S čím organizaci pomůže SIEM?

SIEM, zkratka pro Security Information and Event Management, představuje jeden z klíčových prvků při řízení kybernetické bezpečnosti. K čemu je SIEM vlastně dobrý?

S čím organizaci pomůže SIEM?

Pojem SIEM byl (pravděpodobně) poprvé použit v roce 2002 společností IBM v dokumentu "IBM Security Information and Event Management: A Solution Overview". Zde byl SIEM definován jako "systém, který shromažďuje, ukládá a analyzuje bezpečnostní informace a události z různých zdrojů, aby poskytoval sjednocené rozhraní pro jejich správu a analýzu".

Vývoj konceptu SIEM byl v praxi spíše pozvolný a vznikal z potřeby integrovat funkce Security Information Management (SIM) a Security Event Management (SEM) do jedné platformy.

Vznik SIEM byl odpovědí na rostoucí potřebu lepší integrace a analýzy bezpečnostních dat v reakci na stále složitější a sofistikovanější kybernetické hrozby. SIEM se postupně stal jedním z klíčových prvků systému řízení kybernetické bezpečnosti.

Hlavní prvky SIEM

Mezi hlavní funkce komplexního SIEM patří následující:

 • Sběr a agregace dat: SIEM shromažďuje a konsoliduje logy a další bezpečnostní informace z různých zdrojů v síti organizace.

 • Detekce hrozeb: SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb.

 • Alarmy a upozornění: V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných incidentech.

 • Sledování a analýza událostí: Systém poskytuje nástroje pro sledování a analýzu bezpečnostních událostí, což provozním či bezpečnostním umožňuje včas reagovat.

 • Dodržování předpisů a compliance: SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.

Jak vybrat vhodné SIEM řešení?

SIEM je vhodný pro značnou část organizací z veřejného i soukromého sektoru. A pro řadu z nich bude také tento nástroj brzy povinný, protože bez funkčního SIEMu lze jen obtížně dosáhnout souladu s požadavky NIS2 směrnice a českých prováděcích předpisů, nařízení DORA, atd.

Jaký je doporučený postup výběru a implementace SIEM?

 • Definice požadavků a cílů: Tento krok zahrnuje podrobné porozumění bezpečnostním potřebám organizace a očekávaným výstupům od SIEM. Je důležité identifikovat specifické hrozby, kterým organizace čelí, a jak SIEM může pomoci tyto hrozby mitigovat.

 • Výběr dodavatele: Při výběru dodavatele je nutné posoudit, zda navržené řešení odpovídá požadavkům (není předimenzované nebo nedostatečné), zdali je nabízené řešení škálovatelné a jaké dodavatel nabízí možnosti technické podpory a dodatečných služeb.

 • Implementace: Implementace zahrnuje technické nasazení SIEM v organizaci. To zahrnuje zejména integraci s existujícími systémy, nastavení pravidel a konfigurací, zajištění, že všechny relevantní zdroje dat jsou správně připojeny, a zpracování příslušné dokumentace.

 • Školení a rozvoj pracovníků: Zajištění, že bezpečnostní tým je dostatečně vyškolený pro práci se SIEM, je zásadní nejen pro implementaci, ale rovněž pro jeho faktické provozování. Je potřeba, aby pracovníci věděli, jak interpretovat data a upozornění generovaná systémem a jak na ně efektivně reagovat.

 • Průběžné hodnocení a úpravy: Efektivní fungování SIEM systému vyžaduje jeho pravidelné vyhodnocování. To zahrnuje nejen aktualizace software, ale také úpravu jeho nastavení s ohledem na nově vznikající hrozby a hodnocení úspěšnosti a efektivity detekce bezpečnostních incidentů.

Jak poznat správně fungující SIEM

Trh nabízí širokou škálu řešení a nástrojů pro sledování IT infrastruktury, včetně pokročilých SIEM systémů. Ne každý nástroj se hodí ale pro každého. A zároveň pouhé zakoupení drahé krabičky neznamená, že organizace „vyřešila kyberbezpečnost“.

Jaké jsou kritické faktory úspěchu zavedení a provozování SIEM?

 • Správná konfigurace a integrace: Efektivní nastavení a integrace SIEM do stávajícího prostředí jsou klíčové. To zahrnuje správné nastavení pravidel, upozornění a filtrů. Pokud je systém špatně nastaven, může to vést k nepřijatelně vysokému počtu falešných poplachů, které mohou ovlivnit efektivitu bezpečnostního týmu.

 • Kvalifikovaný personál: Mít kvalifikovaný tým, který rozumí SIEM a je schopen správně interpretovat výstupy.

 • Aktualizace a údržba: SIEM systémy musí být pravidelně aktualizovány a udržovány, aby byly schopny efektivně reagovat na neustále se měnící hrozby.

 • Reakce na incidenty: Rychlá a efektivní reakce na bezpečnostní incidenty je kritická. SIEM poskytuje data potřebná pro rychlé rozhodnutí a nápravné akce. Je důležité mít zavedeny procesy a postupy pro reakci na incidenty, aby bylo možné účinně reagovat na hrozby identifikované pomocí SIEM nástroje.

