Hva er SIEM (Security Information & Event Management)?
Bedrifter står overfor både kjente og ukjente cybertrusler som følge av økt digitalisering, hybride arbeidsmodeller og et mangfold av sluttbrukerutstyr. Derfor er sikkerhetskonsepter som SIEM (Security Information & Event Management) viktigere enn noensinne. Ved å loggføre, analysere og behandle system- og nettverksdata kan sikkerhetstrusler raskt identifiseres, spores og avverges.
Hva er SIEM?
Forkortelsen SIEM står for Security Information & Event Management, noe som gir bedrifter større oversikt og kontroll over egne data. Et standardisert sikkerhets- og beskyttelseskonsept gjør det mulig å oppdage mistenkelige sikkerhetshendelser, angrepstrender og trusselmønstre på et tidlig stadium. Dette muliggjøres av verktøy som loggfører og analyserer en rekke hendelses- og prosessdata på tvers av alle nivåer i bedriften, fra sluttbrukerutstyr via brannmurer og IPS (Intrusion Prevention Systems) til nettverks-, sky- og servernivå.
SIEM integrerer både SIM (Security Information Management) og SEM (Security Event Management) for å vurdere sikkerhetsinformasjon og hendelser i sammenheng og korrelere dem i sanntid, generere varsler og iverksette sikkerhetstiltak. Denne tilnærmingen muliggjør tidlig oppdagelse og avbøting av potensielle sårbarheter og sikkerhetsbrudd, samt rask avverging av eventuelle angrepsforsøk. SIEM-konseptet ble etablert i 2005 av Gartner. Viktige elementer i moderne SIEM-løsninger inkluderer UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) og SOAR (Security Orchestration, Automation, and Response).
Hvorfor er sikkerhetsinformasjons- og hendelsesstyring viktig?
I dag består ikke lenger en bedrifts IT-infrastruktur bare av en server og noen få sluttbrukerutstyr. Selv mellomstore bedrifter benytter seg av mer eller mindre komplekse bedriftsnettverk som består av et stort antall internettilkoblede sluttbrukerutstyr, deres eget programvarelandskap samt flere servere og skytjenester. I tillegg kommer nye arbeidsmodeller som hjemmearbeid eller «Bring Your Own Device» (BYOD).
Jo mer kompleks IT-infrastrukturen er, desto flere sårbarheter kan oppstå dersom cybersikkerheten er mangelfull. Stadig flere bedrifter satser derfor på helhetlig beskyttelse mot løsepengevirus, spionprogrammer og skremmeprogrammer, samt mot nye former for cyberangrep og zero-day-angrep.
Betydningen av sikkerhetsløsninger som SIEM øker for bedrifter, og ikke bare på grunn av akutte trusler. Strenge krav til personvern i henhold til GDPR eller sertifiseringer som BASE II, ISO eller SOX krever nå til og med en helhetlig strategi for data- og systembeskyttelse. Dette kan ofte bare oppnås gjennom SIEM eller lignende strategier som EDR og XDR.
Ved å samle, evaluere og koble sammen sikkerhetsrelevante logg- og rapportdata på en sentral plattform, gjør SIEM det mulig å analysere data fra alle applikasjoner og nettverksnivåer på en sikkerhetsorientert måte. Jo tidligere du oppdager trusler eller sikkerhetsbrudd på denne måten, desto raskere kan du redusere risikoen for forretningsprosessene dine og beskytte bedriftens data**. SIEM gir derfor en betydelig effektivitetsøkning når det gjelder samsvar med regelverk og sanntidsbeskyttelse mot trusler som ransomware, skadelig programvare eller datatyveri.
Hvordan fungerer SIEM?
Begrepet «SIEM» ble introdusert i 2005 av Amrit Williams og Mark Nicolett fra Gartner. I henhold til den offisielle definisjonen fra National Institute of Standards and Technology er SIEM en applikasjon som samler inn sikkerhetsdata fra ulike elementer i et informasjonssystem og viser dem på et sentralt dashbord på en organisert og handlingsrettet måte. Dette oppsummerer allerede funksjonaliteten, for i motsetning til en brannmur, som forsvarer mot akutte cybertrusler, baserer SIEM seg på bærekraftig, proaktiv datainnsamling og analyse som også kan avdekke skjulte angrep eller trusseltrender.
Et SIEM-system kan implementeres lokalt, som en skyløsning eller som en hybridvariant med både lokale og skybaserte komponenter. Prosessen fra datainnsamling til sikkerhetsvarsler består av følgende fire trinn:
Fase 1: Samle inn data fra flere kilder i systemet
SIEM-løsningen registrerer og samler inn data fra ulike nivåer, lag og komponenter i IT-infrastrukturen din. Dette omfatter servere, rutere, brannmurer, antivirusprogrammer, svitsjer, IP-adresser og IDS, samt sluttbrukerutstyr som er integrert med endepunktsikkerhet eller XDR (Extended Detection and Response). Til dette formålet benyttes tilkoblede logg-, rapporterings- og sikkerhetssystemer.
Fase 2: Sammenstille innsamlede data
De innsamlede dataene presenteres på en oversiktlig og oversiktlig måte i det sentrale brukergrensesnittet. Ved å samle og strukturere dataene via et dashbord, unngår man tidkrevende analyse av ulike logger og rapporter fra de enkelte applikasjonene.
Fase 3: Analysere og sammenstille aggregerte data
Programmet analyserer dataene som er samlet inn og oppsummert, på jakt etter kjente virus- og skadelig programvare-signaturer, mistenkelige hendelser som pålogginger fra VPN-nettverk eller feilaktige påloggingsopplysninger. Det påpeker også unormal bruk, tvilsomme vedlegg eller andre iøynefallende aktiviteter som har med sikkerhet å gjøre. Ved å koble sammen, organisere, korrelere og klassifisere data, gjør programmet det mulig å raskt spore og isolere infiltrasjonsveier, slik at trusler kan begrenses eller til og med nøytraliseres. Videre håndterer den raskt både åpenbare og skjulte angrep ved å tildele sikkerhetsnivåer, samtidig som den utelukker ufarlige avvik.
