Tietoturvatapahtumat

Tietoturvatapahtumat ja muut lokitiedot on saatava hallintaan sekä turvalliseen säilöön.

Lokitietojen merkitys kasvaa, kun sähköisten luottamuksellisten tietojen määrä lisääntyy. Yleisenä trendinä on myös se, että yrityksen palveluja käytetään yhä enenevissä määrin etäkonttoreista käsin ja yhteyksiä avataan myös asiakkaille sekä kumppaneille. Tarvittaessa yrityksen on pystyttävä selvittämään kuka tietoja on käyttänyt, milloin ja miten. Lokitiedot on saatava eri autentikointijärjestelmistä, verkkokomponenteista sekä palveluista. Tapahtumaketjusta on jäätävä jälki, jota ei tule voida myöskään muuttaa. Edes järjestelmän pääkäyttäjälle ei pidä antaa lokitietojen muuttamismahdollisuutta. Valvojaakin on valvottava.

Eniten lokien keskittämisestä ovat kiinnostuneet yritykset, joilta sitä suoranaisesti vaaditaan. Tästä esimerkkinä PCI DSS -standardi, jota kaikkien luottokorttitietoja käsittelevien ja välittävien tahojen on noudatettava. Lokien keskittäminen ja hallinta on näkyvästi esillä myös ISO 27002 -standardissa. Potilastietojen käsittelyyn liittyvät lokit tulee myös säilöä mahdollisia jälkiselvityksiä silmällä pitäen laissa määritettyjen pykälien mukaan.

Konkreettiset hyödyt SIEM-järjestelmän (Security Information and Event Management) käytöstä tulevat mm. palomuurien lokeihin liittyvästä raportoinnista ja reaaliaikaisesta seurannasta. Järjestelmällä voidaan eroitella yksityiskohtaisesti eri verkkosegmenttien liikenteet ja raportoida havainnollisesti mm. eri palveluiden ja porttien osuuksista liikenteessä ajan suhteen. SIEM-järjestelmä antaa myös hyvät työkalut ongelmien ja vikojen etsimiseen, oli kyseessä sitten palomuuri, WLAN-tukiasema, kytkin, Windows-palvelin, IBM Mainframe ympäristö tai joku muu lokia tuottava järjestelmä.

SIEM-järjestelmän on kyettävä keräämään lokeja hyvin monella eri tavalla. Tarvittaessa järjestelmää on pystyttävä myös opettamaan, mikäli lokilähde ei ole tuettujen järjestelmien listalla. Perinteisesti käytetään syslog-pohjaista lokien välitystä, mutta lokit voidaan saattaa turvaan myös monilla muilla keinoilla.

Tarpeena tai haasteena:

- saada keskitettyä lokit mielekästä raportointia, analysointia sekä säilytystä varten?

- saada analysoitua palomuuriliikennettä?

- säilyttää lokitietoja määrätyn ajan online-tilassa ja sekä useamman kuukauden tai vuoden turvallisesti esimerkiksi verkkolevyllä offline-tilassa?

- saada yritykselle keskitetty lokitietojen keräys-/analysointijärjestelmä, jota voi käyttää erilaiset tahot erilaisilla käyttöoikeuksilla?

- saada täytettyä PCI DSS -standardin lokien hallintavaatimukset?

- saada löydettyä ongelma- ja vikatilanteisiin liittyviä tapahtumia lokeista?

- pystyä tarvittaessa selvittämään jälkikäteen erilaisia tietoturvaloukkauksia ja -tapahtumia?

Lisätietoja: sales@cygate.fi

Lokit ja tietoturva virtualisoidussa maailmassa (ENG)

Cygate SIEM-ratkaisut esite

RSA enVision yleisesittely (video)

RSA enVision dynaaminen tapahtumien käsittely (video)

Lokit ja tietoturva