Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Millaiset väärinkäytökset SIEM-järjestelmä havaitsee?

10. lokakuuta 2018

SIEM - näkyvyys tietoturvan tilannekuvaan

 

SIEM-järjestelmän monista hyödyistä ja SIEM-järjestelmän projektien epäonnistumisista on kirjoitettu blogissamme jo aiemmin. Teknisestä näkökulmasta aihetta lähestyttäessä tilanne on usein se, että GDPR:n vaatimusten myötä tarvetta SIEM:lle mietitään ja/tai lisäksi on havaittu, että kokonaisnäkyvyys omaan verkkoon on heikko.

Lähtötilanne voi olla se, että ympäristö on palomuurilla suojattu tehokkaasti ja ylimääräinen liikenne on esimerkiksi säännöillä rajattu. Sisäverkossa voi olla toiminnassa verkonvalvonta, jolla saadaan selville jos palvelimilla, kytkimillä, reitittimillä jne. ilmenee ongelmia tai muita käytettävyyteen vaikuttavia tekijöitä.

Paremmassa tilanteessa käytössä voi olla lokienhallintaratkaisu, joka kerää lokit talteen. Lokienhallinnan heikkous on kuitenkin se, että kun lokeja aletaan tarkastella, on vahinko jo tapahtunut eikä sen estämiseksi ole mitään tehtävissä.  SIEM:n etuna saavutetaan sekä lokienhallinta että tietoturvatapahtumiin reagointi reaaliaikaisesti tai lähes reaaliaikaisesti. SIEM mahdollistaa sen, että tietoturvatapahtumiin kyetään reagoimaan ennen kuin tilanteet riistäytyvät käsistä. Tämä käsittää jo yritykset murtautua järjestelmiin. Parhaimmillaan tällä tavalla kyetään estämään vahinkojen syntyminen. Taikalaatikko SIEM ei kuitenkaan ole. Ensi viikolla tapahtuvaa tietomurtoa se ei osaa ennustaa.

Huomioitavaa SIEM-järjestelmien kyvykkyydessä

Kohdejärjestelmiä suojatessa yleisimpinä kysymyksinä nousevat esiin usein, että kykeneekö SIEM havaitsemaan tilanteet, joissa työntekijän tunnuksilla päästään murtautumaan yrityksen palvelimille tai tietokantoihin ja joissa viedään yritykselle arvokasta tietoa. Lähtökohtaisesti, jotta tällaiset tapaukset saadaan kiinni, täytyy seuraavaan kahteen kysymykseen saada myöntävä vastaus:

Tuottaako lähdejärjestelmä, josta arvokasta tietoa ollaan viemässä, riittävän tarkkaa lokitietoa? Järjestelmä saattaa tuottaa vain lokitiedon käyttäjien kirjautumisista, eikä siitä mitä tietoja käyttäjät käsittelevät tai esimerkiksi vievät ulos järjestelmästä. Tällöin paraskaan SIEM ei voi kertoa väärinkäytöksistä tai tietomurrosta, kun niistä ei muodostu lokia, johon nämä tapahtumat kirjataan. Näissä tilanteissa vaaditaan kohdejärjestelmän suojaamiseksi lisäkerros, joka muodostaa tarkempaa lokitietoa siitä mitä tietoja käyttäjät käsittelevät kohdejärjestelmässä.

Pystyykö ihmissilmä tunnistamaan poikkeuksellisen tilanteen tai riskitapaukset normaalista? Paraskaan tekoäly ei vielä päihitä ihmisen arviointikykyä siitä, mikä on normaalia yrityksen verkossa tapahtuvaa liikennettä tai käyttäjien toimia. Jos ihmissilmä ei kykene erottamaan tavallisuudesta poikkeavaa liikennettä tai käyttäjän toimia, muodostuu tehtävästä mahdoton myös tekoälylle. Sen sijaan, jos voidaan vetää riittävän selkeät rajat epäilyttävälle toiminnalle tai verkkoliikenteelle, saadaan tällaiset tapaukset SIEM-järjestelmässä kiinni ja niistä hälytetään. Nämä ovat kuitenkin usein niin sanottujen Next-Gen SIEM:ien tai tutummin kehittyneempien SIEM:ien ominaisuuksia.

Käytännössä tämä tarkoittaa vahvan sääntöpohjan lisäksi User and Entity Behavior Analysis –pohjaisen tekniikan hyödyntämistä eli tutummin UEBA:n. UEBA yksinkertaisuudessaan kerää tietoa käyttäjän käyttäytymisen mallista kuten mistä kirjautuminen järjestelmiin tapahtuu ja mihin kellonaikaan. Normaalista poikkeava kirjautuminen – esimerkiksi VPN-yhteyden muodostaminen ulkomailta, samanaikainen kirjautuminen eri paikoista, yritys päästä käsiksi yrityksen tietoihin tai järjestelmiin keskellä yötä tai lukuisia kirjautumisia harvoin käytettäville palvelimille – laukaisee SIEM-järjestelmässä hälytyksen. Alla taulukossa esimerkkejä SIEM-järjestelmän havainnoista pitkällä aikavälillä. Huom. havainnot ovat vain murto-osa SIEM:n kyvykkyydestä.

Kun tähän lisätään UEBA:n lisäksi päivittyvä uhkatietolista tai mustalista vaarallisista osoitteista, saadaan ajantasainen käsitys siitä mitä vaaroja verkon ulkopuolella vaanii ja onko omassa verkkoliikenteessä havaittavissa näihin osoitteisiin liikennöintiä.

SIEM työkaluna mahdollistaa siis monen asian tekemisen, mutta sen käyttöönotossa ja käytössä on huomioitava muitakin asioita, kuten esimerkiksi lokitietojen laatu ja rikastetiedot. Organisaation tietoturvan tilannekuva saadaan kuitenkin helposti olemassa olevasta ympäristöstä ja sitä voidaan myöhemmin lähteä kehittämään haluttuun suuntaan.   


Anssi Mustonen

 

Olen alun perin Pohjois-Karjalasta kotoisin oleva tietoturvatekniikan insinööri, joka on muuttanut Kainuuseen opiskeluiden perässä. Osaamiseni painottuu SIEM ja APD-tuotteiden ja tekniikan tuntemiseen ja implementointiin.

 

Vapaa-ajalla tykkään kotoilla, lukea, harrastaa yleistä kuntoilua ja saunoa. Myös nuorkauppakamaritoiminnan haasteet ja projektit vievät välillä mennessään. Tarkemman profiilin löydät LinkedInistä ja vapaamuotoisen viihteellisemmän näkökulman Twitteristä.