Fase 4: Oppdage trusler, sårbarheter eller sikkerhetsbrudd
Hvis det oppdages en trussel, sikrer automatiske varsler raskere responstid og umiddelbar nøytralisering av trusselen. I stedet for å bruke lang tid på å lete etter kilden til faren eller avvikene, kan du raskt lokalisere dem ved hjelp av varselet og, om nødvendig, isolere dem i karantene. Videre er det mulig å rekonstruere tidligere trusler, slik at sikkerhetsprosedyrene kan forbedres.
I kombinasjon med en XDR-løsning med integrert AI kan forsvarsmekanismer som karantene eller blokkering av sluttbrukerutstyr eller IP-adresser implementeres svært raskt ved hjelp av forhåndsdefinerte, automatiserte arbeidsflyter. Trusseloppdateringer i sanntid, som kontinuerlig tilfører oppdaterte signaturer og sikkerhetsdata, gjør det også mulig å oppdage nye typer angrep og trusler på et tidlig stadium.
En oversikt over de viktigste SIEM-komponentene
Forskjellige samordnede komponenter brukes for å sikre fullstendig datainnsamling og analyse som en del av en SIEM-løsning. Disse omfatter:
| Komponent | Funksjoner |
|---|---|
| Sentral oversikt | ✓ Viser alle innsamlede data på en handlingsorientert måte ✓ Tilbyr datavisualiseringer, overvåking av aktivitet i sanntid, trusselanalyse og handlingsalternativer ✓ Individuelt definerbare trusselindikatorer, korrelasjonsregler og varsler |
| Loggtjenester og rapportering | ✓ Registrerer og logger hendelsesdata fra hele nettverket, samt på endepunkt- og servernivå ✓ Rapportering i sanntid om etterlevelse av standarder som PCI-DSS, HIPAA, SOX eller GDPR for å oppfylle krav til etterlevelse og personvern ✓ Overvåking og logging i sanntid av brukeraktivitet, inkludert intern og ekstern tilgang, privilegert tilgang til databaser, servere og databaser, samt dataeksfiltrering |
| Korrelasjon og analyse av trusseldata og sikkerhetshendelser | ✓ Hendelseskorrelasjon og sikkerhetsdataanalyse kan brukes til å koble sammen hendelser fra ulike nivåer, identifisere kjente, komplekse eller nye angrepsformer og redusere deteksjons- og responstider ✓ Kriminaltekniske undersøkelser av sikkerhetshendelser |
Fordelene med sikkerhetsinformasjons- og hendelsesstyring (SIEM)
På grunn av de økende cybersikkerhetsrisikoene for bedrifter er enkle brannmurer eller antivirusprogrammer vanligvis ikke lenger tilstrekkelig for å beskytte nettverk og systemer. Spesielt når det gjelder hybridstrukturer med multicloud- og hybridskyløsninger, kreves det avanserte løsninger som EDR, XDR og SIEM, eller ideelt sett en kombinasjon av to eller flere tjenester. Dette er den eneste måten å sikre sikker bruk av sluttbrukerutstyr og skytjenester på, samt oppdage trusler på et tidlig stadium.
Fordelene som SIEM kan gi deg, inkluderer:
Trusseloppdagelse i sanntid
Takket være den helhetlige tilnærmingen i form av systemomfattende datainnsamling og evaluering kan trusler raskt identifiseres og forebygges. Takket være kortere gjennomsnittlig tid til oppdagelse (MTTD) og gjennomsnittlig tid til respons (MTTR) kan sensitive data og forretningskritiske prosesser beskyttes på en pålitelig måte.
Overholdelse av krav til samsvar og personvern
SIEM-systemer sikrer en IT-infrastruktur som oppfyller alle krav til samsvar gjennom detaljert loggføring og trusselanalyse. Denne infrastrukturen oppfyller alle nødvendige sikkerhets- og rapporteringsstandarder som kreves for sikker lagring av data og behandling av disse på en måte som er i samsvar med revisjonskrav.
Et tids- og kostnadsbesparende sikkerhetskonsept
Ved å vise, visualisere, analysere og tolke alle sikkerhetsrelevante data sentralt og oversiktlig i et brukergrensesnitt, øker SIEM effektiviteten i IT-sikkerheten din. Dette reduserer tidsbruken og kostnadene som ellers er forbundet med konvensjonelle, manuelle sikkerhetstiltak. Spesielt bidrar bruken av automatisert og, i enkelte systemer, AI-støttet dataanalyse og korrelasjon til å fremskynde forebygging av trusler. Høye kostnader knyttet til reparasjon av infiserte systemer eller fjerning av skadelig programvare kan også unngås ved hjelp av forebyggende SIEM-løsninger.
Muligheten til å bruke SIEM som SaaS (Software-as-a-Service) eller via Managed Security Services gjør det også mulig for mindre bedrifter med begrensede ressurser eller uten egen IT-sikkerhetsavdeling å beskytte bedriftsnettverket sitt på en pålitelig måte.
Automatisering med kunstig intelligens og maskinlæring
SIEM-systemer muliggjør et enda høyere nivå av automatisering og intelligent trusselforebygging gjennom kunstig intelligens og maskinlæring. Du kan for eksempel også bruke SIEM-løsninger i SOAR-systemer (Security Orchestration, Automation and Response) eller sammen med en eksisterende løsning for endepunktsikkerhet eller XDR.