ARIC Network Defence System
SIEM – Security Information and Event Management
w ekosystemie ARIC NDS powstał w roku 2003.
System za pomocą intuicyjnego interfejsu graficznego umożliwia bardzo szybkie rozpoczęcie pracy już zaraz po instalacji.

Zagrożenia dla ciągłości działania pochodzą z wielu źródeł i skierowane są na różnorodne cele, m.in.:
Chociaż celem rozwiązań bezpieczeństwa jest wykrywanie takich zagrożeń i zapobieganie im, żadnej sieci nie można całkowicie przed nimi zabezpieczyć. Z tego powodu sam SIEM koncentruje się na łagodzeniu ryzyka, identyfikowaniu podatności, wykrywaniu zagrożeń i ustalaniu priorytetów reakcji na zagrożenia i podatności o najwyższej istotności.
Do środków ograniczających ryzyko, identyfikujących podatności i wykrywających zagrożenia zalicza się:
Ocena ryzyka
Aby odpowiednio zabezpieczyć swoją infrastrukturę, najpierw przeprowadź ocenę ryzyka swoich aktywów. Ocena ryzyka pomaga określić względne znaczenie zasobów w sieci, podatności tych zasobów na konkretne zagrożenia związane z eksploatacją oraz prawdopodobieństwo wystąpienia zdarzeń związanych z bezpieczeństwem tych zasobów.
Silne zasady bezpieczeństwa koncentrują się na tym, jak najlepiej chronić najważniejsze i najbardziej zagrożone zasoby. Na przykład: jeśli zasób sieciowy ma krytyczne znaczenie i prawdopodobieństwo ataku na niego jest wysokie, skoncentruj swoje wysiłki na stworzeniu zasad bezpieczeństwa monitorujących takie ataki i opracuj plany reagowania na nie.
Po przeprowadzeniu tych analiz można zaprojektować zasady bezpieczeństwa w odpowiedzi na względną wartość zasobów i ryzyko wykorzystania, jakie stwarzają różne zagrożenia i luki w zabezpieczeniach. Szczególnym środowiskiem jest przemysł (OT) i systemy sterowania w tym AKPiA (ICS – Industrial Control System). Model odniesienia – IACS (Purdue Model) pokazuje warstwowe zależności i prawidłowo ułożoną architekturę środowiska przemysłowego.
Niestety większość środowisk przemysłowych już na poziomie architektury i kompatybilności technologicznej poszczególnych produktów wpływa zasadniczo na automatyczne materializowanie się ryzyk, które obserwujemy w codziennej pracy i kwalifikujemy jako usterki i awarie.
Większość zagrożeń w OT pochodzi od samych dostawców i firm eksploatujących dostarczone systemy przemysłowe. System SIEM (nieważne jakiego producenta) pomaga w identyfikacji zagrożeń, jednakże należy właściwie przygotować dane wejściowe i już na poziomie architektury zadbać o zwiększenie odporności na anomalie poszczególnych komponentów i systemów z nich złożonych.
Poprawna architektura sieci zasadniczo zmniejsza ilość podatności środowiska i ogranicza zagrożenia. Z tego powodu z systemem SIEM zintegrowane są urządzenia sieciowe serii DNC (przełączniki, routery, ZBFW, IDS/IPS, sondy danych, diody danych, TAPy, itd.). Wykorzystanie całego ekosystemu wprowadza poziom zabezpieczeń na niespotykany dotychczas poziom ochrony płaszczowej, gdzie nie ma wolnych od monitorowania obszarów, a funkcje reakcyjne (defensywne i ofensywne) są w stanie zabezpieczyć każdy segment i komponent w sieci.
Jak ARIC SIEM pomaga w ocenie i ograniczaniu ryzyka?
SIEM ARIC wraz z urządzeniami DNC umożliwiają identyfikację kluczowych zasobów i ustawienie zasad ostrzegających, gdy zasoby te mają luki w zabezpieczeniach lub są przedmiotem ataków. SIEM ARIC będzie generować alarmy w oparciu o ryzyko związane z dowolnym zdarzeniem dotyczącym bezpieczeństwa zarejestrowanego w urządzeniu DNC.
Znaczenie danego zdarzenia związanego z bezpieczeństwem zależy od trzech czynników:
Jak SIEM pomaga wykrywać zagrożenia i ustalać priorytety dla reakcji?
Na poniższej ilustracji przedstawiono możliwości i powiązane narzędzia, które zapewnia SIEM ARIC, aby pomóc w wykonywaniu zadań związanych z zarządzaniem bezpieczeństwem we własnym środowisku.