišu ili da se prepišu čitavi indeksi zapisa. Stoga je izmijenjen navedeni indeks parametar tako da se indeksi kreiraju uz pomoć varijabli koje svakom indeksu dodaju datum kako bi se izbjegli opisani rizici. Novi izgled indeks parametra u konfiguracijskog datoteci syslog-ng koja se nalazi na putanji /etc/syslog-ng/syslog-ng.conf je index(''syslog-ng_${YEAR}.${MONTH}.${DAY}''), što je i vidljivo na slici 17 . Nakon što je syslog-ng konfiguracijska datoteka mijenjana, potrebno je ponovno provjeriti sintaksu naredbom syslog-ng --syntax-only kako ne bi došlo do neočekivanog prestanka rada syslog-ng servisa. Kada se naredba za provjeru sintakse uspješno izvršila, iz Internet sučelja kibane izbrisan je testni indeks kreiran po starom parametru bez datuma. Nakon što je testni indeks izbrisan, potrebno je ponovno pokrenuti syslog-ng iz terminala SIEM poslužitelja naredbom syslog-ng- ctl reload . Također, potrebno je i ažurirati input datoteku dodavanjem još nekoliko redaka zapisa. Izmijenjena datoteka je spremljena, a to je izazvalo kreiranje novog indeksa unutar kibane samo ovaj put uz dodatak datuma u imenu. Kada je indeks uspješno kreiran, postavljen je indeks predložak. Unutar kibane on se nalazi na putanji Management->Index Patterns->Create index pattern. U polje index pattern upisan je regularni izraz (engl. regex) koji će obuhvatiti sve indekse, a to je syslog-ng_*.
39 Pritiskom na next gumb, otvara se mogućnost filtriranja vremena. Ovdje je odabrana vrijednost ISODATE te je kreiran uzorak. Prikazano je 28 različitih polja koja čine sistemski zapis i daju informaciju o događaju. Slika 24 prikazuje kreirani indeks uzorak i dio polja koje čine sistemski zapis. Slika 24 Indeks uzorak i polja koja čine sistemski zapis Nije nužno da svaki sistemski zapis sadrži točno 28 polja koji ga karakteriziraju. Također, u prikazanim poljima ne postoji podatak o geografskoj lokaciji za koju bi se zapis vezao. Na temelju geografske lokacije, kibana nudi kreiranje različitih mapa kojima povezuje informaciju s određenom geografskom lokacijom. S takvim mogućnostima, ovakav SIEM sustav može se koristiti i u drugim djelatnostima, potpuno neovisnima i izvan područja informacijske sigurnosti. Jedan od takvih primjera je u seizmologiji koja pomoću SIEM sustava može bilježiti podatke o potresima. 4.1.12. Postavljanje klijentskog računala Nakon što je SIEM poslužitelj uspješno postavljen, potrebno je kreirati klijentsko računalo u mreži s kojeg će se prikupljati sistemski zapisi. U tu svrhu odabran je 64-bitni Kali Linux kao još jedno virtualno računalo.
40 Sama instalacija virtualnog računala je izvan okvira ovoga dokumenta i neće biti detaljno objašnjena. Nakon što je klijentsko virtualno računalo uspješno instalirano i prvi puta pokrenuto, kreće se u proces konfiguracije. Otvaranjem terminala i upisom naredbe vi /etc/rsyslog.conf, terminal ulazi u konfiguracijsku datoteku rsyslog servisa koji dolazi predinstaliran na operacijskom sustavu klijenta. Na samom kraju datoteke potrebno je dodati liniju *.* @@192.168.1.61:51400 kao što je prikazano na slici 25: Slika 25 Prosljeđivanje sistemskih zapisa s klijenta na poslužitelj Upisana IP adresa označava IP adresu SIEM poslužitelja. Jedan znak @označava da će se sistemski zapisi slati preko UDP protokola, a dva znaka @@ označavaju da će se sistemski zapisi slati preko TCP protokola. Kako bi izbjegli gubitke sistemskih zapisa, u ovoj konfiguraciji koristi se slanje sistemskih zapisa preko TCP protokola. Kada je konfiguracijska datoteka servisa izmijenjena, potrebno je ponovno pokrenuti servis, odnosno učitati konfiguracijsku datoteku u sustav kako bi se servis počeo ponašati onako kako je definirano novom konfiguracijom. Nakon ponovnog pokretanja rsyslog servisa naredbom systemctl restart rsyslog¸ potrebno je provjeriti da li je konekcija uspostavljena. Očekivani rezultat naredbe netstat -tupan | grep -i 51400 prikazan je na slici 26:
41 Slika 26 Uspješno uspostavljena konekcija između klijenta i poslužitelja Kada je konekcija uspješno uspostavljena, znači da se sistemski zapisi uspješno prosljeđuju SIEM poslužitelju. Za provjeru, napravljena je nova sesija aplikacijom putty prema računalu klijenta. Nakon što se korisnik root prijavio na klijentsko računalo, očekuje se da je taj zapis klijentsko računalo proslijedilo SIEM poslužitelju te da je taj zapis vidljiv pomoću kibane. Slika 27 prikazuje uspješnu autentifikaciju korisnika root na klijentsko računalo. Slika 27 Prikaz klijentskog zapisa na poslužitelju Slika 27 potvrđuje ispravnu konfiguraciju između poslužitelja i klijentskog računala. Klijentsko računalo je uspješno prikupilo zapis o korisničkoj prijavi i poslalo ga podsustavu syslog-ng. Podsustav syslog-ng je zapis uspješno pohranio u podsustav elasticsearch odakle je vidljiv podsustavu kibana te ga je moguće uvrstiti u vizualizacijski izvještaj. Nakon što je sustav uspješno postavljen, pomoću njega se mogu nastaviti prikupljati zapisi s klijentskog računala ili se mogu dodati nova klijentska računala te se njihovim međusobnim povezivanjem može
42 stvoriti veće IT okruženje. Takvo okruženje nije u opsegu ovoga dokumenta stoga neće biti niti detaljnije objašnjeno. 4.1.13. Analiza prikupljenih podataka Nakon što je uspješno postavljena konekcija između klijenta i poslužitelja, poslužitelj počinje skupljati sistemske zapise s klijentskog računala. Cijeli projekt izveden je na kućnom računalu kao što je i opisano u poglavlju 4 kada je definiran projektni zadatak. Kućno računalo se svakodnevno koristi i za druge operacije te zbog svojih nedovoljno snažnih hardverskih performansi nije bilo u moguće stalno držati pokrenutim još dva virtualna računala – SIEM poslužitelja i SIEM klijenta. Iz tog razloga cijeli sustav ne radi stalno kako bi radio u stvarnom korporativnom okruženju nego su virtualna računala pokretana prema potrebi te su podaci skupljani u nekoliko odvojenih vremenskih intervala. Za potpunu simulaciju stvarnog korporativnog okruženja, cijeli sustav bi trebalo prebaciti na poslužitelj te bi u okruženje trebalo dodati više poslužitelja, ali i više klijentskih računala kako bi se prikupilo više podataka te kako bi se mogli postaviti odgovarajući algoritmi u skladu s prikupljenim podacima. Ovisno o korporaciji, moguće je izvesti i neke naprednije algoritme koji bi radili razne izračune prilagođene pojedinoj korporaciji. Međutim s obzirom na projektni zadatak definiran u poglavlju 4, sam sustav nije u okviru ovog projekta dodatno preseljen na poslužitelj unutar neke od korporacija. Također s obzirom na opseg dokumenta, prikazivanje i simulacija svih mogućih slučajeva u kojima je moguće, odnosno poželjno ili preporučljivo koristiti SIEM sustav, daleko bi premašili opseg dokumenta. SIEM sustav se prilagođava korporaciji i njenim potrebama stoga bi svaku od tih mogućnosti bilo potrebno dokumentirati, konfigurirati, testirati i prikazati. Takav pristup zahtjeva poznavanje, ali i mogućnosti testiranja unutar različitih industrija. Spomenute su već mogućnosti poput seizmologije ili podrške u prodaji. Slika 28 prikazuje datume kada su sakupljani sistemski zapisi.
43 Slika 28 Graf broja sakupljenih zapisa na pojedini dan Osim datuma prikupljanja zapisa, slika 28 prikazuje i informaciju o broju zapisa koji su prikupljeni na određeni dan. Sa slike je vidljivo da je najveća aktivnost zabilježena na datum 28. rujna 2019. godine. Osim prikazanog grafa, kibana ima još mnogo grafova i načina na koje vizualizira podatke. Međutim, izvan opsega dokumenta je opisivati svaku mogućnost kibane. Više informacija o tome može se pronaći u službenoj dokumentaciji svake pojedine verzije. Osim izrade pojedinih grafova, kibana nudi mogućnost grupiranja pojedinih grafova u jedinstvenu kontrolnu ploču (engl. dashboard). Takva mogućnost daje administratorima jednostavan pristup podacima i detekciju anomalija. Slika 29 daje primjer kontrolne ploče na temelju prikupljenih podataka tijekom provedbe projekta. Pojedini grafovi izrađeni su različitim načinima vizualizacije kibane kako bi se dobio uvid u njene mogućnosti.
44 Slika 29 Kontrolna ploča unutar kibane Kao što je vidljivo sa slike 29, grafovi prikazuju različite podatke na različite načine. Prvi graf s lijeva prikazuje broj sistemskih zapisa po pojedinom servisu i prioritetu. U sredini slike 29, gornji graf prikazuje broj sistemskih zapisa po pojedinom tipu. Donji graf prikazuje popis računala s kojih se sakupljaju zapisi te daje informaciju o tome koliko je zapisa prikupilo pojedino računalo. Ovdje je potrebno napomenuti da su računala siemclient i računalo s IP adresom 192.168.1.13 zapravo ista računala. Međutim, zapisi su poslani prije konfiguracije imena računala tako da je syslog-ng u atribut identifikacije računala upisao IP adresu s kojeg je zapis došao. U desnom dijelu slike 29 nalazi se ukupan broj prikupljenih zapisa te najčešće poruke koje sadržavaju zapisi. To su poruke o pokretanju i zaustavljanju rada pojedinih servisa, otvaranje i zatvaranje sesija pojedinih korisnika na pojedinim računalima i slično.
45 5. ZAKLJUČAK Informacijska sigurnost obuhvaća cijeli spektar različitih sigurnosnih tehnologija. Njihovim razvojem i općenitom pojavom novih generacija ICT usluga i sklopovsko-aplikativnih produkata otvara se prostor novim sigurnosnim prijetnjama. Tehnologije i mehanizmi zaštite podataka nužno moraju pratiti navedenu ekspanziju tržišta. Dokuemnt prikazuje jedan od načina kojim se tvrtke pokušavaju zaštititi od prijetnji. Opisani SIEM sustavi prikupljaju sistemske zapise, uočavaju anomalije u uzorcima te promptno kreiraju upozorenja. Isto dovodi do skraćivanja vremena reakcije na štetan događaj. Istovremeno, takvi sustavi sposobni su segregirati dijelove IT okruženja te primjerice ograničiti pristup podacima na produkcijskom okruženju. Drugim riječima, sustav je sposoban odvojiti neispravnu komponentu i izolirati je kako ne bi utjecala na rad ostatka sustava. SIEM sustavi administratorima omogućavaju kontrolu nad poslužiteljima, bazama podataka i mrežnim uređajima. Osim nadzora nad sustavom, SIEM rješenja ispunjavaju zahtjeve revizija i drugih regulatornih obaveza te osiguravaju usklađenost s dobrim praksama, normama i ostalim regulativama. SIEM rješenja također imaju ugrađene mehanizme za vizualni prikaz i izvještavanje. U dokumentu je prikazano korištenje Kibane kao vizualizacijskog alata za prikaz prikupljenih zapisa. Pojedina SIEM rješenja korisniku pružaju dodatnu mogućnost korištenja sustava za poslovno izvještavanje obrađujući komercijalne podatke. Općenito radi se o vrlo prilagodljivim sustavima širokih mogućnosti. Zbog svoje široke mogućnosti primjene i mnoštva funkcija, tvrtke uvode SIEM rješenje kao podršku poslovnim procesima u skladu sa zahtjevima tržišta. Kupci traže učinkovit pristup svojim dobavljačima. Iako takav pristup pogoduje kupcu, predstavlja značajan izazov za informacijsku sigurnost poduzeća s obzirom na to da se tako proširuje površina napada. Pregledom trendova u svijetu informacijske sigurnosti vidljivo je da neizbježnost napada nije na zanemarivoj razini. Iz toga se može očekivati da će u budućnosti potreba za SIEM sustavima rasti. Iako u dokumentu nije prikazana implementacija SIEM sustava u realno korporativno okruženje, u samom dokumentu vidljiv je dio kompleksnosti postavljanja SIEM sustava. S tom svrhom, u dokumentu je prikazan manji broj grešaka koje su se pokazale tijekom izvedbe i konfiguracije. U verziji produkta 3.21 koja je korištena u ovom projektu za povezivanje syslog- ng sustava i elasticsearcha korišten je nov način preporučen u tehničkoj dokumentaciji sustava. Zaključak je da, s obzirom na sveobuhvatnost SIEM sustava, nije dovoljno cijelo rješenje sagledati samo iz inženjerske perspektive, već je potrebno sagledati i onu poslovnu sa strane
46 korporativnog upravljanja. Isto podrazumijeva kapitalnu investiciju u sklopovsko-aplikativnu podršku te operativne troškove implementacije, održavanja i edukacije djelatnika za podršku i korištenje sustava.
47 LITERATURA [1] https://searchsecurity.techtarget.com/feature/Splunk-Enterprise-Security-Product-overview (pristupljeno 19.2.2019) [2] https://www.esecurityplanet.com/products/logrhythm-vs-splunk-siem-solutions- compared.html (pristupljeno 19.2.2019) [3] https://www.esecurityplanet.com/products/alienvault-vs-splunk-siem-solutions- compared.html (pristupljeno 19.2.2019) [4] https://itbusinessedge.itcentralstation.com/products/arcsight-pricing-and-license-cost (pristupljeno 19.2.2019) [5] https://www.esecurityplanet.com/products/micro-focus-sentinel-enterprise-siem.html (pristupljeno 19.2.2019) [6] https://www.esecurityplanet.com/products/mcafee-enterprise-security-manager-siem.html (pristupljeno 19.2.2019) [7] https://www.esecurityplanet.com/products/solarwinds-log-event-manager-siem.html (pristupljeno 25.2.2019) [8] https://www.esecurityplanet.com/network-security/security-information-event- management-siem.html (pristupljeno 27.2.2019) [9] https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts- worldwide-information-security-spending-to-exceed-124-billion-in-2019 (pristupljeno 27.2.2019) [10] https://lwn.net/Articles/424459/ (pristupljeno 25.3.2019) [11] https://www.elastic.co/support/matrix (pristupljeno 2.4.2019) [12] https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html (pristupljeno 6.4.2019) [13] https://www.elastic.co/guide/en/kibana/current/rpm.html (pristupljeno 6.4.2019) [14] https://tools.ietf.org/html/rfc4960 (pristupljeno 3.4.2019) [15] https://newsroom.intel.com/wp-content/uploads/sites/11/2018/05/moores-law- electronics.pdf (pristupljeno 18.2.2019)
48 [16] https://www.forbes.com/profile/gordon-moore/#2f91c42225ac (pristupljeno 18.2.2019) [17] http://zk.dbi.hr/korado-korlevic-posljednje-stoljece-homo-sapiensa/ (pristupljeno 18.2.2019) [18] https://www.wired.com/story/collection-leak-usernames-passwords-billions/ (pristupljeno 30.1.2019) [19] Digitalna mapa prijetnju u realnom vremenu dostupna je na linku https://cybermap.kaspersky.com/ (pristupljeno 18.2.2019) [20] https://www.statista.com/statistics/273018/number-of-internet-users-worldwide/ (pristupljeno 18.2.2019) [21] Podaci su prikupljeni s više izvora te je uzeta prosječna vrijednost nekoliko izvora. Okviran skup podataka dostupan je na Forbesovim stranicama - https://www.forbes.com/sites/bernardmarr/2018/05/21/how-much-data-do-we-create-every- day-the-mind-blowing-stats-everyone-should-read/#5a16d36b60ba (pristupljeno 18.2.2019) [22] Više informacija i interaktivnog sadržaja dostupno je na poveznici - http://www.internetlivestats.com/one-second/#instagram-band - koja prikazuje što se sve događa na Internetu unutar samo jedne sekunde te http://www.internetlivestats.com/ - koja prikazuje što se sve događa na Internetu unutar samo jednog dana (pristupljeno 18.2.2019) [23] https://www.thesslstore.com/blog/2018-cybercrime-statistics/ (pristupljeno 24.4.2019)
49 SAŽETAK Cilj ovog projekta je opis implementacije sustava za upravljanje sigurnosnim informacijama i događajima (u daljnjem tekstu: SIEM). SIEM (engl. Security Information and Event Manager) je postavljen korištenjem alata otvorenog koda te su kroz projekt analizirane mogućnosti i funkcionalnosti trenutno dostupnih alata. Korištenjem alata otvorenog koda izbjegnuti su troškovi licenciranja, a samostalno sastavljanje SIEM sustava povećava mogućnosti konfiguracije, ažuriranja te prilagodbe specifičnim potrebama okruženja. Ovaj dokument daje osvrt na temu digitalne sigurnosti općenito, temeljem prikupljenih informacija i iskustava najavljuje što bi se moglo događati u svijetu digitalne sigurnosti u budućnosti, ali i predstavlja stečena znanja. KLJUČNE RIJEČI: SIEM, digitalna sigurnost, Internet, spam, open-source, alati otvorenog koda, syslog-ng, elasticsearch, kibana
50 SUMMARY The purpose of this project is to implement a security information and event management system (hereinafter referred to as SIEM). SIEM (Security Information and Event Manager) is set up using open source tools and analyzes the capabilities and functionality of currently available tools. The use of open source tools avoids licensing costs, and the self-assembly of a SIEM system increases the ability to configure, update, and adapt to the specific needs of the environment. This paper gives an overview of the topic of digital security in general, based on the information and experience gathered, announces what might happen in the digital security world in the future, but also presents the lessons learned. KEYWORDS: SIEM, digital security, Internet, spam, open-source, open source tools, syslog- ng, elasticsearch, kibana

