Mikä on SIEM (tietoturvatiedon ja tapahtumien hallinta)?
Yritykset joutuvat kohtaamaan sekä tunnettuja että tuntemattomia kyberuhkia digitalisaation lisääntymisen, hybridityöskentelymallien ja monenlaisten päätelaitteiden vuoksi. Siksi turvallisuuskonseptit, kuten SIEM (Security Information & Event Management), ovat tärkeämpiä kuin koskaan. Kirjaamalla, analysoimalla ja käsittelemällä järjestelmä- ja verkkotietoja turvallisuusuhkat voidaan tunnistaa, jäljittää ja torjua nopeasti.
Mikä on SIEM?
Lyhenne SIEM tarkoittaa Security Information & Event Management (tietoturvatiedon ja tapahtumien hallinta), mikä tarjoaa yrityksille enemmän läpinäkyvyyttä ja hallintaa omiin tietoihinsa. Standardoidun tietoturva- ja suojauskonseptin avulla epäilyttävät tietoturvapoikkeamat, hyökkäyssuuntaukset ja uhkakuviot voidaan tunnistaa jo varhaisessa vaiheessa. Tämän mahdollistavat työkalut, jotka kirjaavat ja analysoivat monenlaista tapahtuma- ja prosessidataa yrityksen kaikilla tasoilla, päätelaitteista palomuurien ja tunkeutumisenestojärjestelmien (IPS) kautta verkko-, pilvi- ja palvelintasolle.
SIEM yhdistää sekä SIM:n (Security Information Management) että SEM:n (Security Event Management) arvioidakseen tietoturvatietoja ja -tapauksia kontekstuaalisesti ja korreloivasti reaaliajassa, luodakseen hälytyksiä ja käynnistääkseen tietoturvatoimenpiteitä. Tämä lähestymistapa mahdollistaa potentiaalisten haavoittuvuuksien ja tietoturvaloukkausten varhaisen havaitsemisen ja torjumisen sekä hyökkäysyritysten nopean estämisen. SIEM-konseptin kehitti Gartner vuonna 2005. Nykyisten SIEM-ratkaisujen keskeisiä elementtejä ovat UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) ja SOAR (Security Orchestration, Automation, and Response).
Miksi tietoturvatiedon ja tapahtumien hallinta on tärkeää?
Nykyään yrityksen IT-infrastruktuuri ei enää koostu pelkästään palvelimesta ja muutamasta päätelaitteesta. Jopa keskisuuret yritykset käyttävät enemmän tai vähemmän monimutkaisia yritysverkkoja, jotka koostuvat lukuisista internetiin kytketyistä päätelaitteista, omasta ohjelmistoympäristöstä sekä useista palvelimista ja pilvipalveluista. Tähän liittyvät vielä uudet työskentelymallit, kuten etätyöskentely tai omien laitteiden käyttö (BYOD).
Mitä monimutkaisempi IT-infrastruktuuri on, sitä enemmän haavoittuvuuksia voi ilmetä, jos kyberturvallisuus on puutteellista. Yhä useammat yritykset luottavatkin siksi kokonaisvaltaiseen suojaukseen, joka kattaa sekä kiristysohjelmat, vakoiluohjelmat ja pelotteluohjelmat että uudet kyberhyökkäysmuodot ja nollapäivähyökkäykset.
SIEM-kaltaisten tietoturvaratkaisujen merkitys yrityksille kasvaa, eikä pelkästään akuuttien uhkien vuoksi. GDPR:n tiukat tietosuojavaatimukset tai BASE II-, ISO- tai SOX-sertifioinnit edellyttävät nykyään jopa tietojen ja järjestelmien suojaussuunnitelmaa. Tämä voidaan usein saavuttaa vain SIEM-ratkaisun tai vastaavien strategioiden, kuten EDR:n ja XDR:n, avulla.
Kokoamalla, arvioimalla ja yhdistämällä tietoturvaan liittyvät loki- ja raporttitiedot keskitetylle alustalle SIEM mahdollistaa kaikkien sovellusten ja verkkotasojen tietojen analysoinnin tietoturvalähtöisesti. Mitä aikaisemmin uhat tai tietoturva-aukot havaitaan tällä tavalla, sitä nopeammin voidaan vähentää liiketoimintaprosesseihin kohdistuvia riskejä ja suojata yrityksen tietoja**. SIEM parantaa siten merkittävästi tehokkuutta säännösten noudattamisen ja reaaliaikaisen suojan osalta uhkia, kuten kiristysohjelmia, haittaohjelmia tai tietovarkauksia, vastaan.
Miten SIEM toimii?
