Upload
finceptum-oy
View
57
Download
4
Embed Size (px)
Citation preview
Tietoturvainformaation rikastaminenlaadukkaamman tilannekuvanaikaansaamiseksi
Pekka Lindqvist
Tiedon parempi ymmärrettävyys
Monitorointi on vaikeaa
Kuinkahallita ja käsitelläkaikkia tietoja?
Häiriötä on liikaa – puutuu näkemystä!
Monitorointi on vaikeaa
Kuinkatunnistaa laiton taivaarallinen kontti?
Ymmärrä, mikä on normaaliakäyttäjätoimintaa oikeilla
oikeuksilla, tunnista ja hälytä
uhkaavasta epänormaalistatoiminnasta
Tietoturva tarvitsee kontekstin...
Kuka?
Identiteetti?
Mikä pääsy?
Pääsy OK?
Normaali?
Missä?
App / DB
Asset
Threat DAM
Identity
DLP/DAP
Business
Cloud App
OperatingSystem
Network Flow
Virtual
Network Device
IDS/IPS
Vulnerability
Configuration
Physical / Geo
. . .
. . .• Identiteetti tunnista resurssit yksilöidysti
• Kontekstimitä muuta tiedämme resursseista?
• Käytösmitä resurssit ovat tehneet hiljan?
• Suhteetmitkä resurssit vaikuttavat toisiinresursseihin?
... prosessoitunakeskitetynanalytiikka-moottorin kauttatuottamaanparempaapäätöksenteontukiaineistoa
• Liian vähän tietoa, jottaymmärrettäisiin miksi jotaintapahtui
• Liian vähän tietoatunnistamaan mikä onnormaalia ja epänormaalia
• Ulkoinen syöte ei ratkaisekaikkia ongelmia
No, entäSIEM?
Analytiikka käyttää algoritmeja tai koneoppimista ulkoistensyötteiden rikastamiseenkäyttötapauskohtaisesti
•Normaalista poikkeava aikakäyttäjän kohdalla
•Vaarallisesta IP-osoitteesta,paikasta tai tuntemattomastalaitteesta
•Tunnuksilla joita ei ole käytettyvähään aikaan
Poikkeavaarvokkaan
tiedonkäsittely
•Suuri tietomäärä
•Tieto siirtyy USB-muistille taipoikkeukselliseen paikkaan
Poikkeavatiedonsiirto
•Tiedoston korvaus, normaalinmuutosajankohdan ulko-puolella
•Muutoksen suorittajanapoikkeuksellinen käyttäjä
Poikkeavatiedosto-muutos
•Hyökkäyksiä salasananvaihtopalvelua kohtaan
•Poikkeuksiellinen ajankohta,paikka tai laite salasananvaihdolle
Poikkeuk-sellisia
salasana-vaihtoja
Identiteetti tapahtumassa
Get the “who, what,when and where” of
risky activity forbest threat response
Käyttäjätietomahdollistaaparemmanymmärryksen
• Identiteettitietoinentietoturvan seuranta
• Parempi toiminnanseurattavuus jaymmärrys
• Liitä oikeusmuutoksetosaksi seurattavaatietoa
• Nopeuta havaitse-mista ja ratkaisua
• Käyttäjätieto• Laite- ja ohjelmistotieto• Sijainti• Toiminnon toistokerta• Maine- ja haavoittuvuustieto
Lokin rikastusmahdollisuuksia
Yhteenveto
• Ymmärrä sisältä tulevien uhkien merkitys organisaatiollesi• Seuraa poikkeavaa ja korkean riskin toimintaa• Varaudu muutosten tuomiin lisääntyviin tarpeisiin• Varmista hyvä ymmärrys oikein rikastetulla tiedolla
Tietoturvan kehittäminen
Kokemus alalta yli 20 vuodenajalta ja yli 20 000 asiakasta eripuolilla maailmaa.
Autamme asiakkaitammeonnistumaan.
www.microfocus.com