Vad är SIEM (Security Information & Event Management)?
Företag står inför både kända och okända cyberhot på grund av ökad digitalisering, hybrida arbetsmodeller och en mängd olika slutenheter. Därför är säkerhetskoncept som SIEM (Security Information & Event Management) mer avgörande än någonsin. Genom att logga, analysera och bearbeta system- och nätverksdata kan säkerhetshot snabbt identifieras, spåras och motverkas.
Vad är SIEM?
Förkortningen SIEM står för Security Information & Event Management, vilket ger företag mer transparens och kontroll över sina egna data. Med ett standardiserat säkerhets- och skyddskoncept kan misstänkta säkerhetsincidenter, attacktrender och hotmönster identifieras på ett tidigt stadium. Detta möjliggörs genom verktyg som loggar och analyserar en mängd olika händelse- och processdata i alla lager av företaget, från slutenheter via brandväggar och IPS (Intrusion Prevention Systems) till nätverks-, moln- och servernivåer.
SIEM integrerar både SIM (Security Information Management) och SEM (Security Event Management) för att bedöma säkerhetsinformation och incidenter kontextuellt och korrelativt i realtid, skapa varningar och utlösa säkerhetsåtgärder. Detta tillvägagångssätt gör det möjligt att tidigt upptäcka och minska potentiella sårbarheter och säkerhetsöverträdelser, samt att snabbt förhindra eventuella angreppsförsök. Begreppet SIEM etablerades 2005 av Gartner. Viktiga delar i dagens SIEM-lösningar är UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) och SOAR (Security Orchestration, Automation and Response).
Varför är Security Information & Event Management viktigt?
Idag består ett företags IT-infrastruktur inte längre bara av en server och ett fåtal slutenheter. Även medelstora företag använder mer eller mindre komplexa företagsnätverk som består av ett stort antal internetanslutna slutenheter, ett eget mjukvarulandskap samt flera servrar och molntjänster. Till detta kommer nya arbetsmodeller som t.ex. att arbeta hemifrån eller Ta med din egen enhet (BYOD).
Ju mer komplex IT-infrastrukturen är, desto fler sårbarheter kan uppstå om cybersäkerhet är otillräcklig. Allt fler företag förlitar sig därför på holistiska skydd mot ransomware, spionprogram och scareware samt mot nya former av cyberattacker och nolldagarsutnyttjande.
Betydelsen av säkerhetslösningar som SIEM ökar för företagen, och inte bara på grund av akuta hot. Strikta dataskyddskrav enligt GDPR eller certifieringar som BASE II, ISO eller SOX kräver nu till och med ett koncept för data- och systemskydd. Detta kan ofta bara uppnås genom SIEM eller liknande strategier som EDR och XDR.
Genom att samla, utvärdera och länka säkerhetsrelevanta logg- och rapportdata i en central plattform gör SIEM det möjligt att analysera data från alla applikationer och nätverksnivåer på ett säkerhetsorienterat sätt. Ju tidigare du upptäcker hot eller säkerhetsläckor på detta sätt, desto snabbare kan du minska riskerna för dina affärsprocesser och skydda företagsdata**. SIEM erbjuder därför en betydande effektivitetsökning när det gäller efterlevnad och skydd i realtid mot hot som utpressningstrojaner, skadlig kod eller datastöld.
Hur fungerar SIEM?
Termen “SIEM” introducerades 2005 av Amrit Williams och Mark Nicolett på Gartner. Enligt National Institute of Standards and Technologys officiella definition är SIEM en applikation som samlar in säkerhetsdata från de olika delarna av ett informationssystem och visar dem på en central instrumentpanel på ett organiserat och handlingsorienterat sätt. Till skillnad från en brandvägg, som skyddar mot akuta cyberhot, bygger SIEM på en hållbar, proaktiv datainsamling och analys som även kan avslöja dolda attacker eller trender i hotbilden.
Ett SIEM-system kan implementeras lokalt, som en molnlösning eller som en hybridvariant med lokala och molnbaserade komponenter. Processen från datainsamling till säkerhetslarm består av följande fyra steg:
Steg 1: Samla in data från flera källor i systemet
SIEM-lösningen registrerar och samlar in data från olika nivåer, lager och komponenter i din IT-infrastruktur. Detta inkluderar servrar, routrar, brandväggar, virusprogram, switchar, IP-adresser och IDS samt slutenheter som är integrerade med endpoint-säkerhet eller XDR (utökad detektering och respons). Anslutna loggnings-, rapporterings- och säkerhetssystem används för detta ändamål.
Steg 2: Aggregera insamlade uppgifter
Insamlade data sammanfattas på ett tydligt och transparent sätt i det centrala användargränssnittet. Genom att samla in och organisera via en instrumentpanel elimineras behovet av tidsintensiv analys av olika loggar och rapporter från enskilda applikationer.
Steg 3: Analysera och korrelera aggregerade data
Applikationen analyserar de data som har samlats in och sammanfattats för kända signaturer för virus och skadlig kod, misstänkta incidenter som inloggningar från VPN-nätverk eller felaktiga inloggningsuppgifter. Den lyfter också fram onormal användning, tvivelaktiga bilagor eller andra iögonfallande aktiviteter som har något att göra med säkerhet. Genom att länka, organisera, korrelera och klassificera data underlättar applikationen snabb spårning och isolering av infiltrationsvägar, vilket gör det möjligt att mildra eller till och med neutralisera hot. Genom att tilldela säkerhetsnivåer kan den dessutom snabbt hantera både öppna och dolda attacker, samtidigt som den utesluter godartade avvikelser.
