SIEM – kiemuroita ja korkkiruuveja vai jopa helppoja ratkaisuja?
SIEMistä on tullut järjestelmänä ”must”, kun mietitään tietoturvan valvontaa ja SOC:n toimintaa. Mutta, mutta… Ongelmana on usein se, että SIEM on koettu kalliiksi ja hankalaksi ottaa käyttöön. Voisiko olla löydettävissä myös helpompia ja huokeampia vaihtoehtoja?
SIEM (Security Incident and Event management) on siis keskeinen tietoturvan valvontaan kehitetty työkalu ja kiinteä aisapari SOC:n (Security Operation Center) toiminnalle. SIEM on ollut olemassa riittävän kauan, joten melkein kaikki tietävät sen olemassaolosta ja tarpeellisuudesta. Kalliin hinnan ja käyttöönoton työläyden vuoksi hankintaa on kuitenkin siirretty monissa organisaatioissa yhä uudestaan aina seuraavalle vuosipuoliskolle.
Vaihtoehto perinteiselle löytyy pilvestä
Microsoft tarjoaa nyt uudenlaista ratkaisua edellä mainittuihin pulmiin, kun se toi ensimmäisenä SIEM-tuotteen Azure-pilveen SaaS-palveluna (Software as a service). Ja SaaS tunnetusti korreloi helpon kanssa. Maksu tapahtuu käytön mukaan (Pay as you go) ja Azure Calculator auttaa kustannusten arvioimisessa. Hinta näyttää varsin kohtuulliselta etenkin silloin, jos lokidataa ei tarvitse tallentaa 90 päivää kauempaa.
Kun nyt (23.8.2021) lasken hintaa Pohjois-Euroopan alueelle, niin se on päivittäiselle 10 GB:n datamäärälle 1293 €/kk. Tämä sisältää Log Analytics -lokienhallinnan ja Azure Sentinel SIEMin sekä kolme lokidataa historiaa. Jos haluaa säilyttää lokidataa 12 kuukautta, se maksaisi noin 280 €/kk lisää. Onko tämä paljon vai vähän, riippuu katsonnasta.
SaaS SIEMin kanssa ei tarvitse murehtia levyjärjestelmistä eikä palvelimista. Ja vaikka Azure Sentinel SIEMiä ei ehtisikään heti ottaa käyttöön, niin laskua ei synny ennen kuin Azure Log Analytics ja Sentinel saavat niille lähetettyä lokidataa otettua vastaan. Osa Microsoftin pilvipalveluiden lokidatan käsittelystä on Azure Sentinelissä ilmaista.
Pari muttaa
Mutta onko SIEM pilvessä sittenkään niin helppo ratkaisu? Lokidata pitää kuitenkin saada kerättyä järjestelmistä ja palveluista Azure Log Analyticsiin ja sieltä Sentinel SIEMiin. Mitä lokidataa kannattaa edes kerätä? Palomuurit kun kytkee lähettämään kaiken lokidatan Azuren pilveen, niin varmasti syntyy päivittäistä datamäärää. Onko kaikki palomuuriloki oleellista? Mitä tehdä, kun tulee hälytyksiä ja millaisia hälytyksiä pitäisi tulla? Pitääkö lokidataa säilyttää ja kuinka kauan? Ja estääkö tämä nyt sitten kuitenkaan esimerkiksi kiristyshaittaohjelman leviämisen yrityksen koneisiin ja entäs kalastelu (phishing)? Suojaako SIEM siltä?
SIEM itsessään ei suojaa, vaan sen tuoma tieto mahdollistaa suojaamisen. Azure Sentineliin kuuluva SOAR (Security Orchestration, Automation and Response) mahdollistaa eri uhkatilanteisiin toimintaohjeiden, prosessien ja automaatioiden (playbooks ja workbooks) tekemisen. Kerran havaittu on aina suojattu.
Azure Sentinel sisältää paljon asioita valmiina ja Azure Sentinel -yhteisöt tekevät esimerkiksi uusia sääntöjä, hälytyksiä, liitoksia, parsereita ja pelikirjoja Githubiin kaikkien käyttöön. Mitään ei kuitenkaan tapahdu itsestään. Kerran käyttöön otettu sääntö- ja pelikirja (playbook) on jo ehkä vanhentunut puolen vuoden kuluttua ja uusia uhkia syntyy koko ajan. Toki suurin osa käyttäjätilien varastelukokeiluista näyttävät lokeissa samalta vuodesta toiseen, mutta myös uusia uhkia esimerkiksi käyttäjätilien varastamiseen tulee. Se, että SIEM on saatu käyttöön, ei tarkoita, että siitä on sama hyöty vuoden päästä, ellei SIEMiä ylläpidetä ja hallinnoida.
Tärkeä muttei ainoa
SIEM on tärkeä työkalu tietoturvan valvontaan, oli se pilvessä, konesalissa tai hybridinä molemmissa. SIEM ei kuitenkaan ole ainut työkalu. Päätelaitteet ja organisaation tieto pitää suojata varsinkin, kun työn tekeminen on siirtynyt yrityksen LAN-verkoista muualle. Esimerkiksi Microsoft 365 sisältää paljon tietoturvatyökaluja, joiden pitää olla kunnossa ennen kuin Microsoft Azure Sentinel SIEMiin kannattaa käyttää aikaa. Ja onko Microsoft paras vaihtoehto? Mahdollisuuksia on monia. Toimiva tietoturva on oikean polun löytämistä, jossa on erilaisia rasteja. Ihan kaikkia rasteja ei ehkä tarvita ja maali häämöttää, mutta polulta ei kannata oikaista.
Sen sijaan, että hankimme yhden tuotteen ja mietimme, mitä sillä voikaan tehdä, meidän tulisi aina pitää mielessä, mikä on tarve ja mitä ongelmaa olemme ratkaisemassa. Miten organisaation aika- ja henkilöresurssit saadaan kaikkein parhaiten hyödynnettyä? Yleensä kaikkea ei kannata tehdä itse. Sanotaan, että kysyvä kylän löytää, ja tässä tapauksessa kannattaisi kysyä tietoturvapalveluiden tarjoajalta. Jos itse on epävarma suunnasta, asiantuntijoilta voi pyytää arviota, miten he hoitaisivat tietoturvan valvonnan ja mikä olisi se paras polku kaikista oikeista poluista. Näin vältetään turhat resursseja syövät harha-askeleet.
Loihde Trustin CSOC-palvelut auttavat asiakasta löytämään tietoturvan oikean polun, pysymään sillä ja pääsemään ajoissa maaliin.