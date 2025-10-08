Sajberbezbednost je za dobar broj poslovnih ljudi pomalo ono što je zdravstvena ustanova za običnog čoveka. Plaćamo osiguranje, verujemo da smo zdravi, retko tamo idemo jer uvek imamo važnijih stvari, a ako prečesto budemo išli, mogli bismo nešto i da pronađemo što bi nas dosta koštalo u stresu, vremenu i novcu, pa je lakše da živimo u, neko bi rekao, blaženom status quo mod-u.

Autor: Bojan Miljković, direktor, Extreme d.o.o.

Za IT menadžere međutim, te „privilegije“ ne važe. Dok se vozite ujutro kroz gradsku gužvu do posla i razmišljate o vašim planovima i zadacima za danas, zovu vas kolege da vam kažu da je na 10 servera i 40 računara, od ukupno 250 koliko imate, od jutros detektovan neki generički trojanac, koji se uporno vraća nakon što ga vaša endpoint zaštita obriše. Ne, niko nije zvao niti pisao da traži nikakav novac. Još uvek.

Od planova naravno više nema ništa, stomak vam se već steže, a u glavi roji 1.000 pitanja. Imamo firewall, ažuriramo Windows-e i endpoint zaštitu. Kako su ušli? Kada? Kuda? Šta su već izneli? Šta je sve kompromitovano a mi još ne znamo? Ugasićemo Internet, za početak, to je najlakše. Uh, a klijenti? A zaposleni? A tek menadžment? Braniću se da mi nisu dali budžet koji sam tražio. Već znam, reći će mi da je trebalo da im pomognem da unapred sagledaju posledice i da su mislili da smo bezbedniji, da već plaćamo endpoint zaštitu itd.

Dok razmišljam o tome da ću im reći da još ne postoji bezbednost „na dugme“, bez obzira na sredstva, setim se izreke da trenutak u kom ste napadnuti nije baš najbolji da smišljate odbrambenu strategiju. Nek računaju štetu za firmu i nove budžete, moj prioritet je da isteramo uljeze i vratimo mrežu u mirnodopsko stanje. Samo još da smislim odakle da krenemo…

Kao što nema dve jednake firme, tako nema ni dve firme s jednakim rizicima i potrebama po pitanju sajberbezbednosti. Ako odgovarate za sajberbezbednost u vašoj firmi, a već znate da vaša reputacija kao firme ili gubitak prihoda u slučaju da firma ne radi nekoliko dana ili čak nedelja vredi mnogostruko više nego što ste do sada investirali u sajberbezbednost, ovaj tekst je prvenstveno namenjen vama.

SIEM rešenja postoje oko dvadesetak godina i može se reći da su s promenljivim uspehom bila prihvaćena u svetu sajberbezbednosti. Vredno su sakupljala logove, služila bi dobro za forenziku nakon što nas nešto-neko napadne, obaveštavala uredno admine kad se neki napad uklapao u pravila koja smo napisali, smirivala eksterne proverivače za ISO 27001, PCI DSS i slične standarde bezbednosti, ali nisu uspevala da urade mnogo više od toga.

Šta se od tada promenilo? I okruženje i mi i naši napadači. Dakle, sve. Postalo je kompleksnije. Hibridno. Veliko. A kompleksnost je stari neprijatelj sigurnosti.

Našeg IT menadžera iz uvoda sada čeka mukotrpna i spora borba s ručnim prikupljanjem i analizom logova iz brojnih cloud i onprem sistema, aplikacija, mrežnih uređaja, u nadi da će pomoći da se razume situacija i očisti mreža, a sve pod priličnim vremenskim pritiskom da se nastavi s normalnim poslovanjem i umanji šteta. Uvek se može reinstalirati radna stanica, ali sa serverima je to često drugi par rukava.