Gartnerin Amrit Williams ja Mark Nicolett ottivat käyttöön termin ”SIEM” vuonna 2005. Yhdysvaltain standardi- ja teknologiainstituutin (NIST) virallisen määritelmän mukaan SIEM on sovellus, joka kerää tietoturvatietoja tietojärjestelmän eri osista ja esittää ne keskitetyssä hallintapaneelissa järjestelmällisesti ja toimintakeskeisesti. Tämä kuvaa jo hyvin sen toiminnallisuutta, sillä toisin kuin palomuuri, joka puolustaa akuutteja kyberuhkia vastaan, SIEM perustuu jatkuvaan, ennakoivaan tiedonkeruuseen ja analysointiin, joka voi paljastaa myös piileviä hyökkäyksiä tai uhkatrendejä.
SIEM-järjestelmä voidaan ottaa käyttöön paikallisesti, pilvipalveluna tai hybridimuotona, jossa on sekä paikallisia että pilvipohjaisia komponentteja. Prosessi tietojen keräämisestä tietoturvahälytyksiin koostuu seuraavista neljästä vaiheesta:
Vaihe 1: Kerää tietoja järjestelmän eri lähteistä
SIEM-ratkaisu tallentaa ja kerää tietoja IT-infrastruktuurisi eri tasoilta, kerroksista ja osista. Tähän kuuluvat palvelimet, reitittimet, palomuurit, virustorjuntaohjelmat, kytkimet, IP-osoitteet ja tunkeutumisen havaitsemisjärjestelmät (IDS) sekä päätelaitteet, joihin on integroitu päätelaitteiden tietoturva tai XDR (Extended Detection and Response). Tätä tarkoitusta varten käytetään toisiinsa liitettyjä loki-, raportointi- ja tietoturvajärjestelmiä.
Vaihe 2: Kerättyjen tietojen yhteenveto
Kerätyt tiedot esitetään selkeästi ja ymmärrettävästi keskitetyssä käyttöliittymässä. Kun tiedot kerätään ja järjestellään hallintapaneelin kautta, ei enää tarvitse käyttää aikaa eri sovellusten lokien ja raporttien analysointiin.
Vaihe 3: Aggregoitujen tietojen analysointi ja korrelointi
Sovellus analysoi kerättyjä ja tiivistettyjä tietoja tunnettujen virusten ja haittaohjelmien tunnisteiden sekä epäilyttävien tapahtumien, kuten VPN-verkkojen kautta tehtyjen kirjautumisten tai virheellisten kirjautumistietojen, varalta. Se tuo esiin myös poikkeavan käytön, epäilyttävät liitetiedostot tai muut turvallisuuteen liittyvät silmiinpistävät toiminnot. Yhdistelemällä, järjestelemällä, vertaamalla ja luokittelemalla tietoja sovellus helpottaa tunkeutumisreittien nopeaa jäljittämistä ja eristämistä, minkä ansiosta uhat voidaan torjua tai jopa neutraloida. Lisäksi määrittämällä turvallisuustasot se reagoi nopeasti sekä ilmeisiin että piilotettuihin hyökkäyksiin ja sulkee pois harmittomat poikkeamat.
Vaihe 4: Tunnista uhat, haavoittuvuudet tai tietoturvaloukkaukset
Jos uhka havaitaan, automaattiset hälytykset mahdollistavat nopeammat reagointiajat ja uhan välittömän torjumisen. Sen sijaan, että jouduttaisiin etsimään vaaran tai poikkeamien lähdettä laajasti, ne voidaan paikantaa nopeasti hälytyksen avulla ja tarvittaessa eristää karanteeniin. Lisäksi aiemmat uhat voidaan rekonstruoida, jotta tietoturvakäytäntöjä voidaan kehittää.
Yhdessä tekoälyä sisältävän XDR-ratkaisun kanssa suojausmekanismit, kuten karanteeni tai päätelaitteiden tai IP-osoitteiden estäminen, voidaan ottaa käyttöön erityisen nopeasti valmiiden, automatisoitujen työnkulkujen avulla. Reaaliaikaiset uhkatietovirrat, jotka syöttävät jatkuvasti päivitettyjä tunnisteita ja tietoturvatietoja, mahdollistavat myös uusien hyökkäys- ja uhkatyyppien havaitsemisen jo varhaisessa vaiheessa.
