Hvad er SIEM (Security Information & Event Management)?
Virksomheder står over for både kendte og ukendte cybertrusler som følge af den stigende digitalisering, hybride arbejdsmodeller og en lang række forskellige slutapparater. Derfor er sikkerhedskoncepter som SIEM (Security Information & Event Management) vigtigere end nogensinde. Ved at logge, analysere og behandle system- og netværksdata kan sikkerhedstrusler hurtigt identificeres, spores og afværges.
Hvad er SIEM?
Forkortelsen SIEM står for Security Information & Event Management, hvilket giver virksomheder større gennemsigtighed og kontrol over deres egne data. Et standardiseret sikkerheds- og beskyttelseskoncept gør det muligt at identificere mistænkelige sikkerhedshændelser, angrebstendenser og trusselsmønstre på et tidligt tidspunkt. Dette muliggøres af værktøjer, der logger og analyserer en lang række hændelses- og procesdata på tværs af alle lag i virksomheden, fra slutapparater over firewalls og IPS (Intrusion Prevention Systems) til netværks-, cloud- og serverniveau.
SIEM integrerer både SIM (Security Information Management) og SEM (Security Event Management) for at vurdere sikkerhedsoplysninger og hændelser i deres sammenhæng og i forhold til hinanden i realtid, generere alarmer og iværksætte sikkerhedsforanstaltninger. Denne tilgang muliggør tidlig opdagelse og afbødning af potentielle sårbarheder og sikkerhedsbrud samt hurtig afværgelse af eventuelle angrebsforsøg. SIEM-konceptet blev etableret i 2005 af Gartner. Væsentlige elementer i moderne SIEM-løsninger omfatter UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) og SOAR (Security Orchestration, Automation, and Response).
Hvorfor er sikkerhedsoplysninger og hændelsesstyring vigtigt?
I dag består en virksomheds it-infrastruktur ikke længere blot af en server og et par slutapparater. Selv mellemstore virksomheder benytter mere eller mindre komplekse virksomhedsnetværk, der består af et stort antal internetforbundne slutapparater, deres eget softwarelandskab samt flere servere og cloudtjenester. Hertil kommer nye arbejdsformer som f.eks. hjemmearbejde eller Bring Your Own Device (BYOD).
Jo mere kompleks IT-infrastrukturen er, desto flere sårbarheder kan der opstå, hvis cybersikkerheden er utilstrækkelig. Derfor satser stadig flere virksomheder på en helhedsorienteret beskyttelse mod ransomware, spyware og scareware samt mod nye former for cyberangreb og zero-day-angreb.
Sikkerhedsløsninger som SIEM bliver stadig vigtigere for virksomhederne, og det er ikke kun på grund af akutte trusler. Strenge krav til databeskyttelse i henhold til GDPR eller certificeringer som BASE II, ISO eller SOX kræver nu endda, at der foreligger en strategi for beskyttelse af data og systemer. Dette kan ofte kun opnås gennem SIEM eller lignende strategier som EDR og XDR.
Ved at samle, evaluere og sammenkæde sikkerhedsrelevante log- og rapportdata på en central platform gør SIEM det muligt at analysere data fra alle applikationer og netværksniveauer ud fra et sikkerhedsmæssigt perspektiv. Jo tidligere man på denne måde opdager trusler eller sikkerhedsbrud, desto hurtigere kan man mindske risiciene for forretningsprocesserne og beskytte virksomhedens data**. SIEM giver derfor en markant effektivitetsforøgelse, når det gælder overholdelse af lovgivning og realtidsbeskyttelse mod trusler som ransomware, malware eller datatyveri.
Hvordan fungerer SIEM?
Udtrykket »SIEM« blev introduceret i 2005 af Amrit Williams og Mark Nicolett fra Gartner. Ifølge National Institute of Standards and Technology’s officielle definition er SIEM en applikation, der indsamler sikkerhedsdata fra de forskellige elementer i et informationssystem og viser dem på et centralt dashboard på en organiseret og handlingsorienteret måde. Dette sammenfatter allerede funktionaliteten, for i modsætning til en firewall, der forsvarer mod akutte cybertrusler, er SIEM baseret på vedvarende, proaktiv dataindsamling og analyse, der også kan afsløre skjulte angreb eller trusselstendenser.
Et SIEM-system kan implementeres lokalt, som en cloud-løsning eller som en hybridvariant med både lokale og cloud-baserede komponenter. Processen fra dataindsamling til sikkerhedsadvarsler består af følgende fire trin:
Trin 1: Indsamle data fra flere kilder i systemet
SIEM-løsningen registrerer og indsamler data fra forskellige niveauer, lag og komponenter i din IT-infrastruktur. Dette omfatter servere, routere, firewalls, antivirusprogrammer, switche, IP-adresser og IDS samt slutapparater, der er integreret med endpoint-sikkerhed eller XDR (Extended Detection and Response). Til dette formål anvendes sammenkoblede log-, rapporterings- og sikkerhedssystemer.
Trin 2: Sammenstilling af indsamlede data
De indsamlede data præsenteres på en overskuelig og gennemsigtig måde på den centrale brugergrænseflade. Ved at samle og strukturere dataene via et dashboard undgår man den tidskrævende analyse af forskellige logfiler og rapporter fra de enkelte applikationer.
