Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

SIEM-järjestelmän monet hyödyt

4. toukokuuta 2017

 

SIEM eli Security Information and Event Management tallentaa ja analysoi keskitetysti valvottavan ympäristön tietoturvatapahtumia. Perinteiseen lokienhallintaan SIEM tuo reaaliaikaisuuden, korreloinnin ja tietoturvaan keskittyvän hälyttämisen. Nykyajan SIEM-järjestelmät mahdollistavat jo erittäinkin laajat, automaattiset toiminnot ja niihin on myös jo alettu integroimaan itseoppivaa tekoälyä. SIEM tarjoaa siis parhaimmillaan tietoturvaa, tehokkuutta ja säästöjä, jotka mahdollistavat myös kilpailuedun saavuttamisen. SIEMistä on siis moneksi.

 

Tietosuoja ja muihin vaatimuksiin vastaaminen

Monesti SIEM-vaihtoehtoja aletaan pohtia säännösten sanelemana. Monet organisaatiot ovat erilaisten säännösten ja asetusten alaisia, ja näiden vaatimusten rikkomisesta voi seurata huomattaviakin sanktioita. Erilaiset vaatimukset, kuten PCI-DSS ja uusimpana EU:n uusi tietosuoja-asetus, edellyttävät organisaatioilta usein eriasteista lokienhallintaa, jotta tapahtumista jää ns. audit trail eli jäljitysketju. SIEMiä käytetäänkin tietojen suojaamisen lisäksi usein todistamaan, että organisaatio noudattaa vaatimuksia. SIEMin avulla saatu näkyvyys tietoturvan tilannekuvaan varmistaa myös, että GDPR:n mukainen tietoturvaloukkausten havainnointi- ja ilmoitusvelvollisuus toteutuu. Useimmat SIEM-järjestelmät sisältävät myös valmiita, eri säännösten mukaisia auditointiraportteja, joilla vältetään tarve ulkopuolisten tekemille sisäisille auditoinneille.

 

Lokienhallinta ja säilytys

Lokienhallinta on yksi olennainen osa SIEM-järjestelmiä. Suurin osa eri järjestelmistä tuottaa lokitietoa, järjestelmästä riippuu kuinka paljon, missä muodossa se on ja kuinka pitkältä ajalta sitä on tallessa. Jotta nykypäivän valtavaa lokitiedon määrää voidaan hyödyntää kunnolla, on siirryttävä pois yksittäisten lokilähteiden manuaalisesta tutkimisesta. SIEM-järjestelmällä halutut lokitiedot voidaan kerätä keskitetysti ja helposti hyväksikäytettävään muotoon, joka mahdollistaa tapahtumien automaattisen korreloinnin ja laajemman tutkimisen sekä lokitietojen tarkoituksenmukaiset säilöntäajat.

 

Selvitystyö ja todistusaineisto

Koska lokitiedot ovat kuin digitaalisia sormenjälkiä siitä mitä IT-ympäristössä on tapahtunut, voidaan niitä hyödyntää tietoturvarikkeiden ja operatiivisten ongelmien selvittämiseen sekä vaatimustenmukaisuuden ja prosessien noudattamisen varmistamiseen. Ollessaan tarpeeksi kattavat, lokitiedot mahdollistavat myös erilaiset selvitykset ja tapahtumienkulun (mitä, missä, kuka, seuraukset) jäljittämisen. Näin saadaan myös todistusaineistoa mahdollisiin väärinkäytöstapauksiin ja toisaalta voidaan myös suojata ylläpitäjiä perusteettomilta syytöksiltä. SIEMistä ja sen keräämästä lokitiedosta sekä sen muusta lokeja rikastava datasta onkin tullut selkäranka koko IT-ympäristön tiedustelutiedolle.

 

Keskitettyä näkyvyyttä IT-ympäristöön

SIEMin yksi perustavanlaatuisimpia hyötyjä on sen tuoma mahdollisuus saada kokonaisvaltainen näkyvyys IT-ympäristöön yhdestä näkymästä. Organisaatiolla on usein käytössään monenlaisia valvontajärjestelmiä ja muita tietolähteitä. Yksittäin nämä tarjoavat kuitenkin vain hyvin rajatun näkyvyyden IT-ympäristöön, esimerkiksi IDS ymmärtää lähinnä paketteja, protokollia ja IP-osoitteita ja palvelulokit näyttävät istuntoja, toimia tietokannoissa ja konfiguraatiomuutoksia. Mikään näistä ei siis yksistään välttämättä kerro, mitä tietoverkollesi tai organisaatiollesi on tapahtumassa. SIEMin avulla nämä tiedot taas voidaan yhdistää mm. analysointia ja ristiinkorrelointia varten. SIEMin voidaankin sanoa olevan ns. hallintakerros eri järjestelmien tuottamalle tiedolle. Kun näihin IT-ympäristön tietoihin yhdistetään rikasteita muualta, SIEMistä tulee kokonaisuus, joka on suurempi kuin sen palojen summa.  

