Installation and configuration of SIEM and IDS platforms

Abstract

Η διατήρηση της ασφάλειας των δικτύων υπολογιστών στα μοντέρνα εταιρικά περιβάλλοντα είναι υψίστης σημασίας. Ψστόσο, στη σύγχρονη εποχή, η απαίτηση για διαρκή διασύνδεση των υπολογιστικών συστημάτων, τα καθιστά ευάλωτα σε μια πληθώρα απειλών που αυξάνουν την πιθανότητα παραβίασης των βασικών αρχών ασφάλειας: της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων. Δυο από τους σημαντικότερους μηχανισμούς περιορισμού της επικινδυνότητας σε ένα δίκτυο είναι: α) τα Συστήματα Ανίχνευσης Εισβολών (IDS) που αναλύουν διαρκώς την κίνηση σε ένα δίκτυο και δράττουν ανάλογα, όταν αναγνωρίσουν μια αλληλουχία ενεργειών στο δίκτυο όμοια με αυτή μιας γνωστής επίθεσης και β) τα Συστήματα Αντιμετώπισης Εισβολών (IPS) τα οποία αυτόματα και σε πραγματικό χρόνο προβαίνουν σε όλες τις απαραίτητες ενέργειες που απαιτούνται για την αντιμετώπιση ενός αναγνωρισμένου περιστατικού ασφαλείας και την επαναφορά του δικτύου σε κανονικές συνθήκες. Ψστόσο, και οι δύο αυτές μέθοδοι παρουσιάζουν μια σειρά μειονεκτημάτων που τα καθιστούν μη βέλτιστη επιλογή. Η ανάγκη για την αντιμετώπιση πολύπλοκων επιθέσεων οδήγησε στη δημιουργία των Συστημάτων Πληροφοριών Ασφάλειας και Διαχείρισης Περιστατικών (Security Information and Event Management - SIEM), που συνδυάζουν πληροφορίες από πολλαπλούς μηχανισμούς ασφάλειας ενός δικτύου και προβαίνουν σε συνδυαστική ανάλυσή τους, αυξάνοντας έτσι την ακρίβεια των αποτελεσμάτων και μειώνοντας την πιθανότητα εξαγωγής λανθασμένων συμπερασμάτων. Στόχος της εργασίας αυτής είναι η παροχή της εις βάθος περιγραφής των αρχιτεκτονικών και των βασικών μελών από τα οποία αποτελείται ένα τυπικό εργαλείο SIEM, η ανάλυση του τρόπου λειτουργίας του και η παρουσίαση των πλεονεκτημάτων και των μειονεκτημάτων του, παρέχοντας μια επισκόπηση των πιο σημαντικών εξ αυτών. Μια από τις βασικότερες συνεισφορές αυτής της εργασίας, είναι και η παράθεση ενός εγχειριδίου για την εγκατάσταση και ορθή παραμετροποίηση του πιο γνωστού εργαλείου αυτής της κατηγορίας, του SIEM AlienVault OSSIM καθώς και του OSSEC, ενός IDS ανοιχτού κώδικα, του οποίου οι αισθητήρες ανίχνευσης εισβολών συνεργάζονται με το OSSIM.