Vad är ett SIEM - system? •Secorum
Vad är ett SIEM-system?
SIEM, SIM
21752
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21752,page-parent,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive
SIEM data intrång

Vad är SIEM –

och vad betyder det för en verksamhet?

Security Information and Event Management – vad är det egentligen för en verksamhet? SIEM är, enkelt uttryckt, att ta in information från många olika program eller hårdvaror för att leta efter tecken på intrång, eller annan skadlig verksamhet. När en indikation har upptäckts kan regler köras som larmar, eller i vissa fall, åtgärdar problemen (genom att exempelvis blockera ett IP-nummer i brandväggen).

 

De flesta organisationer har olika behov och förutsättningar, varför ett SIEM-projekt ofta tar längre tid att införa i en organisation än andra, vanligare, programvaror. Innan ett SIEM-projekt påbörjas behöver minst följande frågor besvaras:

  • Vad är syftet med lösningen? Om syftet är väl beskrivet ökar sannolikheten för att lyckat projekt väsentligt.
  • Vem är beställare? Projektet måste ha en utpekad motpart som dessutom har befogenheter att ta beslut för hur projektet ska gå framåt, då frågor uppstår.
  • Vem är mottagare av projektet? Det kommer att behövas utbildad personal som tar emot överlämningen av både den tekniska lösningen och analys-funktionen. Om organisationen är för liten för att ha en teknisk förvaltning om två till tre tekniker, tre eller fler analytiker plus administrativ personal kanske organisationen kan outsourca SIEM-verksamheten istället?
  • Vad skulle lösningen ersätta? Finns det manuella kontroller idag som lösningen skulle kunna ersätta? I så fall kan detta ha stor påverkan på om en ny lösning är lönsam eller inte.

SIEM-lösningen hjälper till att leta efter kända okända hot. Det vill säga, vi vet vad vi ska leta efter och kan skriva regler för detta. En stor utmaning kan dock vara så kallade okända okända hot, där vi inte vet vad vi letar efter. SIEM-analytiker brukar hantera kända okända hot, där det finns en mall för vad som är godkänt och vad som ska undersökas vidare. De reagerar ofta på larm från SIEM-programvaran och undersöker dessa för att se om det är någonting som ska åtgärdas, eller om det var ett falskt larm. Att leta okända hot görs ofta av ett så kallat Hunt Team.

 

Hunt Team kan bestå av den personal som normalt är analytiker men som får utpekad tid för att leta upp nya hot. I större organisationer är det ofta utpekade personer som har större kunskap än de flesta analytiker om nätverksintrång och hur dessa kan spåras. Det måste finnas plats för Hunt Team-aktiviteter inom organisationen för att den ska utvecklas och lära sig. Om analys-teamet bara består av två personer kan en person gå som Hunt Team varje tisdag förmiddag och den andre varje torsdag förmiddag, exempelvis.

 

Organisationen måste också vara tydlig med vad den förväntar sig att SIEM-gruppen ska leverera. Vilken typ av rapporter, när ska de levereras, hur ska de levereras (får mottagarna egna konton i SIEM-programvaran för att hämta dessa, skickas de ut med epost eller?) och vilka är mottagarna för dessa?

 

Det finns en stor skillnad i hur olika SIEM-programvaror fungerar. Vissa tolkar informationen från källorna så snart det går och normaliserar den så att exempelvis alla datum använder samma format. Den kan kategorisera informationen så att exempelvis inloggningar från olika system (som ser helt olika ut när man tittar på den informationen) blir sökbara som inloggningar oavsett vilket system som genererade dem. Informationen kan förberedas på många olika sätt så att när den hamnar i SIEM-systemet är det enkelt att göra sökningar över alla ingående komponenter. Andra SIEM-system samlar in informationen och lägger ner den i minnet och hoppas att de kan hantera sökningarna som kommer ändå genom att tolka informationen när den söker istället för när den läggs in i SIEM-systemet. Det finns inget rätt eller fel här utan varje SIEM-installation har olika krav beroende på vad som ska anslutas, hur sökningarna ska ske, hur ofta sökningarna ska ske, vad som ska sökas på och mycket annat. Ju mer information som finns tillgängligt innan köp av SIEM-produkt, desto bättre kan produkten matchas mot kraven.

 

Ett exempel på ett krav som ofta pekar på en viss typ av lösning är om informationen ska korreleras – alltså om information från olika programvaror ska kunna ingå i en och samma regel. Ett exempel är om en inloggning sker i Windows i ett rum där personen inte har dragit sitt kort för att komma in i. Här används information från Windows inloggningsserver samt inpasseringssystemet. De programvarorna har med stor sannolikhet inte byggts för att fungera tillsammans på det här sättet, men ett SIEM-system kan bygga logik på informationen som dessa levererar. Korrelering kräver inte, men underlättas av, att tolkning av informationen sker tidigt.

 

Ytterligare ett krav som kan påverka beslutet om vilket SIEM-system som ska väljas är vilka ska använda systemet? Om det bara är analytikerna, analytikerna och driften, eller ska även inköpsavdelningen eller logistikavdelningen använda systemet? Eftersom ett SIEM-system har möjlighet att bygga logik ovanpå andra applikationer kan nya användningsområden öppnas för hela företaget. SIEM-verktyg är vanligtvis också mycket bra på att separera information, så att inköpsavdelningen bara får se viss information, logistikavdelningen en annan, o.s.v.

 

Ett felaktigt val av SIEM-verktyg kan äventyra möjligheterna för SIEM-gruppen att leverera förväntat resultat och, i vissa fall, få hela projektet att läggas ner. Genom att arbeta med en väl beprövad metod för införande av SIEM-projekt kan Secorum ge er de bästa förutsättningarna för ett lyckat projket.

 

Den modell som Secorum använder vid framtagandet av SIEM-lösningar är samma modell som används vid polisiär eller underrättelseverksamhet.

Modellen bygger på att informationshanteringen delas upp i olika steg, där kontinuerlig återkoppling och uppdatering av samtliga steg kontinuerligt gör processen bättre. Ett SIEM-verktyg är bara ett verktyg – personal och processer måste kunna lära sig och förändras i en organisation om den ska kunna leverera hög kvalité under lång tid.