Tietoturvainformaation rikastaminenlaadukkaamman tilannekuvanaikaansaamiseksi

Pekka Lindqvist

pekka.lindqvist@microfocus.com

Tiedon parempi ymmärrettävyys

Monitorointi on vaikeaa

Kuinkahallita ja käsitelläkaikkia tietoja?

Häiriötä on liikaa – puutuu näkemystä!

Monitorointi on vaikeaa

Kuinkatunnistaa laiton taivaarallinen kontti?

Ymmärrä, mikä on normaaliakäyttäjätoimintaa oikeilla

oikeuksilla, tunnista ja hälytä

uhkaavasta epänormaalistatoiminnasta

Tietoturva tarvitsee kontekstin...

Kuka?

Identiteetti?

Mikä pääsy?

Pääsy OK?

Normaali?

Missä?

App / DB

Asset

Threat DAM

Identity

DLP/DAP

Business

Cloud App

OperatingSystem

Network Flow

Virtual

Network Device

IDS/IPS

Vulnerability

Configuration

Physical / Geo

. . .

. . .• Identiteetti tunnista resurssit yksilöidysti

• Kontekstimitä muuta tiedämme resursseista?

• Käytösmitä resurssit ovat tehneet hiljan?

• Suhteetmitkä resurssit vaikuttavat toisiinresursseihin?

... prosessoitunakeskitetynanalytiikka-moottorin kauttatuottamaanparempaapäätöksenteontukiaineistoa

• Liian vähän tietoa, jottaymmärrettäisiin miksi jotaintapahtui

• Liian vähän tietoatunnistamaan mikä onnormaalia ja epänormaalia

• Ulkoinen syöte ei ratkaisekaikkia ongelmia

No, entäSIEM?

Analytiikka käyttää algoritmeja tai koneoppimista ulkoistensyötteiden rikastamiseenkäyttötapauskohtaisesti

•Normaalista poikkeava aikakäyttäjän kohdalla

•Vaarallisesta IP-osoitteesta,paikasta tai tuntemattomastalaitteesta

•Tunnuksilla joita ei ole käytettyvähään aikaan

Poikkeavaarvokkaan

tiedonkäsittely

•Suuri tietomäärä

•Tieto siirtyy USB-muistille taipoikkeukselliseen paikkaan

Poikkeavatiedonsiirto

•Tiedoston korvaus, normaalinmuutosajankohdan ulko-puolella

•Muutoksen suorittajanapoikkeuksellinen käyttäjä

Poikkeavatiedosto-muutos

•Hyökkäyksiä salasananvaihtopalvelua kohtaan

•Poikkeuksiellinen ajankohta,paikka tai laite salasananvaihdolle

Poikkeuk-sellisia

salasana-vaihtoja

Identiteetti tapahtumassa

Get the “who, what,when and where” of

risky activity forbest threat response

Käyttäjätietomahdollistaaparemmanymmärryksen

• Identiteettitietoinentietoturvan seuranta

• Parempi toiminnanseurattavuus jaymmärrys

• Liitä oikeusmuutoksetosaksi seurattavaatietoa

• Nopeuta havaitse-mista ja ratkaisua

• Käyttäjätieto• Laite- ja ohjelmistotieto• Sijainti• Toiminnon toistokerta• Maine- ja haavoittuvuustieto

Lokin rikastusmahdollisuuksia

Yhteenveto

• Ymmärrä sisältä tulevien uhkien merkitys organisaatiollesi• Seuraa poikkeavaa ja korkean riskin toimintaa• Varaudu muutosten tuomiin lisääntyviin tarpeisiin• Varmista hyvä ymmärrys oikein rikastetulla tiedolla

Tietoturvan kehittäminen

Kokemus alalta yli 20 vuodenajalta ja yli 20 000 asiakasta eripuolilla maailmaa.

Autamme asiakkaitammeonnistumaan.

www.microfocus.com