SIEM lokitiedon hyödyntämisessä

Teemakuukauden aikana on käsitelty lokitusta ja lokienhallintaa monelta kannalta. Tässä osuudessa laajennetaan hiukan aihepiiriä ja käsitellään turvallisuustiedon ja -tapahtumienhallintaa, eli SIEM:iä. Lyhenne johdetaan termistä Security Information and Event Management.

Kehittyneimmillään SIEM tarjoaa työkalut kaikkiin lokitiedon yleisiin hyödyntämistapoihin alkaen yksinkertaisesta raportoinnista ja lokien tutkimisesta, aina monimutkaisten tapahtumaketjujen tunnistamiseen ja tilastolliseen analysointiin. SIEM-järjestelmällä on kuitenkin lokitiedon lisäksi usein muitakin syötteitä tehtävänsä toteuttamiseksi.

Mikä se SIEM nyt on?

SIEM-järjestelmä havainnoi yhden tai useamman tietoteknisen järjestelmän turvallisuuteen liittyviä tapahtumia ja tarjoaa työkalut havaintojen jatkokäsittelyyn sekä tietoa ympäristöstä käsittelyn tueksi. Siinä lienee SIEMin tehtävä yhteen köpelöön virkkeeseen puristettuna. Vaatinee vielä hieman tarkennusta..

SIEM-järjestelmä koostuu kolmen tyyppisistä toiminnoista: havaintojen ja tiedon keruu, prosessointi ja tallentaminen. Toteutuksesta riippuen nämä toiminnot voivat sijaita yhdellä palvelimella, tai lukuisilla tavoilla hajautettuina.Tiedonkeruu kohdistuu tyypillisesti valvottavan järjestelmän tapahtumien tuottamaan lokitietoon ja ympäristön verkkoliikenteen seurantaan. Näiden lisäksi voidaan kerätä erilaisina syötteinä ympäristöön liittyvää tietoa käsittelyn tueksi, kuten haavoittuvuustietoja tai havaintoja rikastavia tietoja ympäristöstä. Rikastavia tietoja voivat olla vaikkapa palvelinten ohjelmistoversiot tai IP-osoitteet laitetiedoiksi kuvaava taulukko.

Tiedon prosessointi ja havaintojen jatkokäsittely voidaan myös jaotella kolmeen osaan: automaattinen käsittely, manuaalinen analysointi ja reagoinnin työnkulku. Eli ensin järjestelmä tai ihminen tulkitsee havaintoja, sen jälkeen suoritetaan erilaisia jatkotoimenpiteitä. Tavoitteena tietysti on minimoida manuaalisen analysoinnin ja käyttäjän toimia vaativien reaktioiden osuus tiedon prosessoinnissa.

Tiedon tallentamisen hoitavia komponentteja en käsittele tässä kirjoituksessa näitä muutamaa riviä enempää, mutta niiden asia kannattaa pitää mielessä SIEM-toteutusta suunnitellessa. Tarjotakseen suurimman hyödyn, SIEM tarvitsee paljon tietoa ja havaintoja. Tämä tarkoittaa tietysti paljon kapasiteettia tallennukseen, mutta myös sitä että yhteen järjestelmään muodostuu varsin kattava ja tarkka kuva koko valvottavasta ympäristöstä käyttäjineen. Tietojen tallennusajat ja pääsyoikeudet on siis syytä pitää kontrollissa.

Eli kerätään, tallennetaan ja hyödynnetään tietoja. Kuulostaa varmaan ihan tutulta.

Mihin sitä tarvitaan?

SIEM parantaa ongelmien havainnointi- ja reagointikykyä. Tähän perusajatukseen varmaankin johtuvat kaikki perustelut SIEM:in tarpeellisuudesta. Lyhyemmät ongelmatilanteiden aiheuttamat tuotantokatkot sekä optimoidummat henkilöresurssit valvonnassa, vianselvityksessä ja -korjauksessa tietysti tehostavat toimintaa monella osa-alueella. Tämän lisäksi saadaan parhaimmillaan muutakin toimintaa tehostettua, jos osataan määritellä sopivia mittareita SIEM-järjestelmän keräämän tiedon pohjalta. Harva SIEMin käyttöönottanut organisaatio on vielä näin pitkällä järjestelmänsä kanssa, mutta mahdollisuudet ovat kuitenkin olemassa.

