Vad är SIEM (Security Information & Event Management)?
Företag står inför både kända och okända cyberhot på grund av ökad digitalisering, hybridarbetsmodeller och en mängd olika slutanordningar. Därför är säkerhetskoncept som SIEM (Security Information & Event Management) viktigare än någonsin. Genom att logga, analysera och bearbeta system- och nätverksdata kan säkerhetshot snabbt identifieras, spåras och mildras.
Vad är SIEM?
Förkortningen SIEM står för Security Information & Event Management, vilket ger företag ökad transparens och kontroll över sina egna data. Ett standardiserat säkerhets- och skyddskoncept gör det möjligt att identifiera misstänkta säkerhetsincidenter, attacktrender och hotmönster i ett tidigt skede. Detta möjliggörs av verktyg som loggar och analyserar en mängd olika händelse- och processdata över alla lager i företaget, från slutanordningar via brandväggar och IPS (Intrusion Prevention Systems) till nätverks-, moln- och servernivåer.
SIEM integrerar både SIM (Security Information Management) och SEM (Security Event Management) för att bedöma säkerhetsinformation och incidenter kontextuellt och korrelativt i realtid, skapa varningar och utlösa säkerhetsåtgärder. Detta tillvägagångssätt möjliggör tidig upptäckt och begränsning av potentiella sårbarheter och säkerhetsöverträdelser, samt snabbt förhindrande av eventuella attackförsök. Konceptet SIEM etablerades 2005 av Gartner. Väsentliga delar av dagens SIEM-lösningar inkluderar UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) och SOAR (Security Orchestration, Automation, and Response).
Varför är säkerhetsinformation och händelsehantering viktigt?
Idag består ett företags IT-infrastruktur inte längre bara av en server och några få slutanordningar. Även medelstora företag använder mer eller mindre komplexa företagsnätverk som består av ett stort antal internetanslutna slutanordningar, egen programvarumiljö och flera servrar och molntjänster. Till detta kommer nya arbetsmodeller som distansarbete eller Bring Your Own Device (BYOD).
Ju mer komplex IT-infrastrukturen är, desto fler sårbarheter kan uppstå om cybersäkerheten är otillräcklig. Allt fler företag förlitar sig därför på ett helhetsskydd mot ransomware, spyware och scareware samt mot nya former av cyberattacker och zero-day-exploits.
Säkerhetslösningar som SIEM blir allt viktigare för företag, och inte bara på grund av akuta hot. Stränga dataskyddskrav enligt GDPR eller certifieringar som BASE II, ISO eller SOX kräver nu till och med ett koncept för data- och systemsäkerhet. Detta kan ofta endast uppnås genom SIEM eller liknande strategier som EDR och XDR.
Genom att samla, utvärdera och koppla samman säkerhetsrelevanta logg- och rapportdata på en central plattform gör SIEM det möjligt att analysera data från alla applikationer och nätverksnivåer på ett säkerhetsorienterat sätt. Ju tidigare du upptäcker hot eller säkerhetsläckor på detta sätt, desto snabbare kan du minska riskerna för dina affärsprocesser och skydda företagets data**. SIEM erbjuder därför en betydande effektivitetsökning när det gäller efterlevnad och realtidsskydd mot hot som ransomware, malware eller datastöld.
Hur fungerar SIEM?
Termen “SIEM” introducerades 2005 av Amrit Williams och Mark Nicolett från Gartner. Enligt den officiella definitionen från National Institute of Standards and Technology är SIEM en applikation som samlar in säkerhetsdata från olika delar av ett informationssystem och visar den på en central instrumentpanel på ett organiserat och handlingsinriktat sätt. Detta sammanfattar redan funktionaliteten, eftersom SIEM, till skillnad från en brandvägg som skyddar mot akuta cyberhot, bygger på hållbar, proaktiv datainsamling och analys som också kan avslöja dolda attacker eller hottrender.
Ett SIEM-system kan implementeras lokalt, som en molnlösning eller som en hybridvariant med lokala och molnbaserade komponenter. Processen från datainsamling till säkerhetsvarningar består av följande fyra steg:
Steg 1: Samla in data från flera källor i systemet
SIEM-lösningen registrerar och samlar in data från olika nivåer, lager och komponenter i din IT-infrastruktur. Detta inkluderar servrar, routrar, brandväggar, virusprogram, switchar, IP-adresser och IDS samt slutenheter som är integrerade med endpoint security eller XDR (Extended Detection and Response). För detta ändamål används anslutna loggnings-, rapporterings- och säkerhetssystem.
Steg 2: Sammanställning av insamlade data
Insamlade data sammanfattas på ett tydligt och överskådligt sätt i det centrala användargränssnittet. Genom att samla in och organisera data via en instrumentpanel elimineras behovet av tidskrävande analyser av olika loggar och rapporter från enskilda applikationer.
Steg 3: Analysera och korrelera aggregerade data
Applikationen analyserar de data som har samlats in och sammanfattats för kända virus- och skadlig kodsignaturer, misstänkta incidenter såsom inloggningar från VPN-nätverk eller felaktiga inloggningsuppgifter. Den markerar också onormal användning, tvivelaktiga bilagor eller andra uppseendeväckande aktiviteter som har något med säkerhet att göra. Genom att länka, organisera, korrelera och klassificera data underlättar applikationen snabb spårning och isolering av infiltrationsvägar, vilket gör det möjligt att mildra eller till och med neutralisera hot. Genom att tilldela säkerhetsnivåer hanterar den dessutom snabbt både uppenbara och dolda attacker, samtidigt som ofarliga avvikelser utesluts.