Šta bi, nakon što se izbore s napadom, na pitanje o tome šta predlaže kako da se nešto slično ne ponovi, naš IT menadžer verovatno preporučio svom menadžmentu? Da nabave neki moderan SIEM sistem, koji upošljava statističke modele (da ne kažem Machine Learning (ML) ili, još gore, da pomenem AI), da upoznaju vašu mrežu, pronalaze anomalije i igle u plastu sena, pale alarme i automatski preduzimaju akcije tamo gde je automatizacija moguća (npr. u slučajevima gde je dozvoljeno da se prvo puca u žbun pa se onda kroz dim proverava šta je pogođeno ili se otkrije da se žbun mrdao samo od vetra).

A kako bismo našem menadžmentu odgovorili na zdravorazumsko pitanje: „Koja bi bila suštinska razlika sa SIEM-om u odnosu na sadašnji pristup koji smo imali“? Zamislimo na trenutak kako bi izgledao TV prenos uživo velikog sportskog događaja pokrivenog kamerama, bez centralne sobe u kojoj režiser prenosa vidi šta svaka od kamera trenutno snima. Režiser bi kroz jedan ekran mogao da se poveže na svaku pojedinačnu kameru, ali kroz jedan ekran ni sam ne bi mogao da shvati šta se događa ni gde je potreban fokus, a kamoli da to omogući gledaocima kraj malih ekrana. Tako ugrubo izgleda cyber security bez SIEM sistema.

Šta treba da ima jedno savremeno SIEM rešenje kakvo je, na primer, danas holandski Elastic? Mora da ima agente (ili drugi mehanizam) za sakupljanje i uniformisanje logova sa radnih stanica, servera, mrežnih uređaja, aplikacija za upravljanje identitetom i autentifikacijom korisnika, Web servera i drugih nama bitnih sistema. Šta još? Mora da ima sistem za indeksiranje i analizu logova bitnih za vašu bezbednost, kako bi brzo bili dostupni kad i gde su potrebni. Potreban je i interfejs, pomoću kojeg se iz kontrolnih tabli, prikaza i alarma na jednostavan način razumeva šta se dešava u našoj mreži. Ovo sve smo imali i pre 20 godina. A danas?

Danas praktično u realnom vremenu odabrani ML algoritmi detektuju anomalije u odnosu na redovno stanje u našoj mreži i privlače nam pažnju na događaje koje naša endpoint zaštita jednostavno nije dizajnirana da uoči. Koje događaje? Na primer, neobičan obim saobraćaja kroz DNS protokol, što liči na izvlačenje podataka, zatim uspešna logovanja s neuobičajenih lokacija, što liči na kompromitovan nalog korisnika, povećani obim saobraćaja ka nekoj zemlji ili detekcija prebacivanja neuobičajeno velikog obima fajlova između dve radne stanice u mreži. Ovo su samo primeri, a ovde nam, kao što rekoh, retko koja endpoint zaštita može pomoći jer ovo nisu pretnje u tradicionalnom smislu, već pretpostavke izvedene iz korelacija, koje pružaju priliku da sami preventivno izrežiramo odgovor umesto da budemo statisti u tuđoj režiji.

Osim prevencije, ušteda vremena kada smo pod napadom lako se pretvara u uštedu novca, jer nešto za šta bi nam bili potrebni dani i nedelje da shvatimo, možemo saznati za jedan sat, ukloniti pretnju i nastaviti s normalnim radom. Postoji i AI (zar ste sumnjali?) asistent, koji vam može pomoći da rastumačite neki alert skoro kao da imate stručnjaka za sajberbezbednost u kući.

Elastic može biti dobar ulaz u SIEM svet. Vrlo je fleksibilan, ima veliku bazu korisnika i konektora, dobru podršku i viziju i stvarno pruža odličnu vrednost za investirani novac.

Budućnost u sajberbezbednosti izgleda nije u zasebnim alatima, već u dobro primenjenoj fleksibilnoj platformi koja bi se približno ponašala kao čovek koji razume okruženje, zna šta je važno, razume uzroke i brzo preduzima akciju. Nismo još uvek tu, ali zaista je sasvim jasno gde sajberbezbednost mora da ide da bismo sačuvali naše sajberzdravlje.

Mada, od nekih hakera prosto ni tada neće biti mnogo spasa. Ali kako kaže stara izreka: „Ono što ne možemo da uradimo, ne treba da nas sprečava da uradimo ono što možemo.“

