Systemy Security Information and Event Management (SIEM) pozwalają na zbieranie i analizowanie informacji na temat aktywności użytkowników, dostępu do systemów i zdarzeń związanych z cyberbezpieczeństwem, aby wykrywać zagrożenia i reagować na incydenty w czasie rzeczywistym. Z kolei informacji o aktywności użytkowników dostarczają systemy typu IAM (Identity and Access Management). Z tego bloga dowiesz się, jak Keycloak może wspierać Twój system SIEM.
W raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2023 roku przygotowanym przez CSIRT GOV, wskazano, że wśród zagrożeń utrzymujących się w cyberprzestrzeni RP w omawianym roku, które miały szczególny wpływ na ocenę ryzyka, należy wymienić ataki socjotechniczne oraz ataki typu brute-force. Ataki socjotechniczne polegają na manipulacji użytkownikami w celu uzyskania nieautoryzowanego dostępu do systemów, podczas gdy ataki brute-force opierają się na automatycznym próbowaniu różnych kombinacji haseł w celu złamania zabezpieczeń.
Odpowiednie zarządzanie tożsamościami i monitoring logów to kluczowe elementy ochrony przed takimi atakami. Właśnie dlatego integracja Keycloak z SIEM pozwala organizacjom skuteczniej wykrywać zagrożenia i natychmiast na nie reagować.
Każda organizacja korzystająca z systemu SIEM dąży do wykrywania jak największej liczby zagrożeń i możliwie szybkiej reakcji na incydenty. Informacje o tym, kto, skąd i kiedy próbował uzyskać dostęp do systemów, mogą być kluczowe w wykrywaniu ataków oraz nieautoryzowanych prób logowania. Właśnie tutaj Keycloak – popularna platforma IAM typu open source – może znacząco wzbogacić ekosystem SIEM, dostarczając cennych informacji o procesach uwierzytelniania, autoryzacji i zarządzania sesjami.
Keycloak jest rozwijany przez społeczność Red Hat i oferuje kompleksowe rozwiązania do uwierzytelniania i autoryzacji użytkowników w aplikacjach webowych, mobilnych i usługach backendowych. Opisaliśmy go dokładnie tu https://inero-software.com/pl/keycloak/
Keycloak może dostarczyć danych o:
- Próbach logowania – zarówno udanych, jak i nieudanych, wraz z informacją o źródłowym adresie IP.
- Wymuszeniach resetu hasła i zmianach w polityce dostępów – pozwala to monitorować potencjalne próby przejęcia konta.
- Sesjach użytkowników – w tym nietypowych logowaniach z nowych lokalizacji lub urządzeń.
- Wykrytych zagrożeniach, takich jak podejrzane próby wielokrotnego logowania (np. ataki brute-force, polegające na łamaniu haseł lub kluczy kryptograficznych w celu sprawdzenia wszystkich możliwych kombinacji).
Z kolei system SIEM może analizować te dane i korelować je z innymi zdarzeniami, np.:
- Próby logowania z nietypowej lokalizacji powiązane z podejrzanym ruchem sieciowym.
- Wielokrotne błędne logowania pochodzące z jednego IP – sygnał ataku brute-force.
- Nagłe zmiany uprawnień użytkownika powiązane z podejrzanym dostępem do systemu.
Jako przykład skutecznej integracji możemy wskazać sytuację, w której użytkownik wielokrotnie wprowadza błędne hasło w krótkim czasie, Keycloak rejestruje to jako podejrzaną aktywność. SIEM może połączyć te dane z próbami logowania z różnych lokalizacji i podjąć działania, np. tymczasowo blokując konto lub wymuszając dodatkowe uwierzytelnienie.
Jak Keycloak uzupełnia system SIEM?
Keycloak i systemy Security Information and Event Management służą różnym celom w zakresie zarządzania tożsamością i bezpieczeństwa IT, ale świetnie się uzupełniają.
Cecha | SIEM (Security Information and Event Management) | IAM (Identity and Access Management – Keycloak) |
Główna funkcja | Monitorowanie i analiza zdarzeń bezpieczeństwa | Zarządzanie tożsamością i dostępem użytkowników |
Zakres działania | Zbieranie logów, analiza incydentów, wykrywanie zagrożeń | Uwierzytelnianie, autoryzacja, kontrola dostępu |
Rodzaje danych | Logi systemowe, ruch sieciowy, alerty bezpieczeństwa | Sesje użytkowników, logi uwierzytelniania, żądania autoryzacji |
Sposób działania | Agregacja i korelacja zdarzeń z wielu źródeł | Weryfikacja tożsamości użytkowników i ich uprawnień |
Główne zastosowania | Wykrywanie anomalii, reagowanie na incydenty, compliance | Single Sign-On (SSO), federacja tożsamości, MFA |
Przykłady zagrożeń | Ataki DDoS, malware, eskalacja uprawnień | Próby ataku brute-force, przejęcie konta, nadużycie uprawnień |
Reakcja na zagrożenia | Generowanie alertów, automatyczne blokady, raportowanie | Blokowanie kont, wymuszanie MFA, zarządzanie sesjami |
Integracja z innymi systemami | Tak – zbiera logi z systemów SIEM, IDS, firewalli | Tak – integracja z LDAP, AD, bazami danych, SIEM |
Jak wdrożyć Keycloak?
Integracja Keycloak z systemem SIEM pozwala zwiększyć poziom bezpieczeństwa IT, ponieważ dostarcza dodatkowych informacji o użytkownikach i ich zachowaniu. Dzięki temu organizacje mogą lepiej wykrywać zagrożenia oraz szybciej reagować na incydenty.
Jeśli zastanawiasz się jak wdrożyć i skonfigurować Keycloak dla swojej organizacji koniecznie przeczytaj artykuły „Praktyczne wprowadzenie do Keycloak SSO: Od konfiguracji do integracji” https://inero-software.com/pl/praktyczne-wprowadzenie-do-keycloak-sso-od-konfiguracji-do-integracji/?utm_source=chatgpt.com oraz „Przewodnik integracji Keycloak: Zabezpieczanie punktów końcowych Java Spring za pomocą Keycloak” https://inero-software.com/pl/zabezpieczanie-punktow-koncowych-java-spring-za-pomoca-keycloak/ .
Dostarczają one praktycznych wskazówek dotyczących konfiguracji i integracji Keycloak z różnymi systemami. Co ważne, jedną z kluczowych funkcji Keycloak jest zdolność do integracji z katalogami Lightweight Directory Access Protocol (LDAP), o których pisaliśmy tu https://inero-software.com/pl/integracja-keycloak-i-lightweight-directory-access-protocol/?utm_source=chatgpt.com.
Na rynku dostępnych jest wiele rozwiązań SIEM, dlatego przed podjęciem decyzji warto przeprowadzić audyt bezpieczeństwa w organizacji, aby dokładnie zidentyfikować potencjalne słabe punkty. Wybór i wdrożenie odpowiedniego systemu zarządzania incydentami, wzbogaconego o integrację z Keycloak, pozwoli skuteczniej monitorować zagrożenia i zwiększyć ochronę danych w organizacji.