Tällä hetkellä SIEM on siis käyttäjällensä vakuutuksen tyyppinen turva. Yksikin selvitetty tietomurto tai ajoissa löydetty haittaohjelma saattaa hyvin tuoda takaisin koko investoinnin. Ei kestäne kuitenkaan kauaa, kun omaan toimintaansa SIEM:in avulla lisänäkyvyyttä saaneet organisaatiot alkavat saada siitä kilpailuetua.

Mitä SIEM-käyttäjät tekevät?

Käytettävät työkalut SIEM-järjestelmän prosessoinnin manuaaliseen osuuteen riippuvat siitä minkälaista tehtävää käyttäjä on suorittamassa. Tyypillisiä kriteereitä työkalujen valintaan on kolme: tutkittavan tiedon jalostusaste ja laaja-alaisuus sekä havainnoimisen nopeus.

Valvomotoimintaa suorittavassa roolissa on oleellista saada nopeasti havaintoja laaja-alaisesti koko valvottavasta ympäristöstä. Tehtävä suoritetaan siis pitkälti automaattisesti prosessoitujen havaintojen pohjalta ja vähän lisäjalostusta manuaalisesti tekemällä. Tarvetta tai kapasiteettia yksityiskohtien selvittämiseen ei juuri ole.

Turvallisuudesta tai ICT:stä kokonaisuutena vastaavan henkilön tehtävissä olennaista on saada pitkälle jalostettua tietoa laaja-alaisesti, mutta havainnoimisessa ei varmasti ole kyse sekunneista. Asiantuntijoiden käsittelemät havainnot ja säännöllisesti seurattavat mittarit ovat siis oikeita työkaluja jos käyntikortissa lukee vaikkapa CSO tai CISO.

Ylläpitäjät ja muut asiantuntijatehtäviä suorittavat kaipaavat näkyvyyttä sekä raakaan havaintomateriaaliin että prosessoituun tietoon. Lisäksi havainnoimisen nopeus on näissä tehtävissä tärkeää. Laajuus taas voidaan usein rajoittaa vain vastuualueeseen kuuluviin järjestelmiin. Joskus näkyvyyden rajoittaminen on myös välttämätöntä vaarallisten työyhdistelmien syntymisen ehkäisemiseksi.

Minkälaisia työkaluja SIEM-ylläpitäjät sitten tarvitsevat oman tehtävänsä hoitamiseen? Heillä on käytettävissään kaikki järjestelmän keräämä ja prosessoima tieto ja kaikki sen tarjoamat työkalut. Jotta SIEM-järjestelmä saadaan viritettyä toimimaan organisaation kannalta mahdollisimman tehokkaasti, tulisi kaikkien muiden käyttäjien antaa mahdollisimman paljon palautetta kokemuksistaan, tarpeistaan ja havaitsemistaan ongelmista. Automaation kehittäminen vaatii manuaalista tiedon prosessointia.

Yksi SIEM kiitos.

Nyt on päällisin puolin käsitelty mitä SIEM tekee, miksi sellainen kannattaa hankkia ja miten sitä käytetään. Sitten voikin pistää hankintaprosessin käyntiin: ostetaan tutulta hyvä, tai sitten valitaan lehdistön suosikki, niin homma pelittää. Ideaalitilanteessa tämä saattaa mennäkin näin. Tuotetarjonta on laaja ja useimmat tarjoavat hyvin matalan käyttöönottokynnyksen.

SIEM on kuitenkin järjestelmä joka integroituu usein hyvin laajalle erilaisiin järjestelmiin tai ympäristöihin. On syytä selvittää minkälaisia erityistarpeita omaan ympäristöön integroituminen pitää sisällään. Esimerkiksi täysin staattisen ympäristön valvonta täytyy toteuttaa puhtaasti tarkkailevilla komponenteilla, mitään asentamatta. Äärimmäisen dynaamisessa ympäristössä taas täytyy kyetä automaattisesti yhdistämään lukuisia erilaisia tunnistetietoja havaintoihin, jotta manuaalisessa analyysissa voidaan keskittyä tapahtuneen selvittämiseen osapuolten tunnistamisen sijaan.

Suunniteltaessa SIEM-järjestelmän hankintaa tulee ensin miettiä mikä on se käyttötarkoitus johon järjestelmää ollaan hankkimassa. Minkälaisia asioita sillä halutaan havaita? Mitkä ovat ne eriityispiirteet joita omassa ympäristössä on? Mitä ovat vastuut organisaation sisällä ja ketkä järjestelmää tulevat käyttämään? Kun tavoitteet ja rajoitteet ovat selvillä päästään miettimään järjestelmän vaatimuksia.

Käytettävien havainnointimenetelmien ja tiedonkeruun määritteleminen on kaikkein teknisin kysymys. Mistä lähteistä tietoja kerätään ja miten ne siirretään SIEM-järjestelmään? Painotetaanko havainnoinnissa luotettavuutta vai mahdollisimman vähäistä vaikutusta muuhun ympäristöön? Tämän osuuden miettimisessä kannattaa olla mukana teknistä osaamista valvottavasta ympäristöstä heti alusta alkaen.

Määriteltäessä tiedon prosessointia SIEM-järjestelmässä, kannattaa kysyä mitä halutaan havaita ja miten poikkeama havaittaessa toimitaan? Havaintoja kannattaa tietysti jalostaa automaattisesti mahdollisimman pitkälle. Voidaanko heti automatisoida havaintojen tietosisällön tulkintaa, vai aloitetaanko tilastollisten poikkeamien tarkastelusta? Reaktion ja jatkotoimenpiteiden määrittelyssä taas on tärkeää osoittaa ne oikealle taholle.

Mitä se SIEM luultavasti tulee olemaan?

Spekuloidaan lopuksi hieman minkälaiset ominaisuudet SIEM-järjestelmissä mahdollisesti kehittyvät tulevaisuudessa. Alussa kuvattu SIEM:in perusajatus tuskin tulee muuttumaan, mutta kenties joitain samantyyppisiä järjestelmiä tulee ennen pitkää sulautumaan osaksi SIEM-kokonaisuutta.

Valvottavien järjestelmien kirjo on jo nyt melkoinen. Toistaiseksi SIEM integroituu kuitenkin lähinnä ICT-, verkko- ja joihinkin teollisuusautomaatiojärjestelmiin. Lähitulevaisuudessa SIEM havainnoi myös tietojärjestelmiä suojaavia ja tukevia järjestelmiä, kuten kulunvalvontaa, laajemmin.

SIEM on jatkossa entistä enemmän tilatietoinen. Tapahtumien käsittelyn tueksi kerättävät syötteet laajenevat entisestään. Verkonvalvonta, suorituskyvynvalvonta ja kulunvalvonta ovat tulevaisuudessa suoraviivaisemmin hyödynnettävissä analyysin automatisoinnissa.

Laajeneeko SIEM ennen pitkää järjestelmien valvonnasta koko organisaation turvallisuuskuvan valvontaan? Työntekijöiden raportoimat turvallisuuspoikkeamat ja turvaryhmän linjaukset ovat vähän työläämpi tietolähde integroitavaksi, mutta eivät ollenkaan mahdoton.

Kaikki tässä esitetyt spekulaatiot ovat teknisesti täysin mahdollisia nykyisillä SIEM-tuotteilla. Toistaiseksi niiden toteuttaminen käytännössä on kuitenkin varsin työlästä. Entä tulisiko SIEM-järjestelmästä joskus todella itseoppiva ja omatoiminen? Tuskin. Tekniset edellytykset ovat tällekin olemassa, mutta oikeustoimikelpoisen tahon pitäminen havainnon ja reaktion välisessä päätöksenteossa ei varmaankaan poistu kovin äkkiä.

 

Petri Vesamäki

 

Petri Vesamäki toimii Insta DefSecin Kyberturvallisuusyksikössä verkkoturva-asiantuntijana.
Teksti on julkaistu alunperin Viestintäviraston verkkosivuilla.


Kommentointi

Nimi:
Kommentti: