Så Stärker SIEM Och Logghantering Er IT-Säkerhet

Agnes Norrman
By: Agnes Norrman Cybersäkerhet | 7 december

I det här blogginlägget tar vi upp en utmaning som många organisationer har idag: insamling och lagring av loggfiler. Vi kommer att argumentera varför det är nödvändigt, och hur uppgiften kan genomföras genom att introducera de två systemen logghantering och SIEM. Du kommer att lära dig vad de olika system kan, och hur de kan hjälpa din organisation att bibehålla en bättre överblick över era IT-system.

Ditt företag kan ha haft ett dataintrång utan att ni vet om det

Många företag kan ha svårt att bedöma om de har utsatts för säkerhetsincidenter eller förlorat data, för de vet inte vart de ska leta efter den typen av information. Brandväggar, antivirus och säkerhetskopiering är alla bra åtgärder till dina system, men erfarenhet visar att det inte är tillräckligt.

Om ett dataintrång skulle ske i din organisation har du få möjligheter att upptäcka och reagera på det. Ett dataintrång kan antingen bero på att externa parter tar sig in i företagets system eller så har det varit oförsiktigt beteende inifrån företaget, från en av de anställda.

Dina servrar loggar inte allt

Grunden till att denna osäkerhet existerar är för att de flesta organisationer inte har kontroll över hur de samlar in och lagrar sina loggfiler. En missuppfattning som vi har hört från många organisationer är tron om att deras servrar loggar allt, så de enkelt kan gå tillbaka och läsa loggarna om det skulle behövas. Men, så fungerar det tyvärr inte. En del organisationer kan till och med argumentera för att de inte behöver mer information, eftersom de aldrig haft problem tidigare.

Minimera risken för dataintrång

Hela tiden kommer det nya sätt någon eller något kan komma åt din data, utanför alla dina säkerhetsåtgärder. Därför måste era sårbarheter, och era metoder för att skydda er utvärderas kontinuerligt, så att du vet vilka varningssignaler du ska leta efter.

Att analysera loggar, kan ge er organisation mycket värdefull information, när det kommer till säkerhet, medvetenhet och  förståelse för hur ert nätverk beter sig. Men det är en process som kräver mycket tid och underhåll. Det behövs mycket input från specialister – både tekniska och icke-tekniska för implementering. Därför föreslår jag att du får hjälp av experter för projektet.

Smart CTA Risk SE

Använd logghantering för att få en karta över kommunikationen

En logg fil, i ett IT-sammanhang, skapas automatiskt och är en dokumentation, med en tidsstämpel, över vad som pågår i ett system, en applikation eller en resurs (t.ex. en server). Nästan alla IT-system producerar loggfiler.

Loggfiler är värdefulla för organisationer eftersom de skapar ett dokumenterat spår av åtgärder, kommunikation och beteenden inom ett system.

”Om en cyberattack skulle inträffa kan loggfilerna användas när man undersöker och analyserar var attacken kom ifrån, samt hur det påverkade IT-systemen”.

Logghantering, eller Log Management, handlar om att samla in relevanta loggar från organisationens viktigaste system. Därefter lagras alla loggar på en central plats. Härifrån kan innehållet granskas av IT-avdelningen. Genom att samla in och läsa loggarna kommer man att lära känna systemet, så man vet hur det fungerar under normala omständighet, vilket gör att man får möjlighet till att reagera när man ser något ovanligt.

Ha en policy för logghantering på plats

Nyckeln till att kunna analysera loggar, med ett säkerhetsfokus,  är att förstå det som pågår utanför en SIEM -produkt. Det kan vara frågor så som:

  • Vilka granskningar ska göras?

  • Hur får vi en PowerShell-logg?

  • Vilka händelser kan sorteras bort?

  • Vilken policy och standard har företaget?

  • Vem ansvarar för alarmen?

  • Vem ska hantera utvärdering av personalen?

  • Hur ska kollegorna informeras?

  • Hur ska vi skala på teknisk nivå?

  • Vem är ansvarig för att hitta de bästa lösningarna?

  • Och mycket, mycket mer

Att analysera loggfiler är oftast en manuell uppgift, som gör att den blir mycket tidskrävande och därmed lätt hoppa över, om man inte vet hur viktigt det är. Dessutom sker analysen normalt efter att en incident har inträffat, vilket innebär ett problem bara kan lösas i efterhand. En lösning på detta problem är SIEM system.

Du behöver logghantering innan du implementerar SIEM

Det är viktigt att poängtera att behövet för logghantering och SIEM skiljer sig mellan verksamheter. Om din verksamhet söker ett system som kan samla in alla loggar till en central plats, då rekomenderar vi ett Log Managment system. Men om din verksamhet behöver använda loggfiler, för att hantera IT-säkerhet, rekomenderar vi också SIEM. Det är viktigt att komma ihåg att Log Management måste implenteras före ett SIEM system kan implemnteras.

Logghantering för insamling – SIEM för säkerhet

Det finns två viktiga skillnader mellan de två olika systemen. Logghantering används främst för att samla in loggdata, medan SIEM primärt används för säkerhet. Ett logghanteringssystem kan användas för säkerhet, men det kan vara en mycket komplicerat och tidskrävande att få det att fungera. Fördelen med SIEM är att analysen görs i realtid, vilket inte gäller för logghantering.

Men det betyder inte att SIEM-system saknar nackdelar. En organisations IT-system förändras eller uppdateras ständigt, vilket kan skapa många falska larm i ditt SIEM-system. Det kan därmed skapa mycket arbete för dem som arbetar med systemet, eftersom det kan vara svårt att sortera mellan vad som är ett verkligt hot, och vad som inte är, när man får ett larm.

Personalen på IT-avdelningen måste därför kunna känna igen vad som är en vanlig händelse och vad som inte är det. Det är först när man med säkerhet vet hur den normala aktiviteten ser ut, som det är möjligt att upptäcka hot när något onormalt händer. Därför kan ett logghantering system vara till hjälp för att lära sig normen. Man skulle kunna säga att logghantering är kakan, och SIEM är glasyren.

SIEM är ditt automatiserade larmsystem

När data har samlats in i logghanteringssystemet, är det viktigt att veta hur vi kan läsa den värdefulla informationen. SIEM (Security Information and Event Management) är ett system som har utvecklats från logghantering.

SIEM kombinerar tekniken inom hantering av säkerhetshändelser med hantering av säkerhetsinformation. SIEM identifierar, kategoriserar och analyserar incidenter och händelser från loggfiler, automatiskt.

Fördelarna med SIEM

Ett SIEM-system levererar rapporter om säkerhetshändelser till IT-avdelning. Rapporten kan till exempel innehålla information om lyckade och misslyckade inloggningar. Systemet kan också skicka varningar om en analys skulle visa att en pågående händelse i ett system bryter mot förbestämda regler – något som indikerar ett eventuellt dataintrång.

All data som finns på nätverket som ligger utanför det förbestämda ramverket måste då raderas. Detta inkluderar allt från systemkonton som är länkade med AD (Active Directory), användare som har tillgång till Hola VPN, enheter som inte ska vara på nätverket, och tidsfördröjningar som gör att Kerberos-begäran inte lyckas.

Nackdelarna med SIEM

En av nackdelarna med SIEM är att det kräver mycket reseurs. På grund av den mängd tid och pengar som SIEM kräver för att underhållas, är systemet utom räckhåll för många organisationer. Dessutom behöver ett SIEM system att organisationen kan fortsätta underhålla och driva systemet efter att det har blivit implementerat, vilket också kräver mer resurser och en hel del specialkompetens.

Introduktion till CyberPilot SIEM - en komplett logghantering och SIEM -lösning

På CyberPilot är vi medvetna om denna utmaning och har därför utvecklat  CyberPilot Log-management, en produkt som alla organisationer kan implementera. CyberPilot SIEM är en komplett SIEM-lösning för din organisation, men kan också fungera som ett tillägg till redan befintliga SIEM-system.

Använd logghantering/SIEM för att efterleva GDPR

Vi rekommenderar logghantering och/eller SIEM om din organisation vill förebygga, upptäcka och kunna agera på säkerhetsincidenter.

En stark anledning till att implementera de två systemen är att de kan hjälpa er att följa GDPR. Eftersom de olika systemen ger information om hur dina IT-system används, får ni en rapport om vem i er organisation som har tillgång till olika typer av personuppgifter. En typ av övervakningsprocess som kan hjälpa er att uppnå regelefterlevnad.