Recommended

Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...
Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...
Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...FilipBakula
 
Nastanak i karakteristike informatickog drustva
Nastanak i karakteristike informatickog drustvaNastanak i karakteristike informatickog drustva
Nastanak i karakteristike informatickog drustvaborises
 
Komparativna analiza antivirusnih alata operativnih sustava Android i iOS
Komparativna analiza antivirusnih alata operativnih sustava Android i iOSKomparativna analiza antivirusnih alata operativnih sustava Android i iOS
Komparativna analiza antivirusnih alata operativnih sustava Android i iOSTomislav Pejić
 
Kratka priča o mrežama - preklopnici i usmjerivači
Kratka priča o mrežama - preklopnici i usmjerivačiKratka priča o mrežama - preklopnici i usmjerivači
Kratka priča o mrežama - preklopnici i usmjerivačiHrvoje Horvat
 
Programiranje Za Internet - S.Mujačić , S.Lemeš
Programiranje Za Internet - S.Mujačić , S.LemešProgramiranje Za Internet - S.Mujačić , S.Lemeš
Programiranje Za Internet - S.Mujačić , S.LemešBenjamin Spahić
 
Microsoft DreamSpark vodič/priručnik v3.01
Microsoft DreamSpark vodič/priručnik v3.01Microsoft DreamSpark vodič/priručnik v3.01
Microsoft DreamSpark vodič/priručnik v3.01Tomislav Stanković
 
Programiranje za internet - Samra Mujačić, Samir Lemeš
Programiranje za internet - Samra Mujačić, Samir LemešProgramiranje za internet - Samra Mujačić, Samir Lemeš
Programiranje za internet - Samra Mujačić, Samir LemešBenjamin Spahić
 
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...Kresimir Popovic
 

Recommended

Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...
Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...
Instalacija i konfiguracija sustava za raspoređivanje opterećenja u okruženju...FilipBakula
 
Nastanak i karakteristike informatickog drustva
Nastanak i karakteristike informatickog drustvaNastanak i karakteristike informatickog drustva
Nastanak i karakteristike informatickog drustvaborises
 
Komparativna analiza antivirusnih alata operativnih sustava Android i iOS
Komparativna analiza antivirusnih alata operativnih sustava Android i iOSKomparativna analiza antivirusnih alata operativnih sustava Android i iOS
Komparativna analiza antivirusnih alata operativnih sustava Android i iOSTomislav Pejić
 
Kratka priča o mrežama - preklopnici i usmjerivači
Kratka priča o mrežama - preklopnici i usmjerivačiKratka priča o mrežama - preklopnici i usmjerivači
Kratka priča o mrežama - preklopnici i usmjerivačiHrvoje Horvat
 
Programiranje Za Internet - S.Mujačić , S.Lemeš
Programiranje Za Internet - S.Mujačić , S.LemešProgramiranje Za Internet - S.Mujačić , S.Lemeš
Programiranje Za Internet - S.Mujačić , S.LemešBenjamin Spahić
 
Microsoft DreamSpark vodič/priručnik v3.01
Microsoft DreamSpark vodič/priručnik v3.01Microsoft DreamSpark vodič/priručnik v3.01
Microsoft DreamSpark vodič/priručnik v3.01Tomislav Stanković
 
Programiranje za internet - Samra Mujačić, Samir Lemeš
Programiranje za internet - Samra Mujačić, Samir LemešProgramiranje za internet - Samra Mujačić, Samir Lemeš
Programiranje za internet - Samra Mujačić, Samir LemešBenjamin Spahić
 
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...
PROGRAMSKI ALAT ZA ADMINISTRIRANJE MREŽNIH USLUGA OGLAŠAVANJA U OBLAČNOM RAČU...Kresimir Popovic
 
Marko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - WebMarko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - WebMarko Ivančić
 
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapasKomparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapasTihana Lapas
 
Programiranje c jezikom
Programiranje c jezikomProgramiranje c jezikom
Programiranje c jezikomsaidsakic
 
cloud computing završni
cloud computing završnicloud computing završni
cloud computing završniTomislav Pejić
 
Molnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hrMolnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hrAnelkoNiki
 
Doktorat
DoktoratDoktorat
DoktoratKristina Bobrek-Macanović
 

More Related Content

Similar to Izrada i konfiguracija sustava upravitelja sigurnosti informacija i događaja pomoću tehnologija otvorenog koda

Marko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - WebMarko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - WebMarko Ivančić
 
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapasKomparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapasTihana Lapas
 
Programiranje c jezikom
Programiranje c jezikomProgramiranje c jezikom
Programiranje c jezikomsaidsakic
 
cloud computing završni
cloud computing završnicloud computing završni
cloud computing završniTomislav Pejić
 
Molnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hrMolnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hrAnelkoNiki
 

Similar to Izrada i konfiguracija sustava upravitelja sigurnosti informacija i događaja pomoću tehnologija otvorenog koda (6)

Marko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - WebMarko Ivančić - diplomski rad - Web
Marko Ivančić - diplomski rad - Web
 
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapasKomparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
Komparativna analiza poslovnih informacijskih sustava otvorenog koda_tlapas
 
Programiranje c jezikom
Programiranje c jezikomProgramiranje c jezikom
Programiranje c jezikom
 
cloud computing završni
cloud computing završnicloud computing završni
cloud computing završni
 
Molnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hrMolnar_Nikic_Vidas_www.onlineplac.hr
Molnar_Nikic_Vidas_www.onlineplac.hr
 
Doktorat
DoktoratDoktorat
Doktorat
 

Izrada i konfiguracija sustava upravitelja sigurnosti informacija i događaja pomoću tehnologija otvorenog koda