 • Shromažďování a analýza dat: SIEM shromažďuje velké množství dat z různých zdrojů. Je důležité zajistit, aby tato data byla správně shromažďována a analyzována, aby bylo možné identifikovat potenciální hrozby.

Je lepší provozovat SIEM interně nebo outsourcovat?

Vzhledem k různým faktorům - od finančních a organizačních, přes kapacitní omezení až po nedostatek kvalifikovaných odborníků na trhu - je vhodné zvážit, zda provozovat SIEM systém interně, nebo se obrátit na externího poskytovatele. Jaká jsou pozitiva či negativa obou variant řešení?

První volbou je provozování SIEM vlastními silami. Jaké výhody tato varianta přináší?

 • Plná kontrola: Interní provozování SIEM umožňuje organizaci mít úplnou kontrolu nad konfigurací, správou a přizpůsobením systému podle specifických bezpečnostních potřeb a politik.

 • Okamžitá reakce na incidenty: Interní tým může reagovat na bezpečnostní incidenty rychleji a efektivněji, protože má přímý přístup k systému a (dokonalou) znalost o interních IT a bezpečnostních procesech a infrastruktuře společnosti.

 • Integrace s interními procesy a politikami: Interní SIEM umožňuje efektivnější integraci s existujícími interními procesy, politikami a nástroji, což zajišťuje konzistentní přístup k bezpečnosti a compliance.

 • Udržení interních znalostí: Budování a udržování interních schopností a znalostí v oblasti řízení informační bezpečnosti posiluje celkové bezpečnostní kapacity organizace. Přispívá také k většímu povědomí a efektivnímu řízení informační bezpečnosti v rámci celé organizace.

Druhou z variant řešení SIEM je zajištění provozu a správy SIEM systému externím poskytovatelem. Tato alternativa nabízí řadu výhod, ale také s sebou nese určitá rizika. Jaké jsou výhody outsourcingu SIEM?

 • Expertíza a specializace: Outsourcing SIEM poskytuje přístup k vysoce specializovaným odborníkům, kteří mají hluboké znalosti v oblasti kybernetické bezpečnosti. Tito specialisté jsou, nebo by alespoň měli být, neustále v obraze o nejnovějších trendech a hrozbách, což zvyšuje efektivitu a kvalitu ochrany.

 • Snížení nákladů: Externí provozování SIEM obvykle snižuje náklady spojené s pořízením, provozem a údržbou vlastního hardwaru a softwaru. Rovněž eliminuje potřebu kontinuálního školení vlastního personálu v oblasti neustále se vyvíjejících bezpečnostních technologií.

 • Zaměření na core business: Delegace zodpovědnosti za bezpečnostní monitorování umožňuje organizacím soustředit se na jejich základní obchodní aktivity bez nutnosti rozptylovat zdroje na správu složitých bezpečnostních systémů.

A jaká jsou rizika outsourcingu SIEM?

 • Nižší kontrola: Při outsourcingu SIEM dochází k (částečné) ztrátě přímé kontroly nad bezpečnostními procesy, což může vést k problémům při koordinaci a synchronizaci bezpečnostních politik a procesů mezi interním týmem a externím poskytovatelem.

 • Závislost na poskytovateli: Organizace se stává závislou na spolehlivosti a kompetencích externího poskytovatele SIEM služeb. Výběr nespolehlivého nebo nekompetentního poskytovatele může mít za následek nedostatečnou ochranu a zvýšené riziko bezpečnostních incidentů.

 • Komplikace při řešení incidentů: Při outsourcingu služby SIEM může dojít ke komplikacím při koordinaci a efektivní reakci na bezpečnostní incidenty. Externí poskytovatelé mohou mít odlišné postupy a priority při řízení incidentů u různých zákazníků, což může vést k zpožděním nebo nesrovnalostem ve zpracování a reakci na bezpečnostní události. Toto riziko vyžaduje důkladné dojednání procesů a komunikačních kanálů s poskytovatelem, aby byla zajištěna rychlá a koordinovaná reakce na incidenty.

Rozhodnutí mezi interním provozováním SIEM a jeho outsourcingem by mělo být pečlivě zváženo zejména s ohledem na specifické potřeby a kapacity organizace, stejně jako na potenciální rizika a výhody obou přístupů.

Bez SIEM je kybernetická bezpečnost „poloviční“

SIEM představuje nezbytný nástroj pro dosažení požadované úrovně kybernetické bezpečnosti. Schopnost shromažďovat, analyzovat a reagovat na bezpečnostní události v reálném čase je nepostradatelná pro detekci a reakci na kybernetické hrozby. V kontextu směrnice NIS2, která klade na posílení kybernetické odolnosti a bezpečnosti velký důraz, je implementace a efektivní využívání SIEM jedním z klíčových opatření.

Kritické faktory úspěchu zahrnují správnou konfiguraci, kvalifikovaný personál, průběžné aktualizace a údržbu a efektivní reakci na alerty. Toto vše umožňuje organizacím nejen chránit svá informační aktiva, ale také splnit regulatorní požadavky a přispět k výrazně robustnější kybernetické a provozní odolnosti.

Loading...