Mis on SIEM (turbeinfo ja sündmuste haldus)?
Digiteerimise laienemise, hübriidse töökorralduse ja mitmesuguste lõppseadmete tõttu seisavad ettevõtted silmitsi nii teadaolevate kui ka tundmatute küberohtudega. Seetõttu on sellised turvakontseptsioonid nagu SIEM (Security Information & Event Management) olulisemad kui kunagi varem. Süsteemi- ja võrguandmete logimise, analüüsimise ja töötlemise abil on võimalik turvaohtusid kiiresti tuvastada, jälgida ja leevendada.
Mis on SIEM?
Lühend SIEM tähendab Security Information & Event Management (turbeinfo ja sündmuste haldus), mis pakub ettevõtetele suuremat läbipaistvust ja kontrolli oma andmete üle. Ühtlustatud turbe- ja kaitsekontseptsioon võimaldab kahtlasi turvalisusjuhtumeid, rünnakutrende ja ohumustreid varakult tuvastada. Selle teevad võimalikuks tööriistad, mis salvestavad ja analüüsivad mitmesuguseid sündmuste ja protsesside andmeid ettevõtte kõikidel tasanditel, alates lõppseadmetest, tulemüüridest ja sissetungide tõkestussüsteemidest (IPS) kuni võrgu-, pilve- ja serveritasandini.
SIEM ühendab endas nii SIM-i (turbeinfo haldus) kui ka SEM-i (turbejuhtumite haldus), et hinnata turbeinfot ja intsidente kontekstuaalselt ja korrelatiivselt reaalajas, luua hoiatusi ning käivitada turvameetmeid. Selline lähenemisviis võimaldab potentsiaalsete nõrkade kohtade ja turvalisuse rikkumiste varast avastamist ja leevendamist, samuti rünnakukatsete kiiret tõkestamist. SIEMi kontseptsiooni töötas välja Gartner 2005. aastal. Kaasaegsete SIEM-lahenduste olulisteks elementideks on UBA (kasutaja käitumise analüüs), UEBA (kasutaja ja üksuse käitumise analüüs) ning SOAR (turvalisuse koordineerimine, automatiseerimine ja reageerimine).
Miks on turvalisusteabe ja sündmuste haldus oluline?
Tänapäeval ei koosne ettevõtte IT-infrastruktuur enam ainult serverist ja mõnest lõppseadmest. Isegi keskmise suurusega ettevõtted kasutavad enam-vähem keerukaid ettevõttevõrke, mis koosnevad suurest hulgast internetiühendusega lõppseadmetest, ettevõtte enda tarkvarast ning mitmest serverist ja pilveteenusest. Sellele lisanduvad uued töömudelid, nagu kodust töötamine või oma seadme kasutamine (BYOD).
Mida keerulisem on IT-infrastruktuur, seda rohkem võib esineda turvaauke, kui küberjulgeolek on ebapiisav. Seetõttu loodavad üha enam ettevõtted terviklikule kaitsele nii lunavara-, nuhkvara- ja hirmutarkvara vastu kui ka uute küberrünnakute vormide ja nullpäeva-ekspluateerimiste vastu.
Selliste turvalahenduste nagu SIEM tähtsus ettevõtete jaoks kasvab, ja seda mitte ainult otseste ohtude tõttu. GDPR-i ranged andmekaitse nõuded või sellised sertifikaadid nagu BASE II, ISO või SOX nõuavad nüüd isegi andmete ja süsteemide kaitse kontseptsiooni. Seda on sageli võimalik saavutada vaid SIEM-i või sarnaste strateegiate, nagu EDR ja XDR, abil.
Kogudes, analüüsides ja seostades turvalisusega seotud logi- ja aruandlusandmeid ühtsel platvormil, võimaldab SIEM analüüsida kõigi rakenduste ja võrgutasandite andmeid turvalisusele keskendudes. Mida varem suudate sel viisil ohte või turvaauke avastada, seda kiiremini saate vähendada riske oma äriprotsessidele ja kaitsta ettevõtte andmeid**. Seega pakub SIEM märkimisväärset tõhususe kasvu nii nõuetele vastavuse tagamisel kui ka reaalajas kaitses selliste ohtude vastu nagu lunavara, pahavara või andmevargus.
Kuidas SIEM toimib?
