Published 09. May. 2017

SIEM-järjestelmä on organisaation kyberturvallisuuden hermokeskus

IoT product development challenges existing R&D thinking and enables more impactful product development.
Cyber Security

Siem

SIEM täydentää suojausratkaisuja

SIEM:n taustalla on se fakta, että teknisillä suojausratkaisuilla, kuten palomuureilla ja IDS/IPS-tuotteilla, ei pystytä aukottomasti torjumaan kaikkia uhkia. Kohdistettujen hyökkäysten ja kehittyneiden haittaohjelmien taustalla olevat ammattimaiset tahot pyrkivät toimimaan huomaamattomasti ja pitkän ajan kuluessa. Toisaalta organisaation sisäiset väärinkäytökset tai tietovarkaudet saattavat olla ulkoisia hyökkäyksiäkin vaikeammin torjuttavia uhkia. SIEM auttaa havaitsemaan suojausratkaisut läpäisevät hyökkäykset ja reagoimaan niihin nopeasti.  

Näin SIEM toimii

SIEM:n ”sensoreina” voivat toimia kaikki tietojärjestelmän komponentit, kuten ohjelmistot ja palvelimet sekä palomuurit ja muut verkkolaitteet. SIEM käyttää syötteenä näiden komponenttien tuottamia tietoja, kuten lokeja ja verkkoliikenteen tapahtumia. Syötteeksi voidaan kytkeä myös ulkoisia lähteitä esimerkiksi ajantasaisten haavoittuvuustietojen tuomiseksi.

siem infog

SIEM kerää eri tapahtumalähteiden tiedot yhteen ja tutkii valtavaa tietomassaa reaaliaikaisesti. SIEM:n kehittyneet havainnointi- ja analytiikkaominaisuudet, kuten tapahtumaketjujen tunnistaminen sekä eri tietolähteiden korrelointi, auttavat tunnistamaan myös vaikeasti havaittavat hyökkäykset. Havaitessaan merkkejä mahdollisesta uhkatilanteesta SIEM tekee hälytyksen tietoturvatapahtuman tarkempaa manuaalista analysointia ja tarvittaessa reagointia varten.

SIEM:n hyödyt

  1. Tiedät mitä järjestelmissäsi tapahtuu
    • Jatkuva tilannetietoisuus tietoverkkojen ja -järjestelmien tapahtumista on turvallisuuden perusedellytys. SIEM tarjoaa reaaliaikaisen kyberturvallisuuden tilannekuvan.
  2. Havaitset vaikeasti torjuttavat hyökkäykset
    • Kohdistetut hyökkäykset, kehittyneet haittaohjelmat sekä sisäiset väärinkäytökset saattavat ohittaa parhaatkin suojausmenetelmät. SIEM auttaa havaitsemaan suojausratkaisut läpäisevät hyökkäykset.
  3. Pystyt reagoimaan nopeasti
    • Hyökkäyksen havaitseminen ja katkaiseminen mahdollisimman aikaisessa vaiheessa minimoi vahingot. SIEM mahdollistaa nopean reagoinnin hälyttämällä havaittuaan normaalista poikkeavaa toimintaa.
  4. Täytät tietoturvavaatimukset
    • Useat tietoturva-alan standardit ja ohjeet, esim. KATAKRI, VAHTI, ISO 27001 ja PCI-DSS, velvoittavat tietojärjestelmien valvontaan ja tapahtumien jäljitettävyyden varmistamiseen. SIEM tukee vaatimusten täyttämisessä keräämällä ja tallentamalla lokitiedot sekä tarjoamalla näkymät ja raportit niiden tutkimiseksi.