  • 1. IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA
  • 2. 3 SADRŽAJ SADRŽAJ...................................................................................................................................3 POPIS SLIKA ............................................................................................................................3 POPIS TABLICA.......................................................................................................................4 1. UVOD.................................................................................................................................5 2. ZAŠTITA KORPORATIVNIH OKRUŽENJA.................................................................7 2.1. Analiza prijetnji u sustavu..........................................................................................9 2.2. Opći pregled strukture odjela za informacijsku sigurnost unutar korporacija..........10 2.3. Opći pregled pojedinih sustava upravitelja sigurnosti informacija i događaja.........10 3. SUSTAV UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA .................12 3.1. Motivi za kreiranje vlastitog sustava upravitelja sigurnosti informacija i događaja 12 3.2. Sustav upravitelja sigurnosti informacija i događaja kao dio modernih tvrtki.........14 3.3. Način rada sustava upravitelja sigurnosti informacija i događaja ............................16 4. IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA .........18 4.1. Korišteni sustavi koji čine sustav upravitelja sigurnosti informacija i događaja .....18 4.1.1. Tehničke specifikacije poslužitelja.......................................................................18 4.1.2. Tehničke specifikacije klijentskog računala.........................................................19 4.1.3. Podsustav syslog-ng .............................................................................................20 4.1.4. Podsustav elasticsearch.........................................................................................24 4.1.5. Podsustav kibana ..................................................................................................25 4.1.6. Sigurnosna zaštita datoteke sa sistemskih zapisima podsustava kibana...............28 4.1.7. Sigurnosna zaštita konfiguracijske datoteke podsustava kibana..........................29 4.1.8. Pokretanje podsustava kibana...............................................................................30 4.1.9. Pregled sučelja podsustava kibana .......................................................................31 4.1.10. Konfiguracija prometa prema podsustavu elasticsearch ......................................31 4.1.11. Post instalacijske aktivnosti..................................................................................35 4.1.12. Postavljanje klijentskog računala .........................................................................39 4.1.13. Analiza prikupljenih podataka..............................................................................42 5. ZAKLJUČAK...................................................................................................................45 LITERATURA.........................................................................................................................47 SAŽETAK................................................................................................................................49
  • 4. 3 POPIS SLIKA Slika 1: Usporedba karakteristika komercijalnih SIEM rješenja..............................................14 Slika 2 Shematski prikaz sustava unutar kojeg je implementirano SIEM rješenje ..................17 Slika 3: Logička shema dizajna projekta..................................................................................19 Slika 4: Konfiguracijska datoteka syslog-ng.conf....................................................................23 Slika 5: Definiranje repozitorija odakle će se instalirati elasticsearch .....................................24 Slika 6: Konfiguracijska datoteka elasticsearch.yml................................................................25 Slika 7: Definiranje repozitorija odakle će se instalirati kibana...............................................26 Slika 8 Provjera elasticsearch servisa.......................................................................................26 Slika 9 Dio konfiguracijske datoteke za kibanu .......................................................................27 Slika 10 Vlasništvo nad datotekom sistemskih zapisa podsustava kibana prije izmjene.........28 Slika 11: Vlasništvo nad datotekom sistemskih zapisa podsustava kibana nakon izmjene .....29 Slika 12: Vlasništvo nad kibana.yml datotekom prije izmjene ................................................29 Slika 13: Vlasništvo nad kibana.yml datotekom nakon izmjene..............................................30 Slika 14: Provjera kibana servisa .............................................................................................30 Slika 15: Kibana sučelje unutar Internet preglednika...............................................................31 Slika 16: Konfiguracija izvora syslog-ng datoteke ..................................................................32 Slika 17: Konfiguracija odredišta i putanje zapisnika kroz sustave.........................................33 Slika 18: Provjera sintakse syslog-ng konfiguracijske datoteke ..............................................35 Slika 19 Uspješna provjera sintakse syslog-ng konfiguracijske datoteke................................35 Slika 20: Pokretanje syslog-ng servisa nakon izmjena u konfiguracijskoj datoteci.................36 Slika 21 Učitavanje konfiguracijske datoteke u živući sustav .................................................37 Slika 22 Prikaz sistemskih zapisa vezanih uz ssh konekciju....................................................37 Slika 23 Prikaz input datoteke elasticsearcha s ručno upisanim zapisima ...............................38 Slika 24 Indeks uzorak i polja koja čine sistemski zapis..........................................................39 Slika 25 Prosljeđivanje sistemskih zapisa s klijenta na poslužitelj ..........................................40 Slika 26 Uspješno uspostavljena konekcija između klijenta i poslužitelja ..............................41 Slika 27 Prikaz klijentskog zapisa na poslužitelju ...................................................................41 Slika 28 Graf broja sakupljenih zapisa na pojedini dan ...........................................................43 Slika 29 Kontrolna ploča unutar kibane ...................................................................................44
  • 5. 4 POPIS TABLICA Tablica 1: Prikaz okvirnih cijena komercijalnih SIEM rješenja...............................................13
  • 6. 5 1. UVOD Informacijska sigurnost je u današnje vrijeme sve važnija. Ista postaje nezaobilazna prilikom razvijanja novih usluga i proizvoda uključenih u Internet poslovanje. Svjetsko, kao i hrvatsko tržište informacijske sigurnosti ima sve više izazova. Time je priroda poslova i aktivnosti koje se odnose na sigurnosne informacijske tehnologije sve dinamičnija i kompleksnija. Isto implicira da sigurnosne zakrpe propusta detektiranih u operacijskim sustavima i programskim paketima mogu sadržavati neke dodatne propuste ili generirati ranjivosti drugih dijelova sustava. Tržište sigurnosnih tehnologija svjedoči brzim promjenama i napretku, no rizici od potencijalnih napada neovlaštenim pristupom u informacijski sustav te kompromitacije i štete nad podacima sve više rastu. Ovaj dokument prikazuje instalaciju i konfiguraciju sustava koji ima mogućnost nadzora cijele mreže u stvarnom vremenu. Takav sustav može simultano zabilježiti i upozoriti administratora sustava da je u tijeku pokušaj kompromitacije nekog njegovog djela. Radi se o sustavu upravitelja sigurnosti informacija i događaja, skraćeno nazvanom - SIEM. Dokument je podijeljen u nekoliko poglavlja s pripadajućim pod poglavljima. U uvodu je prikazan sažetak projekta, a drugo poglavlje navodi općenite prijetnje i rješenja u tehnološkoj vertikali industrije te opisuje trend rasta količine korisničkih podataka i Interneta Osim spomenutog, drugo poglavlje opisuje izazove obrade velike količine podataka te prikazuje utjecaj kojeg tako velika količina podataka ima na sigurnost sustava. Spomenuto poglavlje sastoji se od tri dijela te opisuje načine analiziranja prijetnji u sustavu, uobičajene organizacijske strukture odjela informatike unutar kompanija i najčešće razlike u organizacijskoj strukturi velikih i malih kompanija. Glavna tema analizira dva sustava upravljanja informacijskom sigurnosti. Radi se o sustavima Splunk te IBM-ovom SIEM rješenju nazvanom QRadar. Ukratko su opisane njihove mogućnosti, prednosti i nedostaci. Na stvarnim poslovnim primjerima, opisano je kako se SIEM sustavi upotrebljavaju za nadzor nad elektroničkom poštom. U trećem poglavlju komparirani su komercijalni SIEM sustavi usporedbom kvalitete i cijene te su im grafički uspoređene ključne tehničke značajke. To je dijelom motiv ovog projekta jer zbog visoke cijene, SIEM sustavi općenito nisu poznati. Svaka tvrtka bi trebala definirati politiku informacijske sigurnosti te procijeniti odnos investicije i rizika u smislu odluke dobave i implementacije.
  • 7. 6 Četvrto poglavlje sadrži opis projektnog zadatka i opis izvedbe projekta s pripadajućim sustavima. U izvedbi su korištene tehnologije virtualizacije uz opis specifikacija i konfiguracija ključnih dijelova sustava. Projekt je izveden pomoću tri ključne komponente povezane u jednu cjelinu te se u daljnjem opisu nazivaju podsustavi. Za sva tri podsustava, detaljno je opisana instalacija i konfiguracija. Također, prikazan je način zaštite ključnih datoteka sustava (npr. konfiguracijske datoteke) od neovlaštenog pristupa kao i grafičko sučelje podsustava uz osnovni opis njegova korištenja. Sustav je izveden u klijentsko-poslužiteljskoj arhitekturi. Na kraju, opisuje se implementacija klijentskog računala u funkciji prosljeđivanja sistemskih zapisa (eng. log) poslužitelju i dodatne post implementacijske aktivnosti.
  • 8. 7 2. ZAŠTITA KORPORATIVNIH OKRUŽENJA Kao što je poznato, Gordon Moore je još 1965. godine pisao je o nabijanju više komponenti na integrirane sklopove. Tom prilikom, ovaj suosnivač tvrtki Fairchild Semiconductor i Intel opisao je zapažanje prema kojem se na svakih 18 mjeseci broj komponenata po integriranom krugu udvostručuje. Takvo zapažanje kasnije je nazvano Moore-ov zakon i jedan je od najpoznatijih zakona u digitalnom svijetu. Istarski astronom Korado Korlević, 5 desetljeća kasnije, u svom predavanju pod nazivom „Transhuman agenda: posljednje stoljeće homo sapiensa“ uočava puno širu primjenu Moore-ovog zakona. Naime, Korado spominje kako se Moore-ov zakon ne odnosi samo na broj tranzistora na čipu nego je „primjenjiv i na evoluciju memorijskog prostora, brzinu procesiranja, kapacitet akumulatora, kompleksnost grafike i softvera, sposobnosti robota, upravljanje evolucijom preko genetskih manipulacija“ i ostale pojave koje su dio života modernog doba. Jedna od tih pojava je svakako i razvoj digitalne sigurnosti, ali i digitalnih napada, ugroza i rizika. Potonjem dakako pogoduje i strelovit rast industrije i tržišno nadmetanje u kojem je cilj biti ne samo brži od konkurencije, nego i jeftiniji te ponuditi kvalitetniju uslugu. Takav razvoj industrije dovodi do bržeg izdavanja proizvoda na tržište, nerijetko nauštrb sigurnosti. Stoga nije neuobičajeno da se i u moderno doba događaju sigurnosni incidenti. U siječnju 2019. godine, javnosti su objavljene 2,2 milijarde kombinacija korisničkih imena i lozinki. Informacijska sigurnost je vrlo aktivna tema u kojoj se svakodnevno otkrivaju novi sigurnosni nedostaci te su svakog dana ranije otkriveni sigurnosni nedostaci izloženi raznim zakrpama (engl. patch). Na stranicama tvrtke Kaspersky dostupna je digitalna mapa koja prikazuje digitalne prijetnje u realnom vremenu. Osim toga, smjer u kojem se kreće tehnologija vidljiv je i iz procjene prema kojoj je 2008. godine broj korisnika Interneta širom svijeta bio otprilike 1 milijardu i 547 milijuna. Samo 10 godina kasnije, taj broj se povećao na 3 milijarde i 896 milijuna korisnika. Primjerice Facebook je te 2008. godine imao oko 80 milijuna korisnika, a na svijetu je bilo oko 250 milijuna mobilnih uređaja. Dakle, u samo 10 godina, 2018. godine stvoren je digitalni okoliš unutar kojeg se u jednoj minuti dogodi sljedeće:1 • 4,53 milijarde indeksiranih web stranica, • 3,5 milijuna pretraživanja na popularnoj tražilici Google, • 900 tisuća korisnika se autentificira na društvenu mrežu Facebook, • objavi se 452 tisuće tvitova (engl. tweet) na društvenoj mreži Twitter, 1 Podaci prikupljeni s više izvora navedenih u sekciji „LITERATURA“.
