Hva Er SIEM Og Log Management Og Hva Betyr Det For Din IT-Sikkerhet?

Agnes Norrman
By: Agnes Norrman Cybersikkerhet | 6 desember

Dette blogginnlegget handler om en utfordring som mange organisasjoner står ovenfor, nemlig innsamling og lagring av loggfiler. Vi forklarer hvorfor det er nødvendig med loggføring, og hvordan denne utfordringen kan håndteres ved hjelp av log management og SIEM. Du vil lære mer om hva disse systemene er, og hvordan de kan bidra til at din organisasjon kan få et bedre oversikt over IT-systemene dere bruker.

 

Harddisk

Det kan ha vært et sikkerhetsbrudd, uten at dere vet om det

Det kan være vanskelig for virksomheter å vurdere om de har utsatt for sikkerhetsbrudd eller mistet data, blant annet fordi man ikke vet helt hvor man skal se etter det. Bruk av brannmurer, antivirusprogram og prosedyrer for sikkerhetskopiering er gode tiltak, men erfaring forteller oss at det ikke er nok.

Hvis det skjer et sikkerhetsbrudd i organisasjonen din, har du få muligheter til å oppdage det. Hendelsene kan enten skyldes eksterne parter som kommer inn i systemene deres eller uønsket aktivitet innad i virksomheten.

Grunnen til denne usikkerheten er at de fleste organisasjoner ikke har kontroll på hvordan de samler inn og lagrer loggfiler. En vanlig misoppfatning vi har hørt fra mange organisasjoner er at de tror serverne deres logger alt, slik at de bare trenger å gå inn dit og sjekke når det er nødvendig. Dette er imidlertid ikke tilfelle. Noen organisasjoner tror til og med at siden de aldri har hatt noen problemer, trenger de ikke denne innsikten.

Smart CTA Risk NO


Bruk loggene til å få oversikt over hendelser

Loggfiler blir automatisk opprettet og er en tidsstemplet dokumentasjon av hendelser i et system, program eller en annen ressurs (for eks. en server). Nesten alle IT-systemer produserer loggfiler.

Loggfiler er verdifulle for organisasjoner fordi de dokumenterer og gjør det mulig å spore handlinger, kommunikasjon og adferd i et system, program eller annen enhet. Hvis det har skjedd et cyberangrep, kan loggfiler bli brukt når man etterforsker og analyserer hvor angrepet kom fra og effekten det har hatt på IT-infrastrukturen.

BrugerLogs

Log management handler om å samle inn relevante logger fra de viktigste systemene og ressursene i organisasjonen. Deretter blir disse loggene lagret på ett sted, hvor ansvarlige fra IT-avdelingen kan se dem. Ved å samle inn og lese loggene, kan de se hvordan de ulike systemene fungerer til vanlig, og dermed også kunne reagere når det skjer noe uvanlig.

Å analysere logger er imidlertid ofte en manuell oppgave som kan være veldig tidskrevende, og den blir derfor ofte ikke gjort. I tillegg blir analysen vanligvis utført etter at hendelsene har skjedd, noe som betyr at problemet bare kan bli løst i etterkant. Et SIEM-system kan være løsningen på dette problemet.

SIEM er et automatisert alarmsystem

Etter at log management-systemet samler inn og lagrer data, er det viktig å få ut meningsfull og tidsriktig informasjon fra systemet. Det er her et SIEM-system kommer inn i bildet.

Ved å kombinere teknologien bak hendelseshåndtering (event management) og sikkerhetshåndtering (security information), vil SIEM identifisere, kategorisere og analysere hendelsene som finnes i loggfilene.

Et SIEM-system gir altså IT-avdelingen rapporter om sikkerhetsrelaterte hendelser, som for eksempel vellykkede og mislykkede innlogginger. Samtidig kan det også sende ut varsler hvis analysen viser at det pågår en hendelse utenom det vanlige, og som er i strid med reglene i systemet som er satt i forkant.

En av ulempene med SIEM derimot, er at prosessen er ressurskrevende. SIEM-systemer er faktisk ikke tilgjengelig for alle bedrifter på grunn av store ressurskrav, som penger og tid. I tillegg krever SIEM at organisasjonen er i stand til å opprettholde og drive SIEM-systemet etter at det har blitt implementert, noe som krever flere ressurser og et spesifikt sett med ferdigheter.

Hos CyberPilot er vi klar over denne utfordringen og har utviklet CyberPilot SIEM, et produkt alle organisasjoner kan implementere. CyberPilot SIEM er en komplett SIEM-løsning til organisasjonen din. Det kan også fungere som et tillegg til SIEM-systemer du allerede har.

Klik

 

Bruk log management/SIEM for å overholde GDPR

Ønsker organisasjonen din å forebygge, oppdage og reagere på sikkerhetshendelser, anbefaler vi log management og SIEM på det sterkeste.

En god grunn til å implementere disse er for å oppfylle kravene i GDPR i større grad. Siden de to systemene skaffer informasjon om hvordan IT-systemene dine blir brukt, vil de gi deg en rapport om hvem som har tilgang på personopplysninger i din organisasjon. Et slikt oversikt kan hjelpe deg med å oppfylle kravene til personvernforordningen.

Det er imidlertid viktig å understreke at behovet for enten log management eller SIEM varierer fra organisasjon til organisasjon. Hvis organisasjonen din vil ha et system som samler alle logger på ett sted, anbefaler vi et log management-system. Hvis du har behov for å bruke loggene til å håndtere IT-sikkerhet, anbefaler vi SIEM. En ting å huske på er at log management må implementeres før du kan implementere et SIEM-system.