Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil k mezinárodní iniciativě vedené Australským signálním zpravodajstvím (ASD) a spolupodepsal sérii dokumentů zaměřených na platformy Security Information and Event Management (SIEM) a Security Orchestration, Automation, and Response (SOAR). K podpisu se připojili i další mezinárodní partneři, jako je americká CISA, NSA a FBI, Kanadské centrum kybernetické bezpečnosti (CCCS), Národní centrum kybernetické bezpečnosti Nového Zélandu (NCSC-NZ), Spojeného království (NCSC-UK), Japonska (NISC a JPCERT), Korejské republiky (NIS) a Singapuru (CSA).
Tato série publikací se skládá ze tří dokumentů:
- Implementace SIEM a SOAR platforem: Strategie pro vedení organizací
Tento dokument definuje SIEM a SOAR platformy, vysvětluje jejich přínosy i výzvy a nabízí doporučení na vysoké úrovni pro jejich implementaci. Je určen především pro vedení organizací, ale může posloužit jakékoli organizaci, která zvažuje, zda a jak platformy SIEM a/nebo SOAR zavést.
- Implementace SIEM a SOAR platforem: Praktická příručka
Příručka poskytuje obecná doporučení pro odbornice a odborníky na kybernetickou bezpečnost a popisuje, jak mohou platformy SIEM/SOAR zlepšit viditelnost, detekci a reakci na incidenty. Zabývá se také principy výběru, zavádění a údržby těchto platforem.
- Prioritní logy pro zpracování v SIEM: Praktická příručka
Tento dokument přináší podrobná doporučení k logování pro různé typy zdrojů dat – například nástroje pro detekci a reakci na koncových bodech (EDR), operační systémy Windows/Linux, síťová zařízení či cloudová prostředí.
„Jsem rád že se NÚKIB mohl podílet na druhé sérii dokumentů spolupodepsaných pod vedením ASD zaměřených na platformy SIEM a SOAR – technologie, které jsou stále častěji využívány i v České republice. Doporučené principy odrážejí dlouhodobé bezpečnostní standardy, které náš úřad systematicky prosazuje. Je nezbytné, aby se organizace zavazovaly nejen k počátečním investicím do bezpečnostních technologií, ale také k trvalé podpoře lidí a procesů, které tyto systémy provozují. Řešení typu SIEM nebo SOAR, které nezpracovává relevantní data a není aktivně sledováno a laděno, pravděpodobně nebude schopné efektivně detekovat ani reagovat na hrozby,“ uvedl ředitel NÚKIB Lukáš Kintr.
Dokumenty zaměřené na zvýšení bezpečnosti hraničních síťových prvků naleznete zde.