Mõiste „SIEM“ võtsid 2005. aastal kasutusele Gartneri töötajad Amrit Williams ja Mark Nicolett. Ameerika Riikliku Standardite ja Tehnoloogia Instituudi (NIST) ametliku määratluse kohaselt on SIEM rakendus, mis kogub infosüsteemi erinevatest elementidest turvalisusandmeid ja kuvab neid keskse juhtpaneeli kaudu organiseeritud ja tegevusele suunatud viisil. See hõlmab juba funktsionaalsust, sest erinevalt tulemüürist, mis kaitseb ägedate küberohtude eest, tugineb SIEM jätkusuutlikule, proaktiivsele andmete kogumisele ja analüüsile, mis võib paljastada ka varjatud rünnakuid või ohutrende.
SIEM-süsteemi saab rakendada kohapeal, pilvelahendusena või hübriidvariandina, mis sisaldab nii kohalikke kui ka pilvepõhiseid komponente. Andmete kogumisest turvateadeteni ulatuv protsess koosneb järgmisest neljast etapist:
1. etapp: andmete kogumine süsteemi erinevatest allikatest
SIEM-lahendus salvestab ja kogub andmeid teie IT-infrastruktuuri erinevatelt tasanditelt, kihtidelt ja komponentidelt. See hõlmab servereid, ruutereid, tulemüüre, viirusetõrjeprogramme, lüliteid, IP-aadresse ja sissetungijate tuvastamise süsteeme (IDS), samuti lõppseadmeid, mis on integreeritud lõppseadmete turvalahendustega või XDR-iga (Extended Detection and Response). Selleks kasutatakse ühendatud logimis-, aruandlus- ja turvasüsteeme.
2. etapp: kogutud andmete koondamine
Kogutud andmed on keskkonnas selgelt ja arusaadavalt kokku võetud. Andmete kogumine ja süsteemne korrastamine juhtpaneeli kaudu vabastab kasutaja vajadusest kulutada aega erinevate rakenduste logide ja aruannete analüüsimisele.
3. etapp: koondandmete analüüsimine ja seoste leidmine
Rakendus analüüsib kogutud ja kokkuvõtlikult esitatud andmeid, otsides neist tuntud viiruste ja pahavara signatuure ning kahtlasi juhtumeid, nagu sisselogimised VPN-võrkudest või valed sisselogimisandmed. Samuti toob rakendus esile ebanormaalset kasutust, kahtlasi manuseid või muid silmatorkavaid tegevusi, mis on seotud turvalisusega. Andmete seostamise, organiseerimise, korrelatsiooni loomise ja klassifitseerimise abil hõlbustab rakendus sissetungiteede kiiret jälgimist ja isoleerimist, võimaldades ohte leevendada või isegi neutraliseerida. Lisaks reageerib rakendus turvatasemete määramise abil kiiresti nii avalikele kui ka varjatud rünnakutele, välistades samas ohutud kõrvalekalded.
4. etapp: ohte, nõrkade kohtade või turvalisuse rikkumiste avastamine
Kui tuvastatakse oht, võimaldavad automaatsed hoiatused reageerida kiiremini ja neutraliseerida oht kohe. Selle asemel, et ohtude või kõrvalekallete allikat pikalt otsida, saate need hoiatuse abil kiiresti kindlaks teha ja vajaduse korral karantiini paigutada. Lisaks on võimalik varasemaid ohte rekonstrueerida, et täiustada turvaprotseduure.
Koos integreeritud tehisintellektiga XDR-lahendusega on võimalik eeldefineeritud automatiseeritud töövoogude abil eriti kiiresti rakendada selliseid kaitsemehhanisme nagu karantiin või lõppseadmete või IP-aadresside blokeerimine. Reaalajas ohuteated, mis edastavad pidevalt uuendatud allkirju ja turbeandmeid, võimaldavad teil avastada uusi rünnakutüüpe ja ohte juba varases staadiumis.