Steg 4: Upptäcka hot, sårbarheter eller säkerhetsöverträdelser
Om ett hot upptäcks möjliggör automatiserade varningar snabbare svarstider och omedelbar neutralisering av hotet. I stället för att leta länge efter källan till faran eller avvikelserna kan du snabbt lokalisera dem genom varningen och vid behov isolera dem i karantän. Dessutom är det möjligt att rekonstruera tidigare hot så att säkerhetsrutinerna kan förfinas.
I kombination med en XDR-lösning med integrerad AI kan försvarsmekanismer som karantän eller blockering av slutenheter eller IP-adresser implementeras särskilt snabbt med hjälp av fördefinierade, automatiserade arbetsflöden. Hotfeeds i realtid, som ständigt matar in uppdaterade signaturer och säkerhetsdata, gör det också möjligt att upptäcka nya typer av attacker och hot i ett tidigt skede.
En översikt över de viktigaste SIEM-elementen
Olika samordnade komponenter används för att säkerställa fullständig datainsamling och analys som en del av en SIEM-lösning. Dessa inkluderar:
| Komponent | Funktioner |
|---|---|
| Central instrumentpanel | ✓ Presenterar all insamlad data på ett handlingsorienterat sätt ✓ Ger datavisualiseringar, aktivitetsövervakning i realtid, hotanalys och handlingsalternativ ✓ Individuellt definierbara hotindikatorer, korrelationsregler och meddelanden |
| Loggningstjänster och rapportering | ✓ Fånga och logga händelsedata från hela nätverket samt från slutpunkten och servernivån ✓ Rapportering i realtid om efterlevnad av standarder som PCI-DSS, HIPPA, SOX eller GDPR för att uppfylla efterlevnads- och dataskyddsregler ✓ Övervakning och loggning i realtid av användaraktivitet inklusive intern och extern åtkomst, privilegierad åtkomst till databaser, servrar och databaser samt datautträngning |
| Korrelation och analys av hotdata och säkerhetsincidenter | ✓ Händelsekorrelation och säkerhetsdataanalys kan användas för att koppla samman incidenter från olika nivåer, identifiera kända, komplexa eller nya former av attacker och minska upptäckts- och svarstider ✓ Forensiska undersökningar av säkerhetsincidenter |
Fördelarna med Security Information & Event Management (SIEM)
På grund av de ökande cyberriskerna för företag räcker det oftast inte längre med enkla brandväggar eller virusprogram för att skydda nätverk och system. Särskilt när det gäller hybridstrukturer med flermoln och hybridmoln krävs sofistikerade lösningar som EDR, XDR och SIEM eller, helst, en kombination av två eller flera tjänster. Detta är det enda sättet att på ett säkert sätt använda slutenheter och molntjänster och upptäcka hot i ett tidigt skede.
De fördelar som SIEM kan erbjuda dig inkluderar:
Detektering av hot i realtid
Tack vare det holistiska synsättet i form av systemomfattande datainsamling och utvärdering kan hot snabbt identifieras och förebyggas. På grund av den minskade medeltiden för upptäckt (MTTD) och medeltiden för svar (MTTR) kan känsliga data och affärskritiska processer skyddas på ett tillförlitligt sätt.
Uppfyllande av krav på efterlevnad och dataskydd
SIEM-system säkerställer en IT-infrastruktur som är anpassad till efterlevnad genom detaljerad loggning och hotanalys. Denna infrastruktur uppfyller alla viktiga säkerhets- och rapporteringsstandarder som krävs för att lagra data på ett säkert sätt och bearbeta dem på ett granskningsvänligt sätt.
Tids- och kostnadsbesparande säkerhetskoncept
Genom att visa, visualisera, analysera och tolka alla säkerhetsrelevanta data centralt och tydligt i ett användargränssnitt ökar SIEM effektiviteten i din IT-säkerhet. Detta minskar den tid och de kostnader som annars är förknippade med konventionella manuella säkerhetsåtgärder. Användningen av automatiserad och, i vissa system, AI-förstärkt dataanalys och korrelation påskyndar förebyggandet av hot. Höga kostnader i samband med reparation av infekterade system eller ta bort skadlig kod kan också undvikas med förebyggande SIEM-lösningar.
Möjligheten att använda SIEM som SaaS (programvara-som-en-tjänst) eller via Managed Security Services gör det också möjligt för mindre företag med begränsade resurser eller utan egen IT-säkerhet att på ett tillförlitligt sätt kunna skydda företagets nätverk.
Automatisering med artificiell intelligens och maskininlärning
SIEM-system möjliggör en ännu högre grad av automatisering och intelligent hotförebyggande genom artificiell intelligens och maskininlärning. Du kan till exempel använda SIEM-lösningar i SOAR-system (Security Orchestration, Automation and Response) eller tillsammans med en befintlig endpoint security- eller XDR-lösning.