SIEM ja EU:n tietosuoja-asetus (GDPR)

SIEM helpottaa henkilötietoja käsittelevien organisaatioiden työtä EU:n tietosuoja-asetuksen velvoitteiden täyttämisessä. Asetus edellyttää paitsi havaitsemaan henkilötietojen valtuudeton käsittely, myös reagoimaan tiettyjen aikarajojen puitteissa. SIEM voidaan asettaa seuraamaan esimerkiksi henkilörekistereihin kohdistuvia tietokantakyselyjä ja laukaisemaan hälytys määriteltyjen ehtojen täyttyessä. SIEM tukee reagoinnissa ja tutkinnassa tarjoamalla havainnolliset näkymät ja työkalut tilanteen tarkempaan analysointiin. Lokitietojen avulla tapahtumien kulku voidaan todentaa luotettavasti jälkikäteen.

 Miten alkuun SIEM-hankinnassa?

  • Ei tekniikka, vaan tarve edellä
    • SIEM-hankinnan lähtökohtana tulee olla kunkin organisaation aidot tarpeet. Eli ei niin, että otetaan joku tuote ja katsotaan mitä sillä voi tehdä. Sen sijaan tekninen ratkaisu kannattaa valita tarpeiden mukaan, tarvittaessa erillisen tarvekartoituksen pohjalta.
  • Aloita rajatusti, etene vaiheittain
    • Parhaaseen lopputulokseen päästään toteuttamalla SIEM-ratkaisu vaiheittain ja rajaamalla ensi vaiheen toteutus tarkasti. Kun pohjatyö on tehty huolella ja ratkaisu on tullut tutuksi, ratkaisun laajentaminen muihin käyttökohteisiin ja tapahtumalähteisiin on helppoa.
  • Panosta määrittelyyn ja suunnitteluun
    • Kokemus osoittaa, että määrittely- ja suunnitteluvaiheen panostukset näkyvät käyttöönottoprojektin sujumisena, SIEM-ratkaisun maksimaalisena hyötynä sekä jatkokehityksen helppoutena.
  • Mieti mitä hoidat itse ja mitä hankit kumppanilta
    • Tarvitsenko tukea tarpeiden kartoittamisessa ja määrittelyssä?
    • Osaanko evaluoida ja valita oikean teknologian?
    • Löytyykö tarvittava osaaminen tekniseen suunnitteluun ja käyttöönoton läpivientiin?
    • Miten järjestetään ensimmäisen tason analysointi?
    • Miten varmistetaan nopea ja oikea reagointi?
  • Valitse osaava ja kokenut kumppani

Insta SIEM-toimittajana

Insta toimittaa SIEM-ratkaisut vahvan osaamisen ja kymmenien toteutusten tuoman kokemuksen pohjalta. SIEM-ratkaisu voidaan toteuttaa järjestelmätoimituksena asiakkaan omaan hallintaan tai palveluna sertifioidusta palvelukeskuksestamme. SIEM-palvelua voidaan täydentää tarpeen mukaan esimerkiksi tietoturvatapahtumien analysointipalveluilla. Toteutustapa ja palvelukokonaisuus määräytyvät aina asiakkaan tarpeiden pohjalta. www.instadefsec.fi

Insta DefSec on osa Insta-konsernia, joka on tamperelainen perheyritys. Insta-konserni rakentaa ja ylläpitää turvallista ja kilpailukykyistä yhteistuntaa yli 800 puolustus- ja turvallisuusteknologian sekä sähköautomaation huippuosaajan voimin.


 Insta Defsec will be attending 600Minutes Information and Cyber Security in Finland on the 18th of May 2017 as a solution provider. Event discussions include:

  • Detecting and Preventing Advanced Persistent Threats
  • Mobile, Cloud and IoT – Ensuring Secure Progress
  • Employee Awareness – How to Build Information Security Culture?
  • EU and Information Security – GDPR in Practice

Join the Discussions at Our Information and Cybersecurity Events!

For all our upcoming events, visit the Event Calendar » 

Symbio will be attending 600Minutes Innovation and Product Development in Finland on the 4th of April 2017

Juha Turunen

Chief Solution Executive, Symbio Finland