Ülevaade olulisematest SIEM-komponentidest
SIEM-lahenduse raames kasutatakse andmete täieliku kogumise ja analüüsi tagamiseks mitmesuguseid omavahel kooskõlastatud komponente. Nende hulka kuuluvad:
| Komponent | Funktsioonid |
|---|---|
| Keskne juhtpaneel | ✓ Esitab kõik kogutud andmed tegevusele suunatud viisil ✓ Pakub andmete visualiseerimist, reaalajas tegevuse jälgimist, ohuanalüüsi ja tegevusvõimalusi ✓ Individuaalselt määratletavad ohuindikaatorid, korrelatsioonireeglid ja teavitused |
| Logimisteenused ja aruandlus | ✓ Kogu võrgu, samuti lõppseadmete ja serverite tasandi sündmuste andmete kogumine ja logimine ✓ Reaalajas vastavusaruandlus standardite nagu PCI-DSS, HIPPA, SOX või GDPR kohta, et täita vastavus- ja andmekaitse-eeskirju ✓ Kasutajate tegevuse reaalajas jälgimine ja logimine, sealhulgas sise- ja välisjuurdepääs, privileegitud juurdepääs andmebaasidele, serveritele ja andmebaasidele ning andmete väljavool |
| Ohuteabe ja turvalisusjuhtumite korrelatsioon ja analüüs | ✓ Sündmuste korrelatsiooni ja turvalisusandmete analüüsi abil on võimalik seostada eri tasandite intsidente, tuvastada tuntud, keerukaid või uusi rünnakuvorme ning lühendada avastamis- ja reageerimisaega ✓ Turvalisusjuhtumite kriminalistiline uurimine |
Turbeinfo ja sündmuste haldamise (SIEM) eelised
Ettevõtteid ähvardavate küberohtude suurenemise tõttu ei piisa võrkude ja süsteemide kaitsmiseks enam tavaliselt lihtsatest tulemüüridest või viirusetõrjeprogrammidest. Eriti mitme pilve ja hübriidpilvega hübriidstruktuuride puhul on vaja keerukaid lahendusi, nagu EDR, XDR ja SIEM, või ideaalis kahe või enama teenuse kombinatsiooni. Ainult nii on võimalik lõppseadmeid ja pilveteenuseid turvaliselt kasutada ning ohte varakult avastada.
SIEM-süsteemi eelised on järgmised:
Reaalajas ohu tuvastamine
Tänu terviklikule lähenemisviisile, mis hõlmab süsteemiülest andmete kogumist ja analüüsimist, on võimalik ohte kiiresti tuvastada ja ennetada. Kuna ohu avastamise keskmine aeg (MTTD) ja reageerimise keskmine aeg (MTTR) on lühemad, on võimalik tundlikke andmeid ja äritegevuse seisukohalt kriitilisi protsesse usaldusväärselt kaitsta.
Nõuete täitmine ja andmekaitse nõuete järgimine
SIEM-süsteemid tagavad nõuetele vastava IT-infrastruktuuri tänu põhjalikule logimisele ja ohuanalüüsile. See infrastruktuur vastab kõigile olulistele turva- ja aruandlusstandarditele, mida nõutakse andmete turvaliseks säilitamiseks ja auditeerimisnõuetele vastavaks töötlemiseks.
Aega ja kulusid säästev turvakontseptsioon
Kuna SIEM kuvab, visualiseerib, analüüsib ja tõlgendab kõiki turvalisusega seotud andmeid keskelt ja selgelt kasutajaliideses, suurendab see teie IT-turvalisuse tõhusust. See vähendab aega ja kulusid, mis muidu kaasneksid tavapäraste käsitsi tehtavate turvameetmetega. Eelkõige kiirendab automatiseeritud ja mõnedes süsteemides tehisintellekti abil täiustatud andmete analüüs ja korrelatsioon ohu ennetamist. Ennetavate SIEM-lahenduste abil on võimalik vältida ka nakatunud süsteemide parandamise või pahavara eemaldamisega seotud suuri kulusid.
Võimalus kasutada SIEM-süsteemi SaaS- teenusena (Software-as-a-Service) või hallatavate turvateenuste kaudu võimaldab ka piiratud ressurssidega või oma IT-turbeosakonnata väikeettevõtetel oma ettevõtte võrku usaldusväärselt kaitsta.
Automatiseerimine tehisintellekti ja masinõppe abil
SIEM-süsteemid võimaldavad tehisintellekti ja masinõppe abil saavutada veelgi kõrgemat automatiseerituse taset ja nutikat ohuennetust. Näiteks saab SIEM-lahendusi kasutada ka SOAR-süsteemides (Security Orchestration, Automation and Response) või koos olemasoleva lõppseadmete turvalahenduse või XDR-lahendusega.