Kyberturvan valvonta muodostuu usean eri näkökulman kautta. Käsittelin näitä näkökulmia tämän blogipostauksen ensimmäisessä osiossa Kyberturvallisuuden valvonta.
Tässä toisessa osiossa kerron vielä SIEMistä, SOCista ja saatavuudesta. Lopussa pohdintaa aiheesta tietoturvapäällikön työn näkökulmasta.
Järjestelmän lokien valvonta ja SIEM
Mitä tietojärjestelmissä tapahtuu?
Yksittäisen järjestelmän tapahtumia voidaan valvoa lokien kautta.
Tietojärjestelmät muodostava lokia, johon kirjoitetaan tietoa järjestelmän tapahtumista. Esimerkiksi mistä IP-osoitteesta käyttäjä kirjautui järjestelmään, mitä hän teki ja milloin.
Keskitetty lokienhallinta kerää usean eri järjestelmän lokit yhteen paikkaan, josta lokeja voidaan tarkastella kokonaisuutena. Keskitetystä lokista nähdään esimerkiksi missä kaikkialla käyttäjä on ollut kirjautuneena samaan aikaan.
Keskitetty lokienhallinta helpottaa päivittäisessä lokienhallinnassa, kuten lokitietojen elinkaaren hallinnassa, lokitietojen säilyttämisessä muuttumattomana ja lokien varmuuskopioinnissa.
SIEM-järjestelmän (Security Information and Event Management) avulla voidaan yhdistellä erilaisia lokeja ja muiden järjestelmien tuottamia tietoturvahavaintoja. SIEM rikastaa lokitiedoista saatavaa näkyvyyttä. Tietojen avulla voidaan muodostaa kattavampi kokonaiskuva kyberturvan tilanteesta.
Tutustu Kyberturvallisuuskeskuksen ohjeeseen Näin keräät ja käytät lokitietoja.
SOC on keskitetty tietoturvavalvomo
SOC on tietoturvavalvomo, jossa käsitellään organisaation IT-ympäristöstä nousevia huomioita ja hälytyksiä. Eli juuri niitä asioita, joita tässä ja blogin edellisessä osassa kuvailtiin.
Valvontaa voidaan tehdä itse, tai se voidaan ostaa 24/7 periaatteella SOC-toimittajalta.
SOC ei kuitenkaan ole ratkaisu, joka korvaa kaikki aikaisemmin kuvatut valvontanäkökulmat. Se kun valvoo vain niitä asioita, joita se näkee – ja ilman asianmukaisia työkaluja se ei näe mitään.
Mitä paremmat valvontalähteet on käytössä, sitä kattavampi kuva tietoturvavalvomolla on. Jos organisaatiosi ei pysty muodostamaan tietoa esimerkiksi käyttäjätunnuksen tai päätelaitteen tapahtumista, niin tällöin kokonaisnäkyvyys heikkenee merkittävästi.
Muita valvonnan näkökulmia
Kyberturvallisuuden valvonnan työkaluja voiaan hyödyntää myös muussa valvonnassa.
Henkilötietojen käytön valvonta
Kuka käsittelee organisaation henkilötietoja?
GDPR edellyttää että henkilötiedot pidetään turvassa. Erityisesti piilossa ulkopuolisten silmistä.
Henkilötietojen turvallisuuden näkökulmasta on tarpeen valvoa siis itse henkilötietoja sisältävää järjestelmää, mutta myös järjestelmien käyttöä.
Sisäinen väärinkäytös voi olla esimerkiksi potilastietojen urkintaa. Käytön valvontaa voi tehdä vaikka satunnaisilla pistokokeilla ja selvittää, onko työntekijä avannut vain sellaisten henkilöiden tietoja, joita hänen on oikeus käsitellä esimerkiksi asiakas- tai potilassuhteen perusteella.
Lisäksi voi valvoa avataanko henkilötietoja sellaiseen aikaan, kun ihmiset eivät ole edes töissä. Tämä voisi viitata siihen, että tietoja katsotaan ilman perusteita työajan ulkopuolella.
Järjestelmien lokit yhdistettynä SIEM-järjestelmään auttavat henkilötietojen käytön valvonnassa. Tästä on apua esimerkiksi tietosuojavastaavan työssä.
Saatavuuden valvonta
Ovatko järjestelmät käytettävissä?
Tietoturvavalvonnassa keskitytään helposti siihen, että järjestelmät pysyvät turvallisena ja tiedot eivät päädy vääriin käsiin. Ei kuitenkaan unohdeta tietoturvan saatavuus-näkökulmaa!
Etenkin 24/7 -palveluita tarjoavalle yritykselle on tärkeää, että palvelut ovat myös jatkuvasti saatavilla. Turvallisesta verkkokaupasta tai asiointipalvelusta ei ole hyötyä, jos se ei ole asiakkaiden saatavilla.
Saatavuuden lisäksi voidaan valvoa myös palvelun käytettävyyttä. Esimerkiksi miten nopeasti palvelu vastaa käyttäjien pyyntöihin.
DDOS-hyökkäyksen aikana palvelu saattaa olla olemassa, mutta ei käytettävissä. Vastaavasti palvelun taustajärjestelmien vikaantunminen tai integraatioiden puutteellinen toiminta voi johtaa siihen, että palvelu ei ole täysimääräisesti käytössä.
Tarvitset kyberturvan valvontatyökaluja
Mitä enemmän organisaatiolla on käytössään erilaisia kyberturvan valvontatyökaluja ja valvonnan näkökulmia, sitä monipuolisemman tilannekuvan saat muodostettua IT-ympäristöstäsi.
Näet missä asiat ovat hyvin, ja missä on vielä kehitettävää.
Valvontatyökaluja voi ostaa erikseen, mutta niitä on myös sisäänrakennettuna eri järjestelmiin. Hyödynnä vähintään järjestelmien omia hälytyksiä ja tilanneraportteja. Tilaa hälytyksistä myös ilmoitukset esimerkiksi sähköpostiisi tai pikaviestisovellukseen.
Pohdi SOC-palvelun tarpeellisuutta suhteessa organisaatioosi kohdistuviin riskeihin.
Sovi yrityksen omien IT-asiantuntijoiden ja ulkopuolisten palveluottajien kanssa, miten hälytyksiin reagoidaan.
Tietoturvapäällikön työn kannalta erilaiset kyberturvan valvontatyökalut ovat ihan ehdottomia.
Jos et pysty muodostamaan tilannekuvaa todellisuuteen perustuen, joudut arvailemaan ja yleistämään.
Vastaa