Steg 4: Upptäck hot, sårbarheter eller säkerhetsöverträdelser
Om ett hot upptäcks möjliggör automatiska varningar snabbare responstider och omedelbar neutralisering av hotet. Istället för att söka efter källan till faran eller avvikelserna kan du snabbt lokalisera dem genom varningen och, om nödvändigt, isolera dem i karantän. Dessutom är det möjligt att rekonstruera tidigare hot så att säkerhetsrutinerna kan förfinas.
I kombination med en XDR-lösning med integrerad AI kan försvarsmekanismer som karantän eller blockering av slutenheter eller IP-adresser implementeras särskilt snabbt med hjälp av fördefinierade, automatiserade arbetsflöden. Realtidsflöden med hotinformation, som kontinuerligt matar in uppdaterade signaturer och säkerhetsdata, gör det också möjligt att upptäcka nya typer av attacker och hot i ett tidigt skede.
En översikt över de viktigaste SIEM-elementen
Olika samordnade komponenter används för att säkerställa fullständig datainsamling och analys som en del av en SIEM-lösning. Dessa inkluderar:
| Komponent | Funktioner |
|---|---|
| Central instrumentpanel | ✓ Presenterar all insamlad data på ett handlingsorienterat sätt ✓ Tillhandahåller datavisualiseringar, aktivitetsövervakning i realtid, hotanalys och åtgärdsalternativ ✓ Individuellt definierbara hotindikatorer, korrelationsregler och aviseringar |
| Loggtjänster och rapportering | ✓ Samla in och logga händelsedata från hela nätverket samt från slutpunkter och servrar ✓ Realtidsrapportering av efterlevnad av standarder som PCI-DSS, HIPPA, SOX eller GDPR för att uppfylla regler för efterlevnad och dataskydd ✓ Övervakning och loggning i realtid av användaraktivitet, inklusive intern och extern åtkomst, privilegierad åtkomst till databaser, servrar och databaser samt dataexfiltrering |
| Korrelation och analys av hotdata och säkerhetsincidenter | ✓ Händelsekorrelation och säkerhetsdataanalys kan användas för att koppla samman incidenter från olika nivåer, identifiera kända, komplexa eller nya former av attacker och minska detektions- och responstiderna ✓ Forensiska utredningar av säkerhetsincidenter |
Fördelarna med säkerhetsinformations- och händelsehantering (SIEM)
På grund av de ökande cyberriskerna för företag räcker det oftast inte längre med enkla brandväggar eller antivirusprogram för att skydda nätverk och system. Särskilt när det gäller hybridstrukturer med multiclouds och hybridmoln krävs sofistikerade lösningar som EDR, XDR och SIEM eller, helst, en kombination av två eller flera tjänster. Det är det enda sättet att säkert använda slutanordningar och molntjänster och upptäcka hot i ett tidigt skede.
Fördelarna med SIEM inkluderar:
Realtidsdetektering av hot
Tack vare den holistiska approachen i form av systemomfattande datainsamling och utvärdering kan hot snabbt identifieras och förebyggas. Tack vare den minskade genomsnittliga tiden för upptäckt (MTTD) och genomsnittliga tiden för respons (MTTR) kan känsliga data och affärskritiska processer skyddas på ett tillförlitligt sätt.
Efterlevnad av krav på regelefterlevnad och dataskydd
SIEM-system säkerställer en IT-infrastruktur som uppfyller kraven på regelefterlevnad genom detaljerad loggning och hotanalys. Denna infrastruktur uppfyller alla väsentliga säkerhets- och rapporteringsstandarder som krävs för att lagra data på ett säkert sätt och behandla dem på ett revisionskompatibelt sätt.
Tids- och kostnadsbesparande säkerhetskoncept
Genom att visa, visualisera, analysera och tolka all säkerhetsrelevant data centralt och tydligt i ett användargränssnitt ökar SIEM effektiviteten i din IT-säkerhet. Detta minskar den tid och de kostnader som annars är förknippade med konventionella manuella säkerhetsåtgärder. Specifikt påskyndar användningen av automatiserad och, i vissa system, AI-förbättrad dataanalys och korrelation förebyggandet av hot. Höga kostnader för att reparera infekterade system eller ta bort skadlig programvara kan också undvikas med förebyggande SIEM-lösningar.
Möjligheten att använda SIEM som SaaS (Software-as-a-Service) eller via Managed Security Services gör det även möjligt för mindre företag med begränsade resurser eller utan egen IT-säkerhet att på ett tillförlitligt sätt skydda sitt företagsnätverk.
Automatisering med artificiell intelligens och maskininlärning
SIEM-system möjliggör en ännu högre grad av automatisering och intelligent hotförebyggande genom artificiell intelligens och maskininlärning. Du kan till exempel också använda SIEM-lösningar i SOAR-system (Security Orchestration, Automation and Response) eller i kombination med en befintlig endpoint security- eller XDR-lösning.