Mitä on tietoturvavalvonta?

Mitä on tietoturvavalvonta?

Tietoturvavalvonta on kriittinen osa organisaation kyberturvallisuusstrategiaa. Sen tavoitteena on tunnistaa, analysoida ja reagoida tietoturvatapahtumiin reaaliajassa. Tietoturvavalvonnan avulla organisaatiot voivat suojautua monenlaisilta uhilta, kuten haittaohjelmilta, tietomurroilta ja sisäisiltä uhilta.

Tietoturvavalvontaa isoissa yrityksissä

Tietoturvavalvontaa tehdään suurimmissa yrityksissä tyypillisesti joko sisäisellä tai ulkoistetulla tietoturvatiimillä. Monet tietoturvayritykset myyvät jatkuvan valvonnan palveluita, eli Security Operation Center -palvelua. Tämän palvelun tarkoitus on tarjota jatkuvan valvonnan ja nopean vasteen yrityksille, joilla ei tätä osaamista löydy talon sisältä valmiiksi. Security Operation Center eli SOC on palvelu joka koostuu tyypillisesti tietoturvavalvonnan ammattilaisista, jotka tarkkailevat asiakkaan verkkoja ja ympäristöjä hyökkäysten varalta. SOC tiimissä on usein eri TIER tasoja, joista ensimmäinen suorittaa jatkuvaa valvontaa sekä reagoi hälytyksiin ensimmäisenä. Jos