Katsaus tärkeimpiin SIEM-komponentteihin
SIEM-ratkaisun osana käytetään erilaisia toisiinsa sovitettuja komponentteja, joilla varmistetaan kattava tiedonkeruu ja analysointi. Näitä ovat muun muassa:
| Komponentti | Ominaisuudet |
|---|---|
| Keskitetty hallintapaneeli | ✓ Esittää kaikki kerätyt tiedot toimintakeskeisellä tavalla ✓ Tarjoaa datan visualisointeja, reaaliaikaista toiminnan seurantaa, uhkien analysointia ja toimintavaihtoehtoja ✓ Yksilöllisesti määriteltävät uhkaindikaattorit, korrelaatiosäännöt ja ilmoitukset |
| Lokipalvelut ja raportointi | ✓ Kerää ja kirjaa tapahtumatietoja koko verkosta sekä päätelaitteiden ja palvelinten tasolta ✓ Reaaliaikainen vaatimustenmukaisuusraportointi standardien, kuten PCI-DSS, HIPPA, SOX tai GDPR, mukaisesti vaatimustenmukaisuus- ja tietosuojasääntöjen täyttämiseksi ✓ Käyttäjien toiminnan reaaliaikainen seuranta ja lokitus, mukaan lukien sisäiset ja ulkoiset pääsyt, etuoikeutetut pääsyt tietokantoihin, palvelimiin ja tietokantoihin sekä tietojen vuotaminen |
| Uhkatietojen ja tietoturvapoikkeamien korrelaatio ja analysointi | ✓ Tapahtumien korrelaatiota ja tietoturvatietojen analysointia voidaan käyttää eri tasojen tapahtumien linkittämiseen, tunnettujen, monimutkaisten tai uusien hyökkäysmuotojen tunnistamiseen sekä havaitsemis- ja reagointiaikojen lyhentämiseen ✓ Turvallisuuspoikkeamien rikostekninen tutkinta |
Turvallisuustietojen ja tapahtumien hallinnan (SIEM) edut
Yrityksiin kohdistuvien kyberriskien kasvaessa pelkkä palomuuri tai virustorjuntaohjelma ei yleensä enää riitä verkkojen ja järjestelmien suojaamiseen. Erityisesti monipilvi- ja hybridipilvirakenteissa tarvitaan kehittyneitä ratkaisuja, kuten EDR-, XDR- ja SIEM-järjestelmiä, tai ihannetapauksessa kahden tai useamman palvelun yhdistelmää. Vain näin päätelaitteita ja pilvipalveluita voidaan käyttää turvallisesti ja uhat havaita varhaisessa vaiheessa.
SIEM-järjestelmän tarjoamia etuja ovat muun muassa:
Uhkien havaitseminen reaaliajassa
Kokonaisvaltaisen lähestymistavan ansiosta, joka perustuu koko järjestelmän kattavaan tiedonkeruuseen ja arviointiin, uhat voidaan tunnistaa ja estää nopeasti. Koska uhkien havaitsemiseen (MTTD) ja niihin reagoimiseen (MTTR) kuluva keskimääräinen aika on lyhentynyt, arkaluontoiset tiedot ja liiketoiminnan kannalta kriittiset prosessit voidaan suojata luotettavasti.
Säännösten noudattaminen ja tietosuojavaatimukset
SIEM-järjestelmät varmistavat säännösten mukaisen IT-infrastruktuurin yksityiskohtaisen lokitallennuksen ja uhkien analysoinnin avulla. Tämä infrastruktuuri täyttää kaikki keskeiset turvallisuus- ja raportointistandardit, joita vaaditaan tietojen turvalliseen tallentamiseen ja tilintarkastusvaatimusten mukaisiin käsittelyyn.
Aikaa ja kustannuksia säästävä turvallisuuskonsepti
Näyttämällä, visualisoimalla, analysoimalla ja tulkitsemalla kaikki tietoturvaan liittyvät tiedot keskitetysti ja selkeästi käyttöliittymässä SIEM parantaa IT-tietoturvan tehokkuutta. Tämä vähentää aikaa ja kustannuksia, jotka muuten liittyisivät perinteisiin manuaalisiin tietoturvatoimenpiteisiin. Erityisesti automatisoidun ja joissakin järjestelmissä tekoälyllä tehostetun tietojen analysoinnin ja korrelaation käyttö nopeuttaa uhkien torjuntaa. Ennaltaehkäisevillä SIEM-ratkaisuilla voidaan myös välttää tartunnan saaneiden järjestelmien korjaamisesta tai haittaohjelmien poistamisesta aiheutuvat korkeat kustannukset.
Mahdollisuus käyttää SIEM-järjestelmää SaaS- palveluna (Software-as-a-Service) tai hallinnoitujen tietoturvapalveluiden kautta antaa myös pienemmille yrityksille, joilla on rajalliset resurssit tai joilla ei ole omaa IT-tietoturvaosastoa, mahdollisuuden suojata yritysverkkoaan luotettavasti.
Automaatio tekoälyn ja koneoppimisen avulla
SIEM-järjestelmät mahdollistavat entistä korkeamman automaatiotason ja älykkään uhkien torjunnan tekoälyn ja koneoppimisen avulla. SIEM-ratkaisuja voi esimerkiksi käyttää myös SOAR-järjestelmissä (Security Orchestration, Automation and Response) tai yhdessä olemassa olevan päätelaitteiden tietoturvaratkaisun tai XDR-ratkaisun kanssa.