  • 9. 8 • pošalje se 156 milijuna poruka elektroničke pošte diljem svijeta (engl. email), • kreira se 1,8 milijuna objava putem društvene mreže Snapchat, • 46,200 slika objavi se na društvenoj mreži Instagram, • 4,1 milijuna videa se pregleda na YouTube-u, • Više od 70 tisuća sati se pregleda preko Netflix platforme, • Više od 700 tisuća dolara se potroši u kupovini preko Interneta i • preuzme se više od 342 tisuće mobilnih aplikacija s 2 najpoznatije tržnice za mobilne aplikacije - Google Play i App Store. Te brojke neprestano rastu, a s njima i problemi za sve vlasnike Internet sadržaja. Globalno gledajući, vlasnici web stranica i tvrtke napadnuti su više desetaka tisuća puta dnevno. Razvojem tehnologije, dolaskom IoT uređaja, 5G mreža, oblaka i dostupnosti Interneta, pojavljuju se dodatni rizici ne samo za informatičku tehnologiju i informacije, već i za kvalitetu života svakog pojedinca. Komunikacija uređaja i razvoj mreže uvele su jednu potpuno novu dimenziju, a to je blizina. Ta dimenzija je posebno opasna jer napadačima omogućava geografsku dislociranost, a istovremeno informacijsku blizinu. Sigurnost informacija podrazumijeva višestruke kontrole nad različitim skupinama uređaja, aplikacijama koje svaki uređaj koristi te podacima koji se koriste, obrađuju i razmjenjuju. Osim toga, potrebno je kontrolirati i kojim protokolima uređaji i aplikacije međusobno komuniciraju te koje podatke pritom razmjenjuju jer protokoli s vremenom zastarijevaju kako tehnologija napreduje. Njihove karakteristike i načini na koji protokoli rade i razmjenjuju informacije postaju s vremenom izvori ranjivosti. Razvojem tehnologije, povećava se i informatička pismenost, ali i područja koja je potrebno štititi. Ukupni prihodi digitalnog kriminala u 2018. godini procjenjuju se na 1,5 bilijuna američkih dolara od čega taj broj otpada na sljedeće kriminalne aktivnosti: • digitalno ilegalno tržište – 860 milijardi dolara, • trgovanje poslovnim tajnama i IP krađe – 500 milijardi dolara, • trgovanje podacima – 160 milijardi dolara, • zlonamjerni kod na zahtjev, kao usluga (engl. crime-ware) – 1,6 milijardi dolara te • zlonamjerni kod koji šifrira podatke (engl. ransomware) – 1 milijarda dolara. Osim toga, neki od najpoznatijih kompromitiranja sustava u posljednjem desetljeću kronološkim redoslijedom su: • 2011 – PlayStation = 77 milijuna kompromitiranih korisničkih računa, • 2013-2014 – Yahoo = 3 milijarde kompromitiranih korisničkih računa,
  • 10. 9 • 2014 – eBay = 145 milijuna kompromitiranih korisničkih računa, • 2014 – JPMorgan Chase = 76 milijuna domaćinstava i 7 milijuna malih poslovnih subjekata, • 2016 – Uber = 57,6 milijuna kompromitiranih korisničkih računa, • 2018 – Facebook = 87 milijuna kompromitiranih korisničkih računa te • 2018 – Under Armour = 150 milijuna kompromitiranih korisničkih računa. Upravo iz tog razloga, SIEM se profilira kao rješenje iako čak niti takav sustav ne garantira stopostotnu zaštitu, ali uvelike smanjuje vjerojatnost kompromitacije sustava. Koristeći određen skup softvera, uz pripadajuća znanja, smanjuje se vrijeme potrebno za identificiranje uzroka incidenata te mrežnih aktivnosti. Također, smanjuje se i vrijeme odgovora na incident, odnosno izolacija dijela mreže ako je to potrebno. Takav pristup čuva podatke, smanjuje troškove, održava plan kontinuiteta poslovanja tvrtke ili ustanove uz minimalne zastoje u radu i gubitke te na kraju krajeva, čuva ugled same tvrtke ili ustanove. Razvoj tehnologije svakim danom pred korporacije stavlja sve veći izazov zaštite korporativnih IT sustava. Korporacije imaju imperativ očuvanja podataka, odnosno njihove točnosti, cjelovitosti i dosljednosti. Takav imperativ ne nameće se samo zbog kvalitete vlastitog poslovanja nego i zbog zakonskih regulativa. Nametnute norme i regulative razvijaju se i ažuriraju sukladno razvoju tehnologije kako bi održale korak i pomogle u zaštiti sustava od modernih prijetnji. 2.1. Analiza prijetnji u sustavu Analiza prijetnji podijeljena je na statičku i dinamičku analizu. Statička analiza pregledava sadržaj datoteka koji cirkuliraju kroz sustav pomoću raznih softvera koji pretvaraju strojni jezik u asemblerski jezik (engl. disassemblers). Tako je moguće vidjeti instrukcije pojedine štetne datoteke te predvidjeti na koji način će one utjecati na okruženje i podatke unutar njega. Takav pristup mnogo ovisi o ljudskom radu i ekspertizi pojedinca stoga ponekad iz pristupa statičkom analizom mogu proizaći mnogobrojni rizici. Dinamička analiza označava pokretanje štetne datoteke na sustavu, u izoliranom okruženju ili okruženju koje nema utjecaj na rad važnih sustava. Kada se datoteka pokrene, administratori uz pomoć ostalih ugrađenih sustava i softvera mogu pratiti ponašanje štetne datoteke i njen utjecaj na sustav. Osnovno praćenje podrazumijeva provjeru procesa koje zlonamjerna datoteka pokreće, njeno spajanje na Internet, pregled datoteka koje preuzima te sustave s kojima pokušava ostvariti interakciju.
  • 11. 10 2.2. Opći pregled strukture odjela za informacijsku sigurnost unutar korporacija Veliki broj kompanija na slabije razvijenim tržištima nema strogo definirane odjele za informacijsku sigurnost koje se bave samo informacijskom sigurnosti nego se najčešće radi o objedinjenim odjelima. U takvim kompanijama za sigurnost su najčešće zaduženi zaposlenici postojećih odjela informatike koji se bave administriranjem sustava i/ili informatičkom podrškom. To je donekle i razumljivo zbog visoke cijene kvalitetne informacijske sigurnosti. Takvim pristupom manje i srednje kompanije pristaju na mnogo veće rizike napada i probijanja sustava te krađe i objave povjerljivih poslovnih informacija. Kompanije koje imaju specijalizirane odjele za informacijsku sigurnost najčešće su velike i svima dobro poznate kompanije. Odjel informatičke sigurnosti ponekad može biti zadužen i za niz drugih aktivnosti poput fizičke sigurnosti, zaštite na radu, zaštite od požara te za sprječavanje računalnih prijevara odnosno blisku suradnju s odjelom za prijevare. Informatička sigurnost najčešće se dijeli na dva dijela. Jedan dio čini uprava za sigurnost na čelu s predsjednikom za sigurnost (engl. Chief Security Officer – CSO) koji upravlja svim područjima sigurnosti unutar kompanije. Uprava za sigurnost donosi odluke o načinima pristupa o pojedinoj prijetnji. Drugi dio čini centar za operativnu sigurnost (engl. Security Operations Center – SOC). SOC je zadužen za operativni dio informacijske sigurnosti koji između ostalog podrazumijeva prepoznavanje i uklanjanje prijetnji, prijedloge rješenja, proaktivan nadzor nad sustavom te unaprjeđivanje sigurnosne inteligencije. SOC ima izravan pristup podacima i sustavu te je dužan na temelju prikupljenih podataka pružati podršku upravi za sigurnost u donošenju odluka. 2.3. Opći pregled pojedinih sustava upravitelja sigurnosti informacija i događaja Iz razgovora s pojedincima iz struke, zaključak je kako tvrtke na hrvatskom tržištu prate svjetske trendove u odabiru sustava upravitelja sigurnosti informacija i događaja – SIEM. Razlog za takvu situaciju na tržištu je cijena. SIEM si mogu priuštiti samo velike kompanije. Na hrvatskom tržištu, najčešće se radi o podružnicama velikih svjetskih kompanija koje potom svoju metodologiju i sustave koriste u cijeloj grupaciji. Dva poznata i korištena sustava na hrvatskom tržištu su Splunk, proizvod istoimene kompanije te rješenje IBM-a nazvano QRadar. Oba sustava načelno rade na sličnom principu te prikupljaju podatke iz više izvora, odnosno s različitih uređaja i drugih sustava. Njihova sposobnost su napredne aritmetičke operacije koje obavljaju nad prikupljenim podacima. Analizom i identificiranjem sirovih i nesortiranih podataka, spomenuti sustavi mogu izdvojiti važne i relevantne informacije za administratore
  • 12. 11 što im omogućava pravovremenu reakciju kada je to potrebno. Takvi sustavi su vrlo napredni te imaju čitav spektar dodatnih mogućnosti kao što su slanje dojava kada se u sustavu primijete definirani događaji te se takvi sustavi vrlo često koriste za nadzor komunikacije elektroničkom poštom. Primjerice, ako se dogodi situacija da zaposlenik korporacije A primi elektroničku poštu s domenom korporacije od zaposlenika korporacije B, a elektronička pošta nije poslana s poslužitelja elektroničke pošte unutar korporacije, SIEM sustavi mogu kreirati obavijest zaposleniku da se radi o potencijalno malicioznoj poruci ili u kombinaciji s drugim sustavima zaštite čak spriječiti da takva elektronička pošta ikada dođe do zaposlenika korporacije B. Međutim, takva konfiguracija bi otvorila nove rizike, a detaljniji opis svih scenarija izašao bi iz opsega ovog dokumenta.
  • 13. 12 3. SUSTAV UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA SIEM je alat koji ima mnogobrojne mogućnosti i poboljšanja u raznim područjima poslovanja, a stručnjacima informacijske sigurnosti služi kako bi na vrijeme primijetili i odgovorili na incidente. SIEM koristi napredne algoritme pomoću kojih automatizira zadatke koji se ponavljaju. Osim toga, u stanju je pružiti korisne informacije administratorima sustava i ostalim obučenim IT profesionalcima. Takav sustav pomaže korporaciji uspješno sanirati računalne incidente, donositi pravovremene i ispravne odluke te analizirati prijetnje u računalnom okruženju. Analiza prijetnji provodi se s ciljem prevencije i zaštite sustava prije nego ranjivosti budu iskorištene. SIEM je u svojim počecima bio kreiran kao rješenje koje bi sakupljalo sistemske zapise s različitih sustava i pohranjivalo ih na centralno mjesto. Međutim s porastom količine podataka, počele su se širiti i njegove mogućnosti. S vremenom, SIEM se razvijao kako bi mogao detektirati različite tipove sumnjivih ponašanja te ih pratiti i nadzirati. 3.1. Motivi za kreiranje vlastitog sustava upravitelja sigurnosti informacija i događaja Velike tvrtke imaju vrlo kompleksna IT okruženja koja generiraju velike količine podataka (engl. big data) s različitih uređaja u stvarnom vremenu. SIEM može unaprijediti faktor iskoristivosti informatičkih resursa tvrtke te analizirati stanje podataka vezanih uz sigurnost korištenjem analitike prilagođene tvrtkama koji generiraju velike količine podataka. Iako je tržište već podijeljeno kada je riječ o SIEM rješenju, nekoliko karakteristika je zajedničko svim proizvođačima. Kao najvažnija karakteristika, za članove uprava i ljude koji donose odluke o takvim financijskim i tehnološkim rješenjima, ističe se cijena. Osim toga, kako bi se postigla konkurentnost na tržištu, SIEM rješenja su često dizajnirana s fokusom na pojedine aktivnosti, odnosno reducirajućih sposobnosti za neke druge aktivnosti kako bi se bolje uklopila u poslovanje tvrtke i kako bi bila cjenovno prihvatljivija.
  • 14. 13 Sljedeća tablica prikazuje najpopularnija SIEM rješenja i njihovu okvirnu cijenu. Treba imati na umu da svaki proizvođač nudi različite modele plaćanja te da usluge ovog tipa imaju više mogućih cijena zbog toga što se temeljem njih mogu ponuditi različite razine kvalitete isporuke. Također, napretkom rješenja u oblaku, cijena dodatno varira u odnosu na fizička rješenja postavljena u prostorijama tvrtke. Samu cijenu definira i duljina trajanja licence. Zbog preglednosti dokumenta, ali i potencijalnog variranja cijena i usluga, tablicom 1 je prikazana samo okvirna cijena pojedinih SIEM rješenja. Sve navedene cijene nisu jednokratne nego predstavljaju troškove sustava u određenom vremenu. Tablica 1: Prikaz okvirnih cijena komercijalnih SIEM rješenja Splunk Enterprise Security (ES) $600-$4.500/GB LogRhythm SIEM $28,000 AlienVault Unified Security Management (USM) $5,595/licence Micro Focus ArcSight Na temelju podataka i sigurnosnih događaja u sekundi, prema komentarima, u vrhu cjenovnog ranga u odnosu na konkurenciju Micro Focus Sentinel Enterprise $48,000 McAfee Enterprise Security Manager (ESM) $40,794 IBM Security QRadar $10,700/mj - lokalno odnosno $800/mj za Cloud (SaaS) RSA NetWitness Suite Maloprodajni model - $857/mj Term licenca za poduzeće - $8200/mj SolarWinds Log & Event Manager $4585 za 30 čvorova Dakle, vidljivo je da cijena SIEM rješenja nije zanemariv trošak nego se radi o vrlo dobro proučenom i ispitanom trošku koji se odobrava s namjerom. Visoki menadžment prije odobravanja takvog troška mora prikupiti sve potrebne informacije kako bi izračunao isplativost takve investicije te na kraju odlučiti da li je investicija opravdana ili nije. Naravno, potreba ovisi o mnogo faktora i donosi se na temelju mnogo kriterija. Ti faktori i kriteriji neće biti detaljnije raspisivani zato što početnici u početku svoje karijere neće imati priliku raditi s takvom opremom stoga im te informacije neće biti od koristi. S druge strane, IT profesionalci i ljudi koji su dugi niz godina dio informatičkog i poslovnog svijeta zasigurno već
  • 15. 14 imaju sve potrebne informacije te su razvili način razmišljanja koji ih navodi na zaključke i bez da su se prije susretali s takvom opremom. Zbog cjelovitosti samog dokumenta, prikazane će biti tek neke osnovne karakteristike pojedinih komercijalnih SIEM rješenja. Slika 1 prikazuje neke od najpoznatijih svjetskih komercijalnih SIEM rješenja te njihovu međusobnu usporedbu i rangiranje prema najčešćim karakteristikama koje tvrtke traže od SIEM rješenja. Slika 1: Usporedba karakteristika komercijalnih SIEM rješenja Kao što je vidljivo na slici 1, ne postoji univerzalno, odnosno najbolje SIEM rješenje. Svako rješenje je razvijeno s naglaskom na pojedinu prednost nad konkurencijom te svaka karakteristika pojedinačno ima svoje prednosti. 3.2. Sustav upravitelja sigurnosti informacija i događaja kao dio modernih tvrtki Tvrtke koriste SIEM rješenja zato što pomoću njih mogu spremiti i analizirati velike količine prikupljenih podataka. Ovisno o industriji, SIEM rješenja vrlo brzo daju izvještaje na temelju kojih se donose odluke te se planira daljnje poslovanje. Ipak, u ovom dokuementu naglasak je u korištenju SIEM rješenja u informatičke svrhe. Kao što je već spomenuto, broj računalnih ugroza i sigurnosnih prijetnji u konstantnom je porastu. Tvrtke pomoću SIEM rješenja žele: • zaštititi poslovanje, • spriječiti napade na svoje sustave,