Trin 3: Analyse og sammenholdning af aggregerede data
Programmet analyserer de indsamlede og sammenfattede data for kendte virus- og malware-signaturer samt mistænkelige hændelser, såsom log-ins fra VPN-netværk eller forkerte loginoplysninger. Det fremhæver desuden unormal brug, tvivlsomme vedhæftede filer eller andre iøjnefaldende aktiviteter, der har betydning for sikkerheden. Ved at sammenkæde, organisere, sammenholde og klassificere data gør programmet det muligt hurtigt at spore og isolere indtrængningsveje, hvilket gør det muligt at afbøde eller endda neutralisere trusler. Desuden håndterer den hurtigt både åbenlyse og skjulte angreb ved at tildele sikkerhedsniveauer, samtidig med at den udelukker harmløse afvigelser.
Trin 4: Opspore trusler, sårbarheder eller sikkerhedsbrud
Hvis der opdages en trussel, sikrer automatiske alarmer hurtigere reaktionstider og øjeblikkelig neutralisering af truslen. I stedet for at skulle lede længe efter kilden til faren eller afvigelserne kan du hurtigt lokalisere dem via alarmen og om nødvendigt isolere dem i karantæne. Desuden er det muligt at rekonstruere tidligere trusler, så sikkerhedsprocedurerne kan forbedres.
I kombination med en XDR-løsning med integreret AI kan forsvarsmekanismer som karantæne eller blokering af slutapparater eller IP-adresser implementeres særdeles hurtigt ved hjælp af foruddefinerede, automatiserede arbejdsgange. Trusselsfeeds i realtid, der løbende leverer opdaterede signaturer og sikkerhedsdata, gør det desuden muligt at opdage nye typer angreb og trusler på et tidligt stadium.
En oversigt over de vigtigste SIEM-komponenter
Der anvendes forskellige koordinerede komponenter for at sikre en fuldstændig dataindsamling og -analyse som en del af en SIEM-løsning. Disse omfatter:
| Komponent | Funktioner |
|---|---|
| Centralt kontrolpanel | ✓ Præsenterer alle indsamlede data på en handlingsorienteret måde ✓ Tilbyder datavisualiseringer, overvågning af aktiviteter i realtid, trusselsanalyse og handlingsmuligheder ✓ Individuelt definerbare trusselsindikatorer, korrelationsregler og notifikationer |
| Logningstjenester og rapportering | ✓ Indsamler og logger hændelsesdata fra hele netværket samt på endpoint- og serverniveau ✓ Realtidsrapportering om overholdelse af standarder som PCI-DSS, HIPPA, SOX eller GDPR for at opfylde reglerne for overholdelse og databeskyttelse ✓ Overvågning og logning i realtid af brugeraktivitet, herunder intern og ekstern adgang, privilegeret adgang til databaser, servere og databaser samt dataeksfiltrering |
| Korrelation og analyse af trusselsdata og sikkerhedshændelser | ✓ Hændelseskorrelation og sikkerhedsdataanalyse kan bruges til at sammenkæde hændelser fra forskellige niveauer, identificere kendte, komplekse eller nye former for angreb og reducere detektions- og responstider ✓ Forensiske undersøgelser af sikkerhedshændelser |
Fordelene ved Security Information & Event Management (SIEM)
På grund af de stigende cyberrisici for virksomheder er enkle firewalls eller antivirusprogrammer som regel ikke længere tilstrækkelige til at beskytte netværk og systemer. Især når det drejer sig om hybridstrukturer med multiclouds og hybridclouds, er der behov for avancerede løsninger som EDR, XDR og SIEM eller, ideelt set, en kombination af to eller flere tjenester. Det er den eneste måde, hvorpå man sikkert kan benytte slutapparater og cloudtjenester og opdage trusler på et tidligt stadie.
Blandt de fordele, som SIEM kan tilbyde dig, er:
Trusselsdetektering i realtid
Takket være den helhedsorienterede tilgang i form af systemomfattende dataindsamling og -analyse kan trusler hurtigt identificeres og forebygges. Da den gennemsnitlige tid til opdagelse (MTTD) og den gennemsnitlige tid til reaktion (MTTR) er reduceret, kan følsomme data og forretningskritiske processer beskyttes pålideligt.
Overholdelse af krav til compliance og databeskyttelse
SIEM-systemer sikrer en IT-infrastruktur, der overholder lovgivningen, gennem detaljeret logføring og trusselsanalyse. Denne infrastruktur opfylder alle væsentlige sikkerheds- og rapporteringsstandarder, der kræves for at opbevare data sikkert og behandle dem på en måde, der overholder revisionskravene.
Et tids- og omkostningsbesparende sikkerhedskoncept
Ved at vise, visualisere, analysere og fortolke alle sikkerhedsrelevante data centralt og overskueligt i et brugergrænseflade øger SIEM effektiviteten af din IT-sikkerhed. Dette reducerer den tid og de omkostninger, der ellers er forbundet med traditionelle manuelle sikkerhedsforanstaltninger. Navnlig fremskynder brugen af automatiseret og – i visse systemer – AI-understøttet dataanalyse og korrelation forebyggelsen af trusler. De høje omkostninger, der er forbundet med at reparere inficerede systemer eller fjerne malware, kan også undgås med forebyggende SIEM-løsninger.
Muligheden for at anvende SIEM som SaaS (Software-as-a-Service) eller via Managed Security Services gør det også muligt for mindre virksomheder med begrænsede ressourcer eller uden egen IT-sikkerhedsafdeling at beskytte deres virksomhedsnetværk på en pålidelig måde.
Automatisering med kunstig intelligens og maskinlæring
SIEM-systemer muliggør et endnu højere niveau af automatisering og intelligent trusselsforebyggelse gennem kunstig intelligens og maskinlæring. Man kan for eksempel også anvende SIEM-løsninger i SOAR-systemer (Security Orchestration, Automation and Response) eller i kombination med en eksisterende endpoint-sikkerheds- eller XDR-løsning.