Kulminacija skoro dva desetljeća rada u informacijskoj sigurnosti, bavljenja ofenzivnom i defenzivnom stranom, izrodila je najnoviju verziju Infigo SIEM-a
U svijetu sigurnosti SIEM, iliti Security Information and Event Management, bi trebao biti osnovni blok na kojem se gradi ostatak sigurnosne arhitekture. Normalno, firewalli, zaštita endpointova, kontrola pristupa, upravljanje ranjivostima i još puno drugih komponenti nikako se ne bi trebali zanemariti, ali SIEM omogućava organizacijama da dobe, uz malo sreće, apsolutnu vidljivost i znaju što se događa u njihovom sustavu.
SIEM je središnji sustav koji usisava ogromnu količinu podataka, logova i sigurnosnih događaja, koji se mjere u gigabajtima dnevno, u nekim slučajevima penju se i u terabajte, sve to obrađuje u realnom vremenu i na temelju dobivenih informacija daje određena upozorenja ili izvještaje raznoraznim dionicima.
Kako to koji SIEM radi, što je ispod haube, to je ono gdje se svaki od njih razlikuje.
Četvrta verzija
Infigo IS, hrvatska tvrtka koja se isključivo bavi informacijskom sigurnošću od 2005., itekako zna što znači dobar SIEM. Osim što je godinama integrirala partnerska rješenja na tri kontinenata, u često izrazito kompleksnim sustavima, napravila je svoj SIEM jednostavnog imena Infigo SIEM (www.infigosiem.com).
Lansirana je četvrta verzija, Infigo SIEM 4.0, koja kao bazu koristi Splunk, platformu za rad s velikim setovima podataka, kako bi se iskoristila Splunkova mogućnost unosa gigabajta podataka, dok sva logika i ono što čini SIEM dobrim, je interno napravljena.
Sve što čini moderni SIEM je tu, prikupljanje podataka, korelacija, uzbunjivanje, istraživanje incidenata, izvještavanje, vizualizacija, no Infigo je odlučio dodati mogućnosti koje se obično ne nalaze pri samoj integraciji nego se plaćaju dodatno ili, dosta često, uopće ne postoje za određene tipove proizvoda.
Infigo SIEM tako ima podršku za multitenancy što bi reklo da više entiteta, odjela, kompanija, mogu koristiti jednu instancu SIEM-a bez miješanja podataka; to je posebno zanimljivo MSP-ovima (Managed Service Providers) ili velikim organizacijama koje žele segmentirati neke svoje dijelove.
Da bi se uzbunjivanje riješilo na zadovoljavajući način, napisana je skroz nova ekstenzija Splunkovog mehanizma – Infigo Meerkat, koji je daleko brži i učinkovitiji način od onog tvorničkog, a daje i napredni workflow pri baratanju incidentima što je itekako važno kod jednog sigurnosnog alata.
Normalno, ne treba ni spominjati da su sve uzbune mapirane na MITRE ATT&CK Framework…
Važno je vidjeti, a onda i isprobati
Zapravo, novosti i mogućnosti ima pregršt, no to nije nešto što će prosječna osoba vidjeti jer proizvod poput Infigo SIEM-a nije namijenjen pojedincima nego kompleksnijim sustavima unutar organizacija. Kako bi potencijalni klijenti mogli ipak vidjeti s kakvim sve mogućnostima raspolažu, Infigo SIEM je dostupan globalnoj publici preko Splunkbasea, a moguće je dobiti trial (on-premises) ili demo (Splunk Cloud) licencu prije finalne kupnje.
Infigo IS, makar u svjetskim razmjerima manja tvrtka, sigurno udara u višem razredu zbog svojeg fokusa na sigurnost i velikog broja specijaliziranih inženjera – godine takvog rada omogućili su Infigo IS-u da bude jedan od rijetkih globalnih Splunk partnera koji spada u najvišu, elite, klasu u sva tri Splunk motiona, Sell, Build i Manage. Za tvrtku od stotinjak ljudi iz Zagreba to je itekako velika stvar.