Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Miksi SIEM-projekteissa sattuu epäonnistumisia?

12. toukokuuta 2017

Kuva_epäonnistuminen

Viime viikolla kirjoitimme blogissamme SIEM-järjestelmien monipuolisuudesta tietoturvatapahtumien ja ICT-ympäristön keskitetyssä valvonnassa. SIEM (Security Information and Event Management) vaikuttaa jokaisen IT-henkilön unelmalta, mutta siitä huolimatta osa organisaatioista on ollut pettyneitä sen toimintaan ja tavoiteltuja asioita ei ole saavutettu. Muutamat organisaatiot ovat käyneet läpi jo useammankin SIEM-järjestelmän yrittäessään löytää toimivaa ratkaisua. Miksi näin sitten on? Mitä SIEM-projekteissa tulee huomioida?

SIEM ei ole taianomainen ratkaisu kaikkeen

Myyjät usein hehkuttavat SIEMiä ja ihan syystäkin, sillä siinä on mahdollisuudet moneen. Osittain tämänkin vuoksi ostajilla on usein mielikuva taikalaatikosta, joka ratkaisee kaiken. Totuus kuitenkin on, että SIEM on kuin mikä tahansa työkalu, joka vaatii ammattitaitoa ja hihojen ylös käärimistä, jotta siitä saadaan hyöty irti. Pelkkä asennus ei riitä. Ei ole olemassa taianomaista laatikkoa, joka saman tien automatisoi tietoturvan havainnoinnin ja suojauksen antaen sinun nostaa jalkasi pöydälle ja katsella vierestä.

 

SIEM on apuväline, joka mahdollistaa sen, että asiantuntijat voivat helpommin tutkia valikoituja ja perusteltuja ICT-ympäristön aktiviteetteja ja näin arvioida niiden vaikutuksia organisaation turvallisuudelle ja toiminnalle. Parhaimmillaan voidaan monia toimintoja automatisoida ja vaikutustenkin arviointia opettaa järjestelmälle, mutta itsestään se ei tapahdu.

 

SIEM tarjoaa siis kyllä paljon mahdollisuuksia, mutta kuten kuntosalikortin ostaminen ei itsessään takaa suurta elämänmuutosta, vaan muutoksen eteen on tehtävä töitä monella saralla, vaatii SIEMikin työtä.

 

SIEM vaatii suunnitelmallisuutta

Monesti SIEMiä ryhdytään ostamaan ja ottamaan käyttöön ilman tarkkaa tietoa siitä, mitä siitä halutaan ulos, mihin, miten ja kenelle. Jos ei ole tarkkaa kuvaa siitä mitä SIEMillä halutaan saada aikaan, ei myöskään implementointia pystytä suunnittelemaan oikein. Tärkeintä onkin ensin määrittää miksi SIEMiä ollaan hankkimassa. Samalla on hyvä pohtia SIEMin soveltamisen laajuutta muistaen, että sen tulee tukea ja vahvistaa liiketoimintaa. Näin vältetään ehkä yksi isoimmista kompastuskivistä.

 

Kun tavoitteet ovat selvillä, voidaan lähteä suunnittelemaan käyttöönottoa, jota kannattaa lähteä edistämään tavoite kerrallaan. Vaiheistus onkin yksi SIEM-projektin onnistumisen kulmakivistä. Järjestelmää kannattaa lähteä rakentamaan osa kerrallaan ensin niistä tavoitteista, jotka ovat toteutettavissa lähinnä olemassa olevin tietolähtein. Tällainen tavoite voi olla esimerkiksi tietoturvan tilannekuvan saaminen nykyisestä ICT-ympäristöstä sillä laajuudella kuin se on sillä hetkellä mahdollista. Näin saadaan järjestelmästä nopeasti tuloksia irti jo heti alkuvaiheessa, yleensä ilman suurempia räätälöintejä, eikä näin haukata liian suurta palaa purtavaksi.

 

Kun ollaan saatu keskeiset komponentit liitettyä SIEMiin ja ns. perusasiat rullaamaan, voidaan lähteä kehittämään SIEMiä kohti muita haluttuja tavoitteita mm. integraatioiden, lisänäkyvyyttä tuovien sensoreiden ja muiden rikasteiden avulla. Kuhunkin tavoitteeseen tulee miettiä, mitä lokitietoja ja rikasteita tarvitaan, jotta halutut asiat saadaan järjestelmästä irti. Näin järjestelmää ei turhaan ylirakenneta, mutta ei myöskään alirakenneta. Myös tämä on tärkeää sillä, jos jokin datalähde puuttuu tavoitteen mukaisen tiedon saamiseksi, ei järjestelmästä saada haluttua tietoa ulos ja/tai järjestelmän tuomia hyötyjä ei saavuteta.

 

SIEM on mitä siihen investoit

SIEM-järjestelmän käyttöönotto ja ylläpito vaativat varsinkin alkuun yllättävän paljon henkilöresursseja ja asiantuntijuutta. Kannattaakin miettiä onko tämä oleellista (ja pystytäänkö edes) hoitaa omin resurssein vai tarvitaanko tähän ulkopuolista apua konsultoinnin tai käyttöönottopalvelun kautta. Työtä voi pitkälti ulkoistaa, mutta ympäristön ja toiminnan opettaminen, tiedon kaivaminen jne. edellyttävät myös paikallista osaamista ja osallistumista. Oikea tiimi onkin tärkeä, sillä tarvittavat komponentit saattavat olla monen osaston takana ja vaatia kokonaisvaltaista ymmärrystä ympäristöstä.