  • 16. 15 • očuvati poslovne tajne, • spriječiti curenje podataka te • očuvati imidž tvrtke i povjerenje svojih korisnika. SIEM rješenja bilježe i prate sistemske zapise te obavještavaju administratora tvrtke o sumnjivim događanjima koje su detektirane unutar mreže tvrtke. Padom cijene potrošačke tehnologije, rastom broja čipova i rastom snage tih čipova, generira se previše zapisa da bi sam čovjek to mogao pratiti. Istraživačka tvrtka Gartner malom implementacijom SIEM-a smatra otprilike 300 izvora događaja uz brzinu od 1500 događaja u sekundi (engl. events per second - EPS) i pohranu podataka do 800 GB. Tvrtka Volkswagen ima 16 tisuća poslužitelja, od čega 12 tisuća poslužitelja čine Linux poslužitelji te 4 tisuće poslužitelja koji su pokretani Windows Server operacijskim sustavom. U takvim okruženjima, nije učinkovito da se administratori spajaju na svaki poslužitelj te s njega očitavaju sistemske zapise i analiziraju prijetnje. U praksi, svi zapisi se skupljaju na centralnom poslužitelju te se uz pomoć dodatnih mehanizama filtriraju kako bi se izvukle samo važne informacije na temelju kojih se donose odluke. SIEM ima sposobnost filtrirati sve podatke i dati na uvid samo najvažnije podatke kako bi upravljanje bilo što jednostavnije. Osim toga, SIEM ima ugrađene mehanizme za pomoć tvrtkama s nizom propisa i regulativa s kojima zakonski moraju biti usklađene. Prema podacima iz 2017. godine, organizacije su potrošile oko 2,4 milijarde dolara na SIEM rješenja dok se općenito na digitalnu sigurnost izdvojilo 98 milijardi dolara. Tvrtka Gartner predviđa rast troška za SIEM na 2,6 milijardi dolara u 2018. godini te 3,4 milijarde dolara u 2021. godini. Brojke i nisu toliko važne kao dio ovog dokumenta koliko je važno razumjeti da se radi o tržištu s kontinuiranim porastom prijetnji i ulaganja. Tome u prilog ide trajni nedostatak vještina ljudskih resursa na tržištu rada, ali i regulatorne promjene kao što je primjerice „Opća uredba o zaštiti podataka“ (GDPR) koja vrijedi za podatke koji su povezani s geografskom lokacijom Europske Unije. Iako su navedeni faktori samo dio uzorka rasta tržišta sigurnosnih usluga, vrlo kvalitetno ilustriraju trenutnu situaciju u području informacijske sigurnosti i donose podlogu za daljnje diskusije i promišljanja. Pitanja privatnosti sve više postaju predmetom razgovora i rasprava ne samo u visokim regulatornim tijelima, nego i u svakodnevnom životu korisnika. Mišljenja i iskustva korisnika izravno su povezana s poslovnim rezultatima tvrtke. Stoga, tvrtke ulažu puno resursa kako bi poslušali svoje korisnike i pružili im najbolje korisničko iskustvo. Gartner vjeruje da će zabrinutost za privatnost dovesti do barem 10% tržišne potražnje za sigurnosnim uslugama u 2019. godini. Sigurnosne usluge koje su usmjerene ka zaštiti privatnosti utječu na različite segmente poslovanja kao što su
  • 17. 16 upravljanje identitetom i pristupom (engl. identity and access management - IAM), raspolaganje i administracija podataka (engl. identity governance and administration - IGA) te sprječavanje gubitka podataka (engl. data loss prevention - DLP). Jedan od primjera povrede podataka (engl. data breach) koji je snažno odjeknuo u stranim medijima, dok je u hrvatskim medijima prošao gotovo nezapaženo, jest incident koji je imao SingHealth. Radi se o najvećoj singapurskoj zdravstvenoj instituciji. Naime, prema članku 33 Opće uredbe o zaštiti podataka, tvrtke su obavezne prijaviti riskantne povrede podataka nadzornom tijelu u roku od 72 sata. Tako je otkriveno da su iz SingHealtha iscurili osobni podaci 1,5 milijuna pacijenata među kojima je i sam singapurski premijer Lee Hsien Loong te nekoliko drugih ministara. Takve situacije ukazuju na ranjivosti informacijskih sustava te na nedovoljne ili neodgovarajuće mehanizme zaštite koje se primjenjuju. 3.3. Način rada sustava upravitelja sigurnosti informacija i događaja Već je ranije objašnjeno da je SIEM specijalizirani sustav za analizu koji generira korisne zapise iz velike količine događaja. Ključni izvori podataka su sistemski zapisi koje generiraju sustavi kao što su poslužitelji, radne stanice, sigurnosni uređaji i drugi. SIEM također može uzimati i razne druge vrste podataka kao što su NetFlow i mrežni paketi, kontekstualne informacije o korisnicima, resursima, prijetnjama i ranjivostima koje se mogu pronaći unutar organizacije ili u njenoj okolini. NetFlow tehnologija karakteristična je za CISCO mrežne uređaje koja omogućava prikupljanje, analizu i upravljanje korisničkim navikama. Zbog različitih izvora, prikupljeni podaci se moraju preoblikovati kako bi ih SIEM mogao razumjeti i izvještavati na temelju njih. Jednom kada se podaci dovedu u oblik razumljiv SIEM-u, tada on može nad njima vršiti interpretaciju, izvještavati o prijetnjama, pružati korelaciju i analitiku, prikazivati sigurnosna upozorenja, prezentirati podatke i održavati usklađenost sa zadanim zahtjevima. Ključna razlika između različitih SIEM alata je u broju i raznolikosti izvora zapisa koji se mogu povezati za potrebe agregiranja podataka i donošenja odluka na temelju tih podataka. Obično je moguće napraviti konektor za pojedinačni uređaj ili aplikaciju, ali to može biti skup i dugotrajan proces. Iz tog razloga razvoj zasebnih konektora je nepraktičan za velik broj izvora zapisa. Upravo netom navedeno je razlog zbog čega svaki proizvođač SIEM rješenja ima cilj obuhvatiti što je moguće veći broj izvora zapisa u skladu s internom politikom i tržišnim metama na koje cilja. Međutim, mnogo tvrtki ima razvijene svoje vlastite aplikacije koje su prilagođene poslovnim potrebama. Ako tvrtke žele takve aplikacije uključiti u SIEM, moraju za njih napraviti odgovarajuće konektore. Što se tiče komercijalnih aplikacija, na temelju broja
  • 18. 17 podržanih aplikacija, specifikacije podržanih aplikacija, cijene i dodatnih faktora se odabire određeni SIEM proizvod. Slika 2 prikazuje načelni smještaj SIEM rješenja unutar postojećeg informacijskog sustava: Sustav uvoza podataka – kolektor (engl. Collector) Radne stanice Vatrozid PreklopnikUsmjernik Glavno računaloPoslužitelj SIEM sustav Administrator sigurnosti Slika 2 Shematski prikaz sustava unutar kojeg je implementirano SIEM rješenje
  • 19. 18 4. IZRADA I KONFIGURACIJA SUSTAVA UPRAVITELJA SIGURNOSTI INFORMACIJA I DOGAĐAJA POMOĆU TEHNOLOGIJA OTVORENOG KODA Zadatak projekta je kreirati SIEM sustav temeljen na tehnologijama otvorenog koda koristeći samo osobni laptop, poslužitelj i tehnike virtualizacije. Kreiranje sustava započinje instalacijom operacijskog sustava, ali taj dio se ne opisuje jer izlazi izvan opsega ovog dokumenta. Sustav mora odgovarati stvarnim poslovnim potrebama današnjice stoga je specifikacija hardvera i softvera izvedena na reprezentativnim uzorcima. Nakon kreiranja okruženja, sustav će biti testiran. 4.1. Korišteni sustavi koji čine sustav upravitelja sigurnosti informacija i događaja U nastavku slijedi popis sustava korištenih za izradu projekta: • operacijski sustav poslužitelja: CentOS 7, • operacijski sustav klijenta: Kali Linux. • softver za virtualizaciju: Oracle VM VirtualBox 6.0 te • operacijski sustav računala domaćina: Windows 7 Poslužitelj se sastoji od sljedećih ključnih sustava: • syslog-ng, • elasticsearch i • kibana. Za spajanje na virtualna računala korišten je ssh protokol na mrežnom priključku 22 pomoću putty softvera. 4.1.1. Tehničke specifikacije poslužitelja Kada je sve ispravno instalirano, moguće je nastaviti projekt. Ključno je izdvojiti na koji način je projekt izveden. Slika 3 prikazuje logičku shemu dizajna projekta, odnosno opisuje na koji način je projekt postavljen.
  • 20. 19 Slika 3: Logička shema dizajna projekta Kao što je vidljivo sa slike 3, korištena je tehnika virtualizacije kako bi se simulirao SIEM poslužitelj pokrenut na fizičkom računalu. Korištenjem Oracle VM VirtualBox 6.0 kreirano je računalo sa sljedećim hardverskim karakteristikama: • radna memorija: 2 GB, • broj procesorskih jezgri: 1, • veličina virtualnog čvrstog diska: 20 GB, • način rada mrežnog adaptera: način mosta (engl. bridged mode) te • iso datoteka korištena za instalaciju operacijskog sustava CentOS 7: CentOS-7-x86_64- Minimal-1810.iso. Tako kreirano računalo ima ulogu SIEM poslužitelja. 4.1.2. Tehničke specifikacije klijentskog računala Klijentsko računalo čija je namjena prikupljati sistemske zapise i slati ih SIEM poslužitelju na obradu koristi Kali Linux operacijski sustav. Radi se o virtualnom računalu koje se sastoji od sljedećih hardverskih karakteristika: • radna memorija: 4 GB, • broj procesorskih jezgri: 4, • veličina virtualnog čvrstog diska: 20 GB, • način rada mrežnog adaptera: način mosta (engl. bridged mode) te Operacijski sustav domaćina Hipervizor Operacijski sustav gosta Aplikacije Biblioteke Elasticsearch Kibana Ostale aplikacije
  • 21. 20 • iso datoteka korištena za instalaciju operacijskog sustava Kali Linux: Kali Linux 2018.1 4.1.3. Podsustav syslog-ng Syslog-ng je besplatna implementacija syslog protokola za sustave bazirane na Unix-u. Syslog- ng je aplikacija otvorenog koda, a zahvaljujući zajednici Belabit IT Security Ltd. koja radi na njegovom unaprjeđenju, do sada je omogućeno proširenje funkcija originalnog syslogd modela. Tako je dodano filtriranje temeljeno na sadržaju i ostale bogate mogućnosti filtriranja. Osim toga, syslog-ng je unaprijeđen opcijama dinamičke konfiguracije te TCP protokolom za transport kojeg originalni syslog ne posjeduje. Postoje dva izdanja sa zajedničkom kodnom bazom - syslog-ng Open Source Edition (OSE) s LGPL licencom te Premium Edition (PE) koja ima dodatne module s vlasničkom licencom koja inačicu izdvaja iz kategorije besplatnih softvera. U ovom projektu korištena je besplatna inačica syslog-ng (OSE). Syslog-ng omogućava mnoštvo dodatnih značajki za prijenos syslog poruka i njihovo spremanje u datoteku koja sadrži sistemske zapise. Neke od značajki nabrojane su u nastavku: • mogućnost formatiranja sistemskih zapisa koristeći proširenje ljuske koja je slična kao i uobičajena ljuska dostupna na Unix sustavima (može biti nekompatibilna s formatima sistemskih zapisa između više različitih platformi), • korištenjem jedne tvrdnje unutar proširene ljuske, moguće je pri imenovanju datoteka označiti više datoteka na različitim lokacijama, • omogućava slanje sistemskih zapisa lokalnim aplikacijama, • pruža podršku za kontrolu protoka poruka u mrežnom prometu, • omogućava bilježenje sistemskih zapisa u bazu podataka - od verzije syslog-ng OSE 2.1, • omogućava prepisivanje dijelova poruke s postavljenim i zamjenskim dijelovima - od verzije syslog-ng OSE 3.0, • omogućava klasificiranje dolaznih sistemskih zapisa te istovremeno strukturiranje informacija iz nestrukturirane poruke - od verzije syslog-ng OSE 3.0, • omogućava podršku za generička imena i vrijednosti - svaki zapis je skup parova ime:vrijednost koji se može koristiti za pohranjivanje dodatnih informacija - od verzije syslog-ng OSE 3.0, • mogućnost obrade strukturiranih zapisa koji se prenose preko syslog-a, kao što su izdvojeni stupci iz CSV formatiranih linija od verzije i
  • 22. 21 • sposobnost povezivanja višestrukih dolaznih zapisa u složeniji, korelirani događaj - od verzije syslog-ng OSE 3.2. Instalacija syslog-ng na CentOS 7 Nakon što je kreirano virtualno računalo i instaliran CentOS 7 operacijski sustav, potrebno je instalirati i dodatne alate kako bi virtualno računalo bilo spremno ispuniti definirani zadatak. U nastavku se nalaze dvije naredbe koje su unesene odmah nakon instalacije CentOS-a: • sudo yum groupinstall "Development tools" i • sudo yum install wget Te dvije naredbe bile su preduvjet i za dohvaćanje syslog-ng arhive. Važno je spomenuti da se u informatici do istog rezultata može doći na više načina, a zbog velikog broja načina te njihovih međusobnih odnosa i karakteristika nema smisla opisivati svaki pojedinačno. Takav pristup bi izašao daleko izvan okvira samog dokumenta. Nakon toga, dohvaćeni su i dodatni korisni paketi čiji se sadržaj neće detaljno opisivati. Za potrebe ovog dokumenta, dovoljno je spomenuti da su paketi dohvaćeni naredbama: • wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm i • rpm -Uvh epel-release-latest-7.noarch.rpm Nakon toga, ljuska je prebačena u odgovarajući direktorij kako bi bila spremna za preuzimanje syslog-ng repozitorija. Mijenjanje direktorija je napravljeno naredbom: • cd /etc/yum.repos.d/ Sam sustav syslog-ng dohvaćen je sljedećom naredbom: • wget https://copr.fedorainfracloud.org/coprs/czanik/syslog-ng321/repo/epel-7/czanik- syslog-ng321-epel-7.repo Instalacija syslog-ng sustava napravljena je naredbom: • yum install syslog-ng Nakon instalacije, potrebno je omogućiti i pokrenuti syslog-ng servis kako bi se provjerilo je li syslog-ng sustav ispravno instaliran. Omogućavanje i pokretanje servisa napravljeno je sljedećim naredbama:
  • 23. 22 • systemctl enable syslog-ng i • systemctl start syslog-ng Kada se instalacija dovrši, dobra praksa nalaže provjeriti da li je izlazni rezultat jednak očekivanom. Iz tog razloga, naredbom cd /etc/syslog-ng ljuska ulazi u instalacijski direktorij syslog-ng. Unutar tog direktorija nalazi se aktualna konfiguracijska datoteka syslog-ng. Osim konfiguracijske, ovdje se nalazi još jedna važna datoteka imena patterndb.d. Ta datoteka sadrži uzorak xml datoteke koja se koristi za parsiranje sistemskih zapisa. Datoteka configure je skripta koja se pokreće kako bi se konfigurirala syslog-ng infrastruktura. Ista se pokreće naredbom ./configure ako se ljuska nalazi u direktoriju unutar kojeg nalazi sama configure datoteka. Pretpostavimo da se ljuska nalazi u istom direktoriju kao i datoteka configure. U ovom projektu, taj direktorij se nalazi unutar arhive na lokaciji /usr/local/src/syslog-ng 3.5.4.tar.gz. Ako se unutar tog direktorija pokrene naredba ./configure --help rezultat će biti dodatne informacije i popis postavki koje se mogu poslati kao argumenti i tako konfigurirati syslog-ng. Opisani postupak je ekvivalent označavanja opcija klikom miša u modernim Windows operacijskim sustavima. Pregled konfiguracijske datoteke Kada se ljuska pozicionira u instalacijski direktorij syslog-ng, u njemu se nalazi konfiguracijska datoteka imena syslog-ng.conf. Takvu datoteku moguće je otvoriti bilo kojim uređivačem teksta, a s obzirom na to da je u projektu korišten CentOS 7 operacijski sustav, za otvaranje konfiguracijske datoteke korišten je VI uređivač teksta. Naredbom vi syslog-ng.conf otvara se konfiguracijska datoteka sa sadržajem kao na slici 4:
  • 24. 23 Slika 4: Konfiguracijska datoteka syslog-ng.conf Datoteka se sastoji od 3 glavne komponente konfiguracije: • izvorište (engl. source), • odredište (engl. destination) te • zapisnik (engl. log) U komponenti izvorište definirani su različiti izvori koji mogu generirati sistemske zapise. Komponenta odredište označava odredište na kojem će se spremiti zabilježeni sistemski zapisi. Unutar konfiguracije komponente odredište, naveden je i predložak prema kojem će se spremiti zabilježeni sistemski zapisi. U konkretnom slučaju ovoga projekta, zapisi će se spremiti kao par ključ:vrijednost poput programske varijable rječnik (engl. dictionary). Uloga komponente zapisnik je povezivanje komponenti izvorište i odredište.
  • 25. 24 Nakon što je syslog-ng uspješno instaliran, sljedeći korak je instalirati elasticsearch koji će zapravo pohranjivati podatke. 4.1.4. Podsustav elasticsearch U projektu, korišten je elasticsearch verzije 7.2.0-1. Nužno je da se verzije elasticsearcha i kibane podudaraju kako bi mogle funkcionirati međusobno. Kako bi instalirali elasticsearch, pomoću vi uređivača teksta kreirana je datoteka na putanji /etc/yum.repos.d/elasticsearch.repo sljedećom naredbom: • vi /etc/yum.repos.d/elasticsearch.repo Slika 5 prikazuje sadržaj elasticsearch.repo datoteke. Slika 5: Definiranje repozitorija odakle će se instalirati elasticsearch Nakon što je repozitorij definiran, vrijeme je za instalaciju. Elasticsearch za CentOS 7 napravljen je u obliku paketa veličine 148 MB, ali za rad zahtjeva 231 MB slobodnog prostora na disku. Instalacija elasticsearcha pokreće se naredbom: • yum install elasticsearch Kada se elasticsearch instalira, u direktoriju /etc/elasticsearch kreira se datoteka imena elasticsearch.yml. To je konfiguracijska datoteka za elasticsearch. Slika 6 prikazuje konfiguracijsku datoteku elasticsearcha. Datoteka je dohvaćena naredbom: • vi /etc/elasticsearch/elasticsearch.yml
  • 26. 25 Slika 6: Konfiguracijska datoteka elasticsearch.yml Na slici 6 označena je putanja u koju se bilježe sistemski zapisi. Također, vidljiva je struktura datoteke i način na koji su odijeljena određena područja i njihove konfiguracije. U dijelu Network postavlja se IP adresa poslužitelja na kojem će elasticsearch osluškivati promet. Predefinirana vrijednost je IP adresa lokalnog poslužitelja (engl. localhost). Kako u ovom konkretnom slučaju elasticsearch koristi kibanu za vizualizaciju podataka, on sam ne mora slušati na posebnom mrežnom sučelju nego može ostati na lokalnom poslužitelju. 4.1.5. Podsustav kibana U projektu, korištena je kibana verzije 7.2.0. Kibana nudi vizualnu podršku administratoru i prikazuje podatke spremljene u elasticsearchu. Kibana je instalirana na vrlo sličan način kao i elasticsearch. Kako bi instalirali kibanu, pomoću vi uređivača teksta kreirana je datoteka na putanji /etc/yum.repos.d/kibana.repo sljedećom naredbom:
  • 27. 26 • vi /etc/yum.repos.d/kibana.repo Slika 7 prikazuje sadržaj kibana.repo datoteke: Slika 7: Definiranje repozitorija odakle će se instalirati kibana Sam Kibana paket ima 191 MB, međutim za rad koristi 432 MB prostora na disku. Kada se kibana instalira, u direktoriju /etc/kibana kreira se datoteka imena kibana.yml . To je konfiguracijska datoteka za kibana platformu. Nadalje, u ovom trenutku uspješno su instalirani elasticsearch i kibana. Sljedeće naredbe će postaviti omogućiti servis elasticsearch i pokrenuti ga: • systemctl enable elasticsearch i • systemctl start elasticsearch Prije provjere da li se elasticsearch stvarno pokrenuo, potrebno je instalirati netstat mrežni alat ako već nije instaliran. S obzirom na to da napravljeno novo virtualno računalo isključivo za potrebe projekta, potrebno je instalirati grupu mrežnih alata naredbom yum -y install net-tools . U toj grupi alata nalazi se i spomenuti netstat. Naredba watch 'netstat -tupan | grep -i list' prikazuje na kojim se mrežnim priključcima aktivno osluškuju promet. Slika 8 prikazuje rezultat izvršavanja navedene naredbe. Slika 8 Provjera elasticsearch servisa
  • 28. 27 Na slici 8 označeni su mrežni priključci 9200 i 9300 koji potvrđuju da je elasticsearch ispravno pokrenut. Naime, radi se o preddefiniranim mrežnim priključcima na kojima elasticsearch osluškuje promet. Konfiguracijska datoteka za kibanu dohvaća se sljedećom naredbom: • vi /etc/kibana/kibana.yml Slika 9 prikazuje predefinirane postavke konfiguracijske datoteke za kibanu. Slika sadrži samo dio datoteke. Slika 9 Dio konfiguracijske datoteke za kibanu Kao što je vidljivo iz konfiguracijske datoteke na slici 9, preddefinirani mrežni priključak za kibanu je 5601, a poslužitelj na kojem osluškuje promet je lokalni poslužitelj (engl. localhost). U ovom slučaju, moguće je pustiti kibanu da se pokrene na lokalnom poslužitelju ili je moguće napraviti obrnuti proxy pristup preko mrežnih priključaka 80 ili 443 bez izlaganja kibane
  • 29. 28 stvarnom mrežnom sučelju. Odlučeno je da će se u projektu kibana postaviti da osluškuje promet na stvarnom mrežnom sučelju koje nosi IP adresu 192.168.1.61. To je ujedno i IP adresa virtualnog računala na kojemu je kibana instalirana. Kada je konfiguracijska datoteka otvorena pomoću uređivača teksta, u konkretnom slučaju radi se o vi uređivaču teksta, potrebno je pronaći redak #server.host: „localhost“ te obrisati znak # s početka postavke. Znak # označava da je postavka onemogućena te ju program koji izvršava kod (engl. interpreter) ne izvršava nego je preskače, odnosno koristi preddefinirane postavke. Osim toga, potrebno je obrisati „localhost“ te umjesto toga upisati ranije spomenutu IP adresu – 192.168. 1.61. Također, potrebno je postaviti postavku elasticsearch.hosts. Zbog toga što je elasticsearch konfiguriran tako da osluškuje na lokalnom poslužitelju (engl. localhost), dovoljno je samo ukloniti znak # koji označava komentar s početka naredbe. Ako će elasticsearch biti potrebno pokrenuti na nekoj drugoj instanci ili IP adresi, ovdje je potrebno postaviti poveznicu (engl. link) tako da se kibana može ispravno povezati s elasticsearch. U konfiguraciji kibane potrebno je postaviti i odredište na koje će se zapisivati sistemski zapisi. Ispod retka #logging.dest: stdout potrebno je dodati novi redak sadržaja logging.dest: /var:log/kibana.log. Nakon što je konfiguracijska datoteka uspješno izmijenjena, potrebno je spremiti promjene. Za korištenje servisa, podsustav kibana koristi korisnika kibana“. Stoga prije pokretanja podsustava kibana pokrenuta je naredba usermod -a -G kibana kibana kako bi osigurali da grupa imena kibana sadrži korisnika imena kibana. 4.1.6. Sigurnosna zaštita datoteke sa sistemskih zapisima podsustava kibana Radi se o datoteci kibana.log te ovo poglavlje nema utjecaj na izvršavanje kibane. Dodano je kao sigurnosna mjera kako bi cijeli projekt bio kvalitetno zaokružena cjelina. Datoteka sistemskih zapisa kibane nalazi se na putanji /var/log/kibana.log. Upisom naredbe ls -l /var/log/kibana.log prikazat će se prava koja ima datoteka sistemskih zapisa kibane, koja se zove kibana.log. Slika 10 prikazuje kako je korisnik root vlasnik kibana.log datoteke te kako grupa root ima pristup, odnosno vlasništvo nad tom datotekom. Slika 10 Vlasništvo nad datotekom sistemskih zapisa podsustava kibana prije izmjene
  • 30. 29 Naredbom chown kibana:kibana /var/log/kibana.log mijenja se vlasnik i grupa koja ima pristup datoteci. Slika 11 prikazuje promjenu vlasništva nad datotekom kibana.log. Novi vlasnik nad datotekom kibana.log je korisnik imena kibana, a nova grupa koja ima pristup, odnosno vlasništvo nad datotekom je grupa imena kibana. Slika 11: Vlasništvo nad datotekom sistemskih zapisa podsustava kibana nakon izmjene Kako bi sigurnosni aspekt bio zadovoljen, naredbom chmod 200 /var/log/kibana.log samo korisniku imena kibana koji je vlasnik datoteke dodijelit će se pravo da može pisati u datoteku sistemskih zapisa podsustava kibane. Ta dozvola je vrlo restriktivna sa stajališta sustava, ali sa stajališta sigurnosti, nema potrebe da nad datotekom sistemskih zapisa bude omogućeno bilo koje dodatno pravo. 4.1.7. Sigurnosna zaštita konfiguracijske datoteke podsustava kibana Radi se o datoteci kibana.log te ovo poglavlje nema utjecaj na izvršavanje kibane. Dodano je kao sigurnosna mjera kako bi cijeli projekt bio kvalitetno zaokružena cjelina. Konfiguracijska datoteka kibane nalazi se na putanji /etc/kibana/kibana.yml . Naredbom ls -l /etc/kibana/kibana.yml dobit ćemo prava koja ima konfiguracijska datoteka kibane, koja se zove kibana.yml. Slika 12 prikazuje kako je root korisnik vlasnik kibana.yml datoteke te kako grupa root ima pristup, odnosno vlasništvo nad tom datotekom. Slika 12: Vlasništvo nad kibana.yml datotekom prije izmjene Naredbom chown kibana:kibana /etc/kibana/kibana.yml mijenja se vlasnik i grupa koja ima pristup datoteci. Slika 13 prikazuje promjenu vlasništva nad datotekom kibana.yml . Novi vlasnik nad datotekom kibana.yml je korisnik imena kibana, a nova grupa koja ima pristup, odnosno vlasništvo nad datotekom je grupa imena kibana.
  • 31. 30 Slika 13: Vlasništvo nad kibana.yml datotekom nakon izmjene Kako bi sigurnosni aspekt bio zadovoljen, naredbom chmod 500 /etc/kibana/kibana.yml korisniku imena kibana koji je vlasnik datoteke dodijelit će se pravo da može čitati i izvršavati konfiguracijsku datoteku podsustava kibana. Ta dozvola je vrlo restriktivna sa stajališta sustava, ali sa stajališta sigurnosti, nema potrebe da nad konfiguracijskom datotekom bude omogućeno bilo koje dodatno pravo. To su minimalna prava nad datotekom koja su potrebna da bi se kibana servis mogao pokrenuti. Ukidanjem prava čitanja ili izvršavanja za korisnika imena kibana, servis kibana se neće uspješno pokrenuti. 4.1.8. Pokretanje podsustava kibana Podsustav kibana se pokreće sljedećim naredbama: • systemctl enable kibana i • systemctl start kibana Također, kao i u slučaju elasticsearch, naredbom watch ‘netstat -tupan | grep -I list’ moguće je provjeriti na kojim se mrežnim priključcima aktivno osluškuju promet. Slika 14 prikazuje uspješno pokretanje elasticsearch i kibana servisa. Slika 14: Provjera kibana servisa Na slici 14 označen je mrežni priključak 5601 koji potvrđuje da je kibana ispravno pokrenuta. Naime, radi se o preddefiniranom mrežnom priključku na kojem kibana osluškuje promet. Mrežni priključci 9200 i 9300 pripadaju elasticsearch servisu kako je ranije prikazano slikom 8.
  • 32. 31 4.1.9. Pregled sučelja podsustava kibana Kada su servisi elasticsearch i kibana uspješno postavljeni i upaljeni može se testirati rad kibane izlaskom iz ljuske CentOS 7, odnosno povratkom na klijentsko računalo. Upisom IP adrese i mrežnog priključka u Internet preglednik, pojavljuje se sučelje kibane. U projektu ono se nalazi na adresi 192.168.1.61:5601 kao što je i prikazano slikom 14. Važno je napomenuti da postoji mnogo poteškoća i problema kako bi se ispravno pokrenuli elasticsearch i kibana servisi te da bi se ispravno otvorilo sučelje. Problemi nastaju zbog Linux operacijskog sustava i zbog kompleksnosti samog sustava. Svaka greška nije opisivana pojedinačno jer nije u opsegu ovog dokumenta. Nakon što su svi problemi riješeni, prikazalo se sučelje kibane čiji izgled predstavlja slika 15: Slika 15: Kibana sučelje unutar Internet preglednika Jedna od najvažnijih karakteristika kibane je vrlo moćna granulacija filtriranja koje omogućava filtriranje zapisa prema mnoštvu različitih metapodataka. Iako se najčešće u poslovima administracije sustava učestalo koristi svega nekoliko metapodataka, u nekim specifičnim slučajevima i kritičnim situacijama, mogućnost filtriranja prema velikom broju različitih metapodataka može uštedjeti vrijeme administratorima kako bi detektirali određene anomalije. 4.1.10. Konfiguracija prometa prema podsustavu elasticsearch Kada su elasticsearch i kibana uspješno postavljeni, potrebno je konfigurirati syslog-ng kako bi prikupljao sistemske zapise s uređaja na mreži i prosljeđivao ih do elasticsearch-a. Na slici 4 već je ranije prikazan izgled konfiguracijske datoteke syslog-ng. S obzirom na opseg
