Yrjö Kinnunen - 22.8.2017

SIEM-järjestelmä on organisaation kyberturvallisuuden hermokeskus

SIEM (Security Information and Event Management) tarkkailee organisaation tietojärjestelmiä ja -verkkoja sekä hälyttää havaitessaan normaalista poikkeavaa toimintaa. Tietoturvauhkien havaitseminen mahdollisimman aikaisessa vaiheessa mahdollistaa nopean reagoinnin ja minimoi vahingot.

SIEM täydentää suojausratkaisuja
SIEM:n taustalla on se fakta, että teknisillä suojausratkaisuilla, kuten palomuureilla ja IDS/IPS-tuotteilla, ei pystytä aukottomasti torjumaan kaikkia uhkia. Kohdistettujen hyökkäysten ja kehittyneiden haittaohjelmien taustalla olevat ammattimaiset tahot pyrkivät toimimaan huomaamattomasti ja pitkän ajan kuluessa. Toisaalta organisaation sisäiset väärinkäytökset tai tietovarkaudet saattavat olla ulkoisia hyökkäyksiäkin vaikeammin torjuttavia uhkia. SIEM auttaa havaitsemaan suojausratkaisut läpäisevät hyökkäykset ja reagoimaan niihin nopeasti.

Näin SIEM toimii
SIEM:n sensoreina voivat toimia kaikki tietojärjestelmän komponentit, kuten ohjelmistot ja palvelimet sekä palomuurit ja muut verkkolaitteet. SIEM käyttää syötteenä näiden komponenttien tuottamia tietoja, kuten lokeja ja verkkoliikenteen tapahtumia. Syötteeksi voidaan kytkeä myös ulkoisia lähteitä esimerkiksi ajantasaisten haavoittuvuustietojen tuomiseksi.

SIEM kerää eri tapahtumalähteiden tiedot yhteen ja tutkii tietomassaa reaaliaikaisesti. SIEM:n kehittyneet havainnointi- ja analytiikkaominaisuudet, kuten tapahtumaketjujen tunnistaminen sekä eri tietolähteiden korrelointi, auttavat tunnistamaan myös vaikeasti havaittavat hyökkäykset. Havaitessaan merkkejä mahdollisesta uhkatilanteesta SIEM tekee hälytyksen tietoturvatapahtuman tarkempaa manuaalista analysointia ja tarvittaessa reagointia varten.

SIEM:n hyödyt

  • Tiedät mitä järjestelmissäsi tapahtuu
    • Jatkuva tilannetietoisuus tietoverkkojen ja -järjestelmien tapahtumista on turvallisuuden perusedellytys. SIEM tarjoaa reaaliaikaisen kyberturvallisuuden tilannekuvan.
  • Havaitset vaikeasti torjuttavat hyökkäykset
    • Kohdistetut hyökkäykset, kehittyneet haittaohjelmat sekä sisäiset väärinkäytökset saattavat ohittaa parhaatkin suojausmenetelmät. SIEM auttaa havaitsemaan suojausratkaisut läpäisevät hyökkäykset.
  • Pystyt reagoimaan nopeasti
    • Hyökkäyksen havaitseminen ja katkaiseminen mahdollisimman aikaisessa vaiheessa minimoi vahingot. SIEM mahdollistaa nopean reagoinnin hälyttämällä havaittuaan normaalista poikkeavaa toimintaa.
  • Täytät tietoturvavaatimukset
    • Useat tietoturva-alan standardit ja ohjeet, esim. KATAKRI, VAHTI, ISO 27001 ja PCI-DSS, velvoittavat tietojärjestelmien valvontaan ja tapahtumien jäljitettävyyden varmistamiseen. SIEM tukee vaatimusten täyttämisessä keräämällä ja tallentamalla lokitiedot sekä tarjoamalla näkymät ja raportit niiden tutkimiseksi.

SIEM ja EU:n tietosuoja-asetus (GDPR)
SIEM helpottaa henkilötietoja käsittelevien organisaatioiden työtä EU:n tietosuoja-asetuksen velvoitteiden täyttämisessä. Asetus edellyttää paitsi havaitsemaan henkilötietojen valtuudeton käsittely, myös reagoimaan tiettyjen aikarajojen puitteissa. SIEM voidaan asettaa seuraamaan esimerkiksi henkilörekistereihin kohdistuvia tietokantakyselyjä ja laukaisemaan hälytys määriteltyjen ehtojen täyttyessä. SIEM tukee reagoinnissa ja tutkinnassa tarjoamalla havainnolliset näkymät ja työkalut tilanteen tarkempaan analysointiin. Lokitietojen avulla tapahtumien kulku voidaan todentaa luotettavasti jälkikäteen.

Miten alkuun SIEM-hankinnassa?

  • Ei tekniikka, vaan tarve edellä
    • SIEM-hankinnan lähtökohtana tulee olla kunkin organisaation aidot tarpeet. Eli ei niin, että otetaan joku tuote ja katsotaan mitä sillä voi tehdä. Sen sijaan tekninen ratkaisu kannattaa valita tarpeiden mukaan, tarvittaessa erillisen tarvekartoituksen pohjalta.
  • Panosta määrittelyyn ja suunnitteluun
    • Kokemus osoittaa, että määrittely- ja suunnitteluvaiheen panostukset näkyvät käyttöönottoprojektin sujumisena, SIEM-ratkaisun maksimaalisena hyötynä sekä jatkokehityksen helppoutena.
  • Aloita rajatusti, etene vaiheittain
    • Parhaaseen lopputulokseen päästään toteuttamalla SIEM-ratkaisu vaiheittain ja rajaamalla ensi vaiheen toteutus tarkasti. Kun pohjatyö on tehty huolella ja ratkaisu on tullut tutuksi, ratkaisun laajentaminen muihin käyttökohteisiin ja tapahtumalähteisiin on helppoa.

Insta SIEM-toimittajana
SIEM-ratkaisumme voidaan toteuttaa järjestelmätoimituksena asiakkaan omaan hallintaan tai palveluna sertifioidusta palvelukeskuksestamme. Usein resursointi- ja osaamisnäkökulmat puoltavat hankintaa palveluna. SIEM-palvelua voidaan täydentää tarpeen mukaan esimerkiksi tietoturvatapahtumien analysointipalveluilla. Toteutustapa ja palvelukokonaisuus määräytyvät kuitenkin aina asiakkaan tarpeiden pohjalta.

Teksti on julkaistu alun perin Management Eventsin verkkosivuilla.

Lue lisää lokienhallinta- ja SIEM-ratkaisuistamme


Yrjö Kinnunen vastaa Insta DefSecin Kyberturvallisuus -liiketoimintayksikön Tilannetietoisuus-ratkaisuista. Hänellä on yli 20 vuoden kokemus tietoturvaratkaisuista.