 

Nykypäivänä dataa on saatavilla enemmän kuin koskaan ja ongelmaksi muodostuu ennemminkin kerätyn datan laatu ja sen tarpeellisuus tavoitteisiin nähden. SIEM kuvastaa suoraan sille syötettyä informaatiota, joten ”roskaa sisään, roskaa ulos” -periaate pätee myös SIEMiin. Tämän vuoksi onkin tärkeää miettiä, mitä lokitietoja ja rikasteita järjestelmään ohjataan, kuten jo edellä mainittiinkin. SIEMin järjestelmäriippuvuuden takia, on myös huomattava, että muutokset lähdejärjestelmiin vaikuttavat myös SIEMiin. Tämän vuoksi hyvä kommunikaatio muutoksista järjestelmiin ja prosesseihin on tärkeää SIEM-hankkeen onnistumiselle. Itse SIEMinkään jatkuvaa kehittämistä ei tule unohtaa, jotta se pysyy ajan tasalla ja toiminalle oleellisena.

 

SIEMin tulisi olla liiketoiminta- ja prosessilähtöinen, ei insinöörikeskeinen

Vaikka SIEM vaatiikin asiantuntijaosaamista sekä jatkuvaa tarkistamista, tarkkailua ja säätämistä, ei sen tulisi olla insinöörikeskeinen. SIEM-järjestelmän taustalla tulee olla liiketoimintaa tukevat tavoitteet ja sen tulisi myös olla prosessilähtöinen. Yksi käytännön esimerkki tästä voisi olla esimerkiksi tietoturvapolitiikan mukaisten osa-alueiden järjestelmällinen seuranta ja valvonta SIEMin avulla. Alussa määriteltyjen tavoitteiden ja niiden prioriteettien pitäminen kirkkaana mielessä onkin tärkeää koko projektin ajan, jottei ajauduta harhaan kun järjestelmää laitetaan käytäntöön. SIEM tulisi myös sisällyttää olemassa oleviin prosesseihin, jotta varmistetaan järjestelmän ylläpito, tarkoituksenmukainen käyttö ja kehittäminen.  

 

Tarvittavan henkilöstön sitouttaminen

SIEMin edut perustuvat siihen, että se tarjoaa keskitetyn näkymän ICT-ympäristöön ja sen tapahtumiin. Myös sen analysoinnin toimivuus ja tarkkuus ovat riippuvaisia siitä, että järjestelmä saa tarvitsemansa tiedot eri työkaluilta, sillä voimakkainkaan korrelointimoottori ei ilman dataa voi auttaa organisaatiota.

 

Organisaatioissa nämä tiedot ovat yleensä useamman eri osaston ja/tai henkilön takana, mikä saattaa aiheuttaa ongelmia. Etenkin Suomessa, jossa on totuttu hoitamaan oma tonttinsa (mielellään vieläpä omalla tavalla) on tärkeää miettiä jo ennen SIEM-projektin aloitusta, keitä projekti koskettaa sekä sitouttaa heidät projektiin heti alusta alkaen. On idea sitten lähtöisin mistä tahansa osastolta, on se myytävä koko IT:lle ja huolehdittava että tarvittavat integraatiot onnistuvat etenkin laajemmissa toteutuksissa. Tässä on hyvä huomata, että parhaillaan SIEMiä voidaan myös hyödyntää eri osastoilla omin tavoin ja sillä voidaan helpottaa osastojen välistä yhteistyötä. Lisäksi vetovastuita on hyvä miettiä ennalta, jotta projekti ei kaadu valtataisteluihin tai hyydy heti alkuunsa. 

 

Turha pelko pois

SIEMiä ei kannata ryhtyä hankkimaan maagisena ratkaisuna kaikkeen, vaan ennemmin tulee miettiä mitä toimintoja ja palveluita tarvitaan. Tärkeintä projektin onnistumiselle onkin keskittyä miettimään, mitä siltä halutaan. Näin fokus pysyy oikeissa asioissa ja järjestelmä pystytään rakentamaan aidosti hyötyä tuottavaksi, tehdään rakennustyö sitten itse tai ulkoistettuna.

 

Järjestelmän rakennus vaatii jonkin verran työtä, sillä järjestelmä on aina sovitettava ympäristöön ja tarpeisiin, mutta perusasiat ovat kuitenkin monistettavissa ja kokemuksella eroavaisuudet saadaan taklattua. Kun vielä vaiheistus on tehty niin, että ensin laitetaan perusasiat kuntoon, päästään järjestelmää heti hyödyntämään. Onkin hyvä muistaa, että järjestelmä on aina skaalattavissa ylöspäin myöhemmin, kun kokemusta karttuu ja asia toisensa jälkeen saadaan haltuun.

 

Näillä ohjeilla ja tarvittaessa asiantuntijoiden avustuksella saat organisaatiollesi toimivan ratkaisun. Älä siis turhaan pelkää lähteä hankkimaan SIEMiä, jos tarvitset keskitettyä lokienhallintaa ja näkyvyyttä ICT-ympäristöönne tai muita SIEMin monipuolisia ominaisuuksia.