  • 33. 32 dokumenta, izbačena je podrška za TLS te je izmijenjena početna konfiguracijska datoteka. Naredba vi /etc/syslog-ng/syslog-ng.conf otvara konfiguracijsku datoteku syslog-ng pomoću vi uređivača teksta. Kao što je vidljivo sa slike 4, u preddefiniranoj konfiguracijskoj datoteci nije postavljen mrežni izvor prometa. Stoga je potrebno dodati mrežni izvor kako bi elasticsearch dobio mrežni promet koji mora obraditi. Slika 16 prikazuje novokreiranu konfiguraciju mrežnog izvora (označeno crvenim pravokutnikom). Slika 16: Konfiguracija izvora syslog-ng datoteke Postavka ip(0.0.0.0) označava da se promet osluškuje na svim sučeljima. Kao što je vidljivo iz konfiguracije na slici 16, osluškuje se promet po protokolima TCP i UDP. Bilježenje prometa po TCP protokolu je pouzdanije nego preko UDP protokola zato što zahtjeva sinkronizaciju u tri koraka (engl. three-way handshake) te za svaki primljeni paket, čvor kome je paket
  • 34. 33 namijenjen javlja je li ga primio uspješno ili neuspješno te se u slučaju neuspješne dostave, paket šalje ponovno. Međutim neki uređaji ne podržavaju TCP stoga su u konfiguraciju postavljena oba protokola. Za potrebe testiranja, kreirana je i datoteka koja sadrži izvor podataka imena source s_file, na slici 16 označena žutim pravokutnikom. Datoteka se nalazi na putanji /tmp/input/ te će svi zapisi koji se postave na navedenu putanju biti uključeni u elasticsearch. Također, u konfiguraciju je potrebno upisati i odredište elasticsearcha. Na slici 17, zelenim pravokutnikom je označena konfiguracija odredišta elasticsearcha. Slika 17: Konfiguracija odredišta i putanje zapisnika kroz sustave
  • 35. 34 Postoje dva načina na koja se može izvesti konfiguracija odredišta elasticsearcha. Prvi način označava java dodatak (engl. plugin), a drugi način odnosi se na SCTP koji izvodi poziv zatvaranja kako bi poslao seriju zapisa preko HTTP protokola. U projektu se koristi dodatak nazvan elasticsearch-http. Unutar uglatih zagrada, definirani su parametri dodatka. Klijentski način rada postavljen je za rad putem HTTP protokola. Kao indeks, postavljen je syslog-ng s definiranim varijablama koje pridružuju datum svakom elasticsearch indeksu. Indeks sadržava uzorke sistemskih zapisa koje kibana vizualizira i grafički prikazuje. Upisivanjem nepostojećeg imena kao parametar indeksa, stvorit će se novi indeks u koji će se spremati svi sistemski zapisi. Vremenska zona postavljena je na europsko vrijeme. Kao tip, postavljen je parametar log, a url označava putanju do elasticsearcha. Nakon konfiguracije izvorišta i odredišta, potrebno ih je povezati. Na slici 17, plavom bojom označen je dio konfiguracije koji povezuje izvorište i odredište zapisa kako bi se uspješno obuhvatio cijeli proces obrade zapisa. Kada je syslog-ng uspješno konfiguriran, potrebno je ponovno učitati izmijenjenu konfiguracijsku datoteku. Najčešće, korisnicima u kućnim okruženjima je najjednostavnije ponovno pokrenuti računalo. Međutim, u korporativnim rješenjima, takvo rješenje može uzrokovati zastoj nekog od ključnih servisa te uzrokovati financijske gubitke. Iz tog razloga ne preporučuje se ponovno pokretati sustav zbog jednostavnih izmjena u konfiguracijskoj datoteci. Umjesto ponovnog pokretanja sustava, postupak je drugačiji te se u aktivan sustav učitava izmijenjena konfiguracijska datoteka. Prije svega, potrebno se uvjeriti da se konfiguracijska datoteka ispravno napisana te da nema sintaksnih grešaka. Naredbom syslog-ng --syntax-only provjerava se sintaksa konfiguracijske datoteke. Ako konfiguracijska datoteka sadrži sintaksne greške, syslog-ng će prestati s radom. Slika 18 prikazuje primjer izvršavanja navedene naredbe tijekom provedbe projekta.
  • 36. 35 Slika 18: Provjera sintakse syslog-ng konfiguracijske datoteke Naredba je pokrenuta prvi puta nakon što je konfiguracijska datoteka izmijenjena. Takav pristup omogućava bolji uvid u realno radno okruženje u kojem greške nisu nešto što se nikada ne događa. Greške je potrebno na vrijeme detektirati i ispraviti prije nego se nađu u produkcijskoj okolini. Kao što je vidljivo sa slike 18, u retku broj 36 na kraju nedostaje znak točka-zarez. Nakon što je ta greška ispravljena ponovno je pokrenuta naredba za provjeru sintakse dokumenta. Slika 19 prikazuje opisani set naredbi i uspješno provedenu provjeru sintakse syslog-ng konfiguracijske datoteke: Slika 19 Uspješna provjera sintakse syslog-ng konfiguracijske datoteke 4.1.11. Post instalacijske aktivnosti Postavljanje syslog-ng konfiguracijske datoteke zadnji je veliki korak u instalaciji SIEM sustava. Kada je konfiguracijska datoteka postavljena, potrebno ju je ponovno učitati kako bi sustav radio prema konfiguriranim parametrima. Moguće je jednostavno ponovno pokrenuti syslog-ng kao što je već predloženo ranije, ali to nije preporučljivo jer ne želimo da sustav prekida sa svojim radom. Pogotovo ne zbog malenih promjena u konfiguraciji. Umjesto toga, bolje rješenje je samo ponovno učitavanje konfiguracijske datoteke.
  • 37. 36 Postoje tri različita načina na koji možemo ponovno učitati konfiguracijsku datoteku, a to je naredbama: • systemctl reload syslog-ng, • syslog-ng-ctl reload ili • killall -HUP syslog-ng. Prije upisa neke od tih naredbi, očekuje se da syslog-ng bude pokrenut. Syslog-ng pokreće se naredbom systemctl start syslog-ng. Kao i u prethodnim slučajevima s elasticsearchom i kibanom, tako i u ovom slučaju, status servisa možemo provjeriti naredbom systemctl status [imeservisa], što zapravo znači da status syslog-ng servisa provjeravamo naredbom systemctl status syslog-ng. Također, isto kao i u slučaju elasticsearcha i kibane, potrebno je provjeriti je li mrežni priključak 51400 osluškuje promet. To se može provjeriti pomoću već spomenute naredbe netstat -tupan | grep -i 51400. Slika 20 prikazuje prethodno opisane naredbe pokretanja syslog-ng, provjere statusa te provjere osluškivanja prometa na mrežnom priključku 51400. Slika 20: Pokretanje syslog-ng servisa nakon izmjena u konfiguracijskoj datoteci Jednom kada je konfiguracijska datoteka promijenjena, a servis syslog-ng aktivan, potrebno je učitati tako promijenjenu konfiguracijsku datoteku. U ovom slučaju, učinili smo to naredbom syslog-ng-ctl reload iz jednostavnog razloga što ona daje povratnu informaciju o uspješnosti izvođenja eksplicitno prikazanu na ekranu, za razliku od primjerice naredbe systemctl reload syslog-ng. Potonja naredba ne daje nikakvu informaciju ako se uspješno izvrši. Čak iako je konfiguracijska datoteka neispravna, ali naredba ponovnog učitavanja servisa nije naišla na grešku pri ponovnom učitavanju servisa, navedena naredba neće ispisati nikakvo upozorenje korisniku. Nakon što se konfiguracija ponovno učita, iskusni administrator će provjeriti
  • 38. 37 osluškuje li servis promet na konfiguriranim mrežnim priključcima. To čini već više puta spomenutom naredbom netstat -tupan | grep -i 51400. Slika 21 prikazuje ponovno učitavanje konfiguracije u živući sustav bez zaustavljanja njegovog rada i ponovnog pokretanja cijelog sustava. Na slici 21 također je vidljiva i provjera servisa po mrežnom priključku 51400 nakon ponovnog učitavanja konfiguracije. Slika 21 Učitavanje konfiguracijske datoteke u živući sustav Kada je poslužitelj uspješno postavljen, potrebno je testirati prikaz sistemskih zapisa. U tu svrhu, prije instalacije i konfiguracije klijentskog računala, zapisi će biti ručno dodani u datoteku iz koje ih elasticsearch čita. Naredba cat /var/log/secure | grep -i ssh prikazuje zapise vezane uz ssh konekciju. S obzirom na to da je tijekom izvedbe projekta korišten putty, sigurno je da će naredba vratiti neki zapis koji se može iskoristiti za prikaz. Slika 22 prikazuje rezultat spomenute naredbe i sistemske zapise vezane uz ssh konekciju na poslužitelju. Slika 22 Prikaz sistemskih zapisa vezanih uz ssh konekciju Označeni zapis govori da je prihvaćena lozinka za korisnika root s IP adrese fizičkog računala te daje informaciju o mrežnom priključku. Taj zapis je odabran i kopiran nekoliko puta u datoteku iz koje elasticsearch čita zapise. Do te datoteke dolazimo naredbom vi /tmp/input . Upisom spomenute naredbe, otvara se prazna datoteka u koju je kopirana označena linija sa slike 22. Kao što je već spomenuto, tako ručno upisan zapis u input datoteku koristi se u svrhu testiranja poslužitelja prije konfiguracije klijentskog računala.
  • 39. 38 Slika 23 prikazuje sadržaj datoteke koju čitaju elasticsearch i kibana. Elasticsearch u tu datoteku sprema zapise, a kibana iz te datoteke uzima spremljene zapise i vizualizira ih u svom interaktivnom grafičkom sučelju. Slika 23 Prikaz input datoteke elasticsearcha s ručno upisanim zapisima Spremanjem input datoteke, kreiran je indeks unutar kibane. Osnovni podaci o indeksu zapisani su u konfiguracijskoj datoteci syslog-ng. Prvotno je definiran parametar index(''syslog-ng'') te je za očekivati da će veličina tog indeksa rasti s vremenom kako se budu popunjavali podaci. Ono što je rizično u takvoj konfiguraciji jest vjerojatnost da se neki sistemski zapisi izbrišu ili da se prepišu čitavi indeksi zapisa. Stoga je izmijenjen navedeni indeks parametar tako da se indeksi kreiraju uz pomoć varijabli koje svakom indeksu dodaju datum kako bi se izbjegli opisani rizici. Novi izgled indeks parametra u konfiguracijskog datoteci syslog-ng koja se nalazi na putanji /etc/syslog-ng/syslog-ng.conf je index(''syslog-ng_${YEAR}.${MONTH}.${DAY}''), što je i vidljivo na slici 17 . Nakon što je syslog-ng konfiguracijska datoteka mijenjana, potrebno je ponovno provjeriti sintaksu naredbom syslog-ng --syntax-only kako ne bi došlo do neočekivanog prestanka rada syslog-ng servisa. Kada se naredba za provjeru sintakse uspješno izvršila, iz Internet sučelja kibane izbrisan je testni indeks kreiran po starom parametru bez datuma. Nakon što je testni indeks izbrisan, potrebno je ponovno pokrenuti syslog-ng iz terminala SIEM poslužitelja naredbom syslog-ng- ctl reload . Također, potrebno je i ažurirati input datoteku dodavanjem još nekoliko redaka zapisa. Izmijenjena datoteka je spremljena, a to je izazvalo kreiranje novog indeksa unutar kibane samo ovaj put uz dodatak datuma u imenu. Kada je indeks uspješno kreiran, postavljen je indeks predložak. Unutar kibane on se nalazi na putanji Management->Index Patterns->Create index pattern. U polje index pattern upisan je regularni izraz (engl. regex) koji će obuhvatiti sve indekse, a to je syslog-ng_*.
  • 40. 39 Pritiskom na next gumb, otvara se mogućnost filtriranja vremena. Ovdje je odabrana vrijednost ISODATE te je kreiran uzorak. Prikazano je 28 različitih polja koja čine sistemski zapis i daju informaciju o događaju. Slika 24 prikazuje kreirani indeks uzorak i dio polja koje čine sistemski zapis. Slika 24 Indeks uzorak i polja koja čine sistemski zapis Nije nužno da svaki sistemski zapis sadrži točno 28 polja koji ga karakteriziraju. Također, u prikazanim poljima ne postoji podatak o geografskoj lokaciji za koju bi se zapis vezao. Na temelju geografske lokacije, kibana nudi kreiranje različitih mapa kojima povezuje informaciju s određenom geografskom lokacijom. S takvim mogućnostima, ovakav SIEM sustav može se koristiti i u drugim djelatnostima, potpuno neovisnima i izvan područja informacijske sigurnosti. Jedan od takvih primjera je u seizmologiji koja pomoću SIEM sustava može bilježiti podatke o potresima. 4.1.12. Postavljanje klijentskog računala Nakon što je SIEM poslužitelj uspješno postavljen, potrebno je kreirati klijentsko računalo u mreži s kojeg će se prikupljati sistemski zapisi. U tu svrhu odabran je 64-bitni Kali Linux kao još jedno virtualno računalo.
  • 41. 40 Sama instalacija virtualnog računala je izvan okvira ovoga dokumenta i neće biti detaljno objašnjena. Nakon što je klijentsko virtualno računalo uspješno instalirano i prvi puta pokrenuto, kreće se u proces konfiguracije. Otvaranjem terminala i upisom naredbe vi /etc/rsyslog.conf, terminal ulazi u konfiguracijsku datoteku rsyslog servisa koji dolazi predinstaliran na operacijskom sustavu klijenta. Na samom kraju datoteke potrebno je dodati liniju *.* @@192.168.1.61:51400 kao što je prikazano na slici 25: Slika 25 Prosljeđivanje sistemskih zapisa s klijenta na poslužitelj Upisana IP adresa označava IP adresu SIEM poslužitelja. Jedan znak @označava da će se sistemski zapisi slati preko UDP protokola, a dva znaka @@ označavaju da će se sistemski zapisi slati preko TCP protokola. Kako bi izbjegli gubitke sistemskih zapisa, u ovoj konfiguraciji koristi se slanje sistemskih zapisa preko TCP protokola. Kada je konfiguracijska datoteka servisa izmijenjena, potrebno je ponovno pokrenuti servis, odnosno učitati konfiguracijsku datoteku u sustav kako bi se servis počeo ponašati onako kako je definirano novom konfiguracijom. Nakon ponovnog pokretanja rsyslog servisa naredbom systemctl restart rsyslog¸ potrebno je provjeriti da li je konekcija uspostavljena. Očekivani rezultat naredbe netstat -tupan | grep -i 51400 prikazan je na slici 26:
  • 42. 41 Slika 26 Uspješno uspostavljena konekcija između klijenta i poslužitelja Kada je konekcija uspješno uspostavljena, znači da se sistemski zapisi uspješno prosljeđuju SIEM poslužitelju. Za provjeru, napravljena je nova sesija aplikacijom putty prema računalu klijenta. Nakon što se korisnik root prijavio na klijentsko računalo, očekuje se da je taj zapis klijentsko računalo proslijedilo SIEM poslužitelju te da je taj zapis vidljiv pomoću kibane. Slika 27 prikazuje uspješnu autentifikaciju korisnika root na klijentsko računalo. Slika 27 Prikaz klijentskog zapisa na poslužitelju Slika 27 potvrđuje ispravnu konfiguraciju između poslužitelja i klijentskog računala. Klijentsko računalo je uspješno prikupilo zapis o korisničkoj prijavi i poslalo ga podsustavu syslog-ng. Podsustav syslog-ng je zapis uspješno pohranio u podsustav elasticsearch odakle je vidljiv podsustavu kibana te ga je moguće uvrstiti u vizualizacijski izvještaj. Nakon što je sustav uspješno postavljen, pomoću njega se mogu nastaviti prikupljati zapisi s klijentskog računala ili se mogu dodati nova klijentska računala te se njihovim međusobnim povezivanjem može
  • 43. 42 stvoriti veće IT okruženje. Takvo okruženje nije u opsegu ovoga dokumenta stoga neće biti niti detaljnije objašnjeno. 4.1.13. Analiza prikupljenih podataka Nakon što je uspješno postavljena konekcija između klijenta i poslužitelja, poslužitelj počinje skupljati sistemske zapise s klijentskog računala. Cijeli projekt izveden je na kućnom računalu kao što je i opisano u poglavlju 4 kada je definiran projektni zadatak. Kućno računalo se svakodnevno koristi i za druge operacije te zbog svojih nedovoljno snažnih hardverskih performansi nije bilo u moguće stalno držati pokrenutim još dva virtualna računala – SIEM poslužitelja i SIEM klijenta. Iz tog razloga cijeli sustav ne radi stalno kako bi radio u stvarnom korporativnom okruženju nego su virtualna računala pokretana prema potrebi te su podaci skupljani u nekoliko odvojenih vremenskih intervala. Za potpunu simulaciju stvarnog korporativnog okruženja, cijeli sustav bi trebalo prebaciti na poslužitelj te bi u okruženje trebalo dodati više poslužitelja, ali i više klijentskih računala kako bi se prikupilo više podataka te kako bi se mogli postaviti odgovarajući algoritmi u skladu s prikupljenim podacima. Ovisno o korporaciji, moguće je izvesti i neke naprednije algoritme koji bi radili razne izračune prilagođene pojedinoj korporaciji. Međutim s obzirom na projektni zadatak definiran u poglavlju 4, sam sustav nije u okviru ovog projekta dodatno preseljen na poslužitelj unutar neke od korporacija. Također s obzirom na opseg dokumenta, prikazivanje i simulacija svih mogućih slučajeva u kojima je moguće, odnosno poželjno ili preporučljivo koristiti SIEM sustav, daleko bi premašili opseg dokumenta. SIEM sustav se prilagođava korporaciji i njenim potrebama stoga bi svaku od tih mogućnosti bilo potrebno dokumentirati, konfigurirati, testirati i prikazati. Takav pristup zahtjeva poznavanje, ali i mogućnosti testiranja unutar različitih industrija. Spomenute su već mogućnosti poput seizmologije ili podrške u prodaji. Slika 28 prikazuje datume kada su sakupljani sistemski zapisi.
  • 44. 43 Slika 28 Graf broja sakupljenih zapisa na pojedini dan Osim datuma prikupljanja zapisa, slika 28 prikazuje i informaciju o broju zapisa koji su prikupljeni na određeni dan. Sa slike je vidljivo da je najveća aktivnost zabilježena na datum 28. rujna 2019. godine. Osim prikazanog grafa, kibana ima još mnogo grafova i načina na koje vizualizira podatke. Međutim, izvan opsega dokumenta je opisivati svaku mogućnost kibane. Više informacija o tome može se pronaći u službenoj dokumentaciji svake pojedine verzije. Osim izrade pojedinih grafova, kibana nudi mogućnost grupiranja pojedinih grafova u jedinstvenu kontrolnu ploču (engl. dashboard). Takva mogućnost daje administratorima jednostavan pristup podacima i detekciju anomalija. Slika 29 daje primjer kontrolne ploče na temelju prikupljenih podataka tijekom provedbe projekta. Pojedini grafovi izrađeni su različitim načinima vizualizacije kibane kako bi se dobio uvid u njene mogućnosti.
  • 45. 44 Slika 29 Kontrolna ploča unutar kibane Kao što je vidljivo sa slike 29, grafovi prikazuju različite podatke na različite načine. Prvi graf s lijeva prikazuje broj sistemskih zapisa po pojedinom servisu i prioritetu. U sredini slike 29, gornji graf prikazuje broj sistemskih zapisa po pojedinom tipu. Donji graf prikazuje popis računala s kojih se sakupljaju zapisi te daje informaciju o tome koliko je zapisa prikupilo pojedino računalo. Ovdje je potrebno napomenuti da su računala siemclient i računalo s IP adresom 192.168.1.13 zapravo ista računala. Međutim, zapisi su poslani prije konfiguracije imena računala tako da je syslog-ng u atribut identifikacije računala upisao IP adresu s kojeg je zapis došao. U desnom dijelu slike 29 nalazi se ukupan broj prikupljenih zapisa te najčešće poruke koje sadržavaju zapisi. To su poruke o pokretanju i zaustavljanju rada pojedinih servisa, otvaranje i zatvaranje sesija pojedinih korisnika na pojedinim računalima i slično.
  • 46. 45 5. ZAKLJUČAK Informacijska sigurnost obuhvaća cijeli spektar različitih sigurnosnih tehnologija. Njihovim razvojem i općenitom pojavom novih generacija ICT usluga i sklopovsko-aplikativnih produkata otvara se prostor novim sigurnosnim prijetnjama. Tehnologije i mehanizmi zaštite podataka nužno moraju pratiti navedenu ekspanziju tržišta. Dokuemnt prikazuje jedan od načina kojim se tvrtke pokušavaju zaštititi od prijetnji. Opisani SIEM sustavi prikupljaju sistemske zapise, uočavaju anomalije u uzorcima te promptno kreiraju upozorenja. Isto dovodi do skraćivanja vremena reakcije na štetan događaj. Istovremeno, takvi sustavi sposobni su segregirati dijelove IT okruženja te primjerice ograničiti pristup podacima na produkcijskom okruženju. Drugim riječima, sustav je sposoban odvojiti neispravnu komponentu i izolirati je kako ne bi utjecala na rad ostatka sustava. SIEM sustavi administratorima omogućavaju kontrolu nad poslužiteljima, bazama podataka i mrežnim uređajima. Osim nadzora nad sustavom, SIEM rješenja ispunjavaju zahtjeve revizija i drugih regulatornih obaveza te osiguravaju usklađenost s dobrim praksama, normama i ostalim regulativama. SIEM rješenja također imaju ugrađene mehanizme za vizualni prikaz i izvještavanje. U dokumentu je prikazano korištenje Kibane kao vizualizacijskog alata za prikaz prikupljenih zapisa. Pojedina SIEM rješenja korisniku pružaju dodatnu mogućnost korištenja sustava za poslovno izvještavanje obrađujući komercijalne podatke. Općenito radi se o vrlo prilagodljivim sustavima širokih mogućnosti. Zbog svoje široke mogućnosti primjene i mnoštva funkcija, tvrtke uvode SIEM rješenje kao podršku poslovnim procesima u skladu sa zahtjevima tržišta. Kupci traže učinkovit pristup svojim dobavljačima. Iako takav pristup pogoduje kupcu, predstavlja značajan izazov za informacijsku sigurnost poduzeća s obzirom na to da se tako proširuje površina napada. Pregledom trendova u svijetu informacijske sigurnosti vidljivo je da neizbježnost napada nije na zanemarivoj razini. Iz toga se može očekivati da će u budućnosti potreba za SIEM sustavima rasti. Iako u dokumentu nije prikazana implementacija SIEM sustava u realno korporativno okruženje, u samom dokumentu vidljiv je dio kompleksnosti postavljanja SIEM sustava. S tom svrhom, u dokumentu je prikazan manji broj grešaka koje su se pokazale tijekom izvedbe i konfiguracije. U verziji produkta 3.21 koja je korištena u ovom projektu za povezivanje syslog- ng sustava i elasticsearcha korišten je nov način preporučen u tehničkoj dokumentaciji sustava. Zaključak je da, s obzirom na sveobuhvatnost SIEM sustava, nije dovoljno cijelo rješenje sagledati samo iz inženjerske perspektive, već je potrebno sagledati i onu poslovnu sa strane
  • 47. 46 korporativnog upravljanja. Isto podrazumijeva kapitalnu investiciju u sklopovsko-aplikativnu podršku te operativne troškove implementacije, održavanja i edukacije djelatnika za podršku i korištenje sustava.
  • 48. 47 LITERATURA [1] https://searchsecurity.techtarget.com/feature/Splunk-Enterprise-Security-Product-overview (pristupljeno 19.2.2019) [2] https://www.esecurityplanet.com/products/logrhythm-vs-splunk-siem-solutions- compared.html (pristupljeno 19.2.2019) [3] https://www.esecurityplanet.com/products/alienvault-vs-splunk-siem-solutions- compared.html (pristupljeno 19.2.2019) [4] https://itbusinessedge.itcentralstation.com/products/arcsight-pricing-and-license-cost (pristupljeno 19.2.2019) [5] https://www.esecurityplanet.com/products/micro-focus-sentinel-enterprise-siem.html (pristupljeno 19.2.2019) [6] https://www.esecurityplanet.com/products/mcafee-enterprise-security-manager-siem.html (pristupljeno 19.2.2019) [7] https://www.esecurityplanet.com/products/solarwinds-log-event-manager-siem.html (pristupljeno 25.2.2019) [8] https://www.esecurityplanet.com/network-security/security-information-event- management-siem.html (pristupljeno 27.2.2019) [9] https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts- worldwide-information-security-spending-to-exceed-124-billion-in-2019 (pristupljeno 27.2.2019) [10] https://lwn.net/Articles/424459/ (pristupljeno 25.3.2019) [11] https://www.elastic.co/support/matrix (pristupljeno 2.4.2019) [12] https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html (pristupljeno 6.4.2019) [13] https://www.elastic.co/guide/en/kibana/current/rpm.html (pristupljeno 6.4.2019) [14] https://tools.ietf.org/html/rfc4960 (pristupljeno 3.4.2019) [15] https://newsroom.intel.com/wp-content/uploads/sites/11/2018/05/moores-law- electronics.pdf (pristupljeno 18.2.2019)
  • 49. 48 [16] https://www.forbes.com/profile/gordon-moore/#2f91c42225ac (pristupljeno 18.2.2019) [17] http://zk.dbi.hr/korado-korlevic-posljednje-stoljece-homo-sapiensa/ (pristupljeno 18.2.2019) [18] https://www.wired.com/story/collection-leak-usernames-passwords-billions/ (pristupljeno 30.1.2019) [19] Digitalna mapa prijetnju u realnom vremenu dostupna je na linku https://cybermap.kaspersky.com/ (pristupljeno 18.2.2019) [20] https://www.statista.com/statistics/273018/number-of-internet-users-worldwide/ (pristupljeno 18.2.2019) [21] Podaci su prikupljeni s više izvora te je uzeta prosječna vrijednost nekoliko izvora. Okviran skup podataka dostupan je na Forbesovim stranicama - https://www.forbes.com/sites/bernardmarr/2018/05/21/how-much-data-do-we-create-every- day-the-mind-blowing-stats-everyone-should-read/#5a16d36b60ba (pristupljeno 18.2.2019) [22] Više informacija i interaktivnog sadržaja dostupno je na poveznici - http://www.internetlivestats.com/one-second/#instagram-band - koja prikazuje što se sve događa na Internetu unutar samo jedne sekunde te http://www.internetlivestats.com/ - koja prikazuje što se sve događa na Internetu unutar samo jednog dana (pristupljeno 18.2.2019) [23] https://www.thesslstore.com/blog/2018-cybercrime-statistics/ (pristupljeno 24.4.2019)
  • 50. 49 SAŽETAK Cilj ovog projekta je opis implementacije sustava za upravljanje sigurnosnim informacijama i događajima (u daljnjem tekstu: SIEM). SIEM (engl. Security Information and Event Manager) je postavljen korištenjem alata otvorenog koda te su kroz projekt analizirane mogućnosti i funkcionalnosti trenutno dostupnih alata. Korištenjem alata otvorenog koda izbjegnuti su troškovi licenciranja, a samostalno sastavljanje SIEM sustava povećava mogućnosti konfiguracije, ažuriranja te prilagodbe specifičnim potrebama okruženja. Ovaj dokument daje osvrt na temu digitalne sigurnosti općenito, temeljem prikupljenih informacija i iskustava najavljuje što bi se moglo događati u svijetu digitalne sigurnosti u budućnosti, ali i predstavlja stečena znanja. KLJUČNE RIJEČI: SIEM, digitalna sigurnost, Internet, spam, open-source, alati otvorenog koda, syslog-ng, elasticsearch, kibana
  • 51. 50 SUMMARY The purpose of this project is to implement a security information and event management system (hereinafter referred to as SIEM). SIEM (Security Information and Event Manager) is set up using open source tools and analyzes the capabilities and functionality of currently available tools. The use of open source tools avoids licensing costs, and the self-assembly of a SIEM system increases the ability to configure, update, and adapt to the specific needs of the environment. This paper gives an overview of the topic of digital security in general, based on the information and experience gathered, announces what might happen in the digital security world in the future, but also presents the lessons learned. KEYWORDS: SIEM, digital security, Internet, spam, open-source, open source tools, syslog- ng, elasticsearch, kibana