 

Monitorointi ja tapahtumiin reagointi

Tämän päivän tietoturvan varmistamiseksi on tärkeää mennä lokitietoja pidemmälle. Tiedon kerääminen, korrelointi, hallinta, hälytykset, hyökkäysten estäminen ja ympäristön kehittäminen ovat kaikki olennaisia osia tietoturvan varmistamiseen.

 

Palomuurit, IDS/IPS ja AV-ratkaisut kaikki etsivät haittaohjelmia eri kohdista IT-infrastruktuuria. Monet näistä eivät kuitenkaan pysty havaitsemaan nollapäivähyökkäyksiä tai edistyneitä haittaohjelmia. Tässä kohtaa SIEM tulee tarpeeseen. Koska SIEMillä voidaan havainnoida myös hyökkäykseen liittyviä tapahtumia, eikä vain hyökkäystä itseään, saadaan sillä kiinni myös sellaisia hyökkäyksiä, jotka ovat läpäisseet muut suojaukset.  

 

Eri suojaus- ja valvontajärjestelmät tuottavat paljon tietoa, jota on mahdotonta käsitellä manuaalisesti. SIEM tuo yhteen kaiken tämän datan pystyen monitoroimaan reaaliaikaisesti ja korreloimaan dataa koko organisaation leveydeltä. Tämä mahdollistaa mm. edistyneiden haittaohjelmien havainnoinnin. SIEMikään ei pysty varmuudella havaitsemaan kaikkia haitallisia aktiviteetteja, mutta kuten aiemmin todettiin, auttaa se myös tutkimaan jälkikäteen mitkä kaikki järjestelmät ja tiedot ovat altistuneet sekä mitä on ylipäätään tapahtunut.

 

Tehokkuutta toimintaan

Tämän päivän IT-ympäristöt ovat usein laajoja, monimutkaisia ja niitä tukee sekä ylläpitää monta IT-henkilöä. Operaatiot ovat usein jaettu eri osastoille, kuten tietoverkoista, tietoturvasta, palvelimista ja työasemista vastaaviin ryhmiin. Kaikilla näillä osastoilla on omat työkalut, joilla he monitoroivat ympäristöä ja reagoivat tapahtumiin. Tämä vaikeuttaa kommunikaatiota ja yhteistyötä, kun ongelmia nousee esiin. SIEMin avulla eri osastojen käyttämien työkalujen tieto saadaan yhteen näkymään, joka helpottaa yhteistyötä yli osastorajojen ja auttaa kohdistamaan resurssit oikein.

 

Kun eri työkalujen lokitiedon kerääminen on keskitettyä, on ongelmien selvittäminen myös nopeampaa. Yleiskuva on vaivattomasti saatavissa ja tarvittaessa voidaan mennä syvemmälle yksityiskohtiin. Tehokkuutta lisää myös tiedon automaattinen ja reaaliaikainen korrelointi, joka hälyttää tarvittaessa poikkeamista. SIEM siis parantaa havainnointi- ja reagointikykyä, nopeuttaen organisaation palautumista ongelmatilanteista.

 

Ei enää suuri investointi

Yleinen harhaluulo on, että SIEM-järjestelmät ovat korkeita kustannuksiltaan. Kuten kaikki uudet teknologiat, ovat ne julkaisunsa alkutaipaleella kalliita ja niitä hankkivat pääsääntöisesti kyseistä tekniikkaa todella tarvitsevat ja siitä pitävät tahot. Kun tekniikka kypsyy ja kysyntä kasvaa, niin hinnoittelukin muuttuu kohtuullisemmaksi. Ennen SIEM oli suunnattu pääasiassa suurten ja/tai hightech-yritysten ja -yhteisöjen välineeksi, nyt kyseistä tekniikkaa tarvitsevat kaikki. Tämä tarkoittaa myöskin sitä, ettei pelkästään SIEM-järjestelmien hinnoittelu ole kohtuullistunut, vaan myöskin tuotteiden ”kypsyminen” on mahdollistanut nopean käyttöönoton ja hyödyntämisen. SIEMin hyödyntäminen ei siis enää ole pitkä, raskas ja kallis projekti vaan nopea ja tarpeen täyttävä investointi.