IT-säkerhet Verksamhetsnytta

Att införa en SIEM-lösning: Varför SIEM?

Del 1 i vår serie med tips och råd för organisationer som planerar att införa en SIEM-lösning.

Säkerhetshoten fortsätter att öka och hackarnas angreppsmetoder blir alltmer sofistikerade. I dessa tider blir det allt viktigare att upptäcka och avvärja säkerhetshot i tid. Följ med oss i en tvådelad artikelserie där vi först diskuterar varför organisationer bör införa en SIEM-lösning (security information and event management) och i del 2 fortsätter med vad de bör tänka på när de utvärderar olika lösningar.


Den senaste Verizon Data Breach Report konstaterar att ”68 procent av intrången tar månader eller längre tid att upptäcka. 87 procent av de undersökta intrången ledde till att data äventyrades inom några minuter efter att angreppet ägt rum.

Verizon Data Breach Report

Hackers använder ofta metoder som går obemärkt förbi en security operations center (SOC). I många fall upptäcks dataintrång av en tredje part som rapporterar det till organisationen och som då tillsätter en forensisk undersökning. Vid ett stort antal angrepp tar det mycket kort tid att komma över den information man riktat in sig på. Trots det kan det ta månader att komma på hur man gått till väga och vilka vägar som tagits genom nätverket samt hur informationen förts ut. Vid det laget är informationen sedan länge borta.

Dessa angrepp lämnar spår även om en SOC misslyckas med att analysera tillvägagångssättet. Sedan strikta efterlevnadsbestämmelser som till exempel dataskyddsförordningen GDPR trätt i kraft har IT-säkerhetslandskapet fått en ny dimension. Organisationer söker lösningar som upptäcker och tar itu med incidenter innan de blir kritiska, och SIEM-lösningar är väl rustade att göra det.

 

Tre skäl till varför organisationer behöver en SIEM-lösning:

  • Djupgående insyn i nätverksincidenter:
    Troligtvis använder din organisation en handfull olika säkerhetslösningar i ert nätverk. Sådana lösningar sträcker sig från brandväggar, IDS/IPS, sårbarhetsskanning, antivirus och så vidare. Vad ni behöver är en konsoliderad vy över alla säkerhetshändelser som inträffar i nätverket så att ni enkelt kan koppla samman separat information som indikerar ett möjligt angrepp. En SIEM-lösning samlar loggdata från hela nätverket, extraherar meningsfull information från loggarna, jämför olika händelser för att upptäcka angreppsmönster och hjälper er att söka loggdata för orsaksanalys, något som ger en fördjupad insyn i vad som händer i nätverket. Detta hjälper till att förebygga eller bromsa intrång så tidigt som möjligt.
  • Kontinuerlig audit är en nyckelfaktor
    När det gäller att upptäcka och avvärja angrepp är det viktigt att övervaka förändringar som kan ha påverkan på säkerheten. Även om ni inför strikta säkerhetspolicyer som brandväggsregler, åtkomstkontrollistor, gruppmedlemskapsbehörigheter och så vidare, måste ni kontinuerligt följa upp eventuella förändringar i dessa konfigurationer. En SIEM-lösning erbjuder regelbunden rapportering som hjälper er att kontinuerligt granska händelser för att validera policyefterlevnad för GDPR andra regelverk och upptäcka kritiska konfigurationsändringar eller ovanliga användarbeteenden för att avvärja säkerhetshoten.
  • Säkerhetssamordning
    Organisationer använder olika lösningar för att underlätta sin IT-drift. Helpdesk-programvara används till exempel för att hantera support och nätverksövervakning för nätverksdriften. En SIEM-lösning bör integreras med sådana lösningar för att göra säkerhetsfunktionerna så effektiva som möjligt. Integrering med helpdesk-lösningar gör det snabbare att komma till rätta med incidenter och att säkerställa ansvarighet.

Nästa del (2): Vad ska du tänka på när du väljer SIEM-verktyg?

Vill du ha mer tips?

Läs vår e-bok The absolute guide to SIEM för att lära dig mer om hur en SIEM-lösning kan stärka ert nätverksskydd..

The Absolute guide to SIEM  Ladda ner

 

Tobias Wedin

Tobias är Pre Sales Engineer med inriktning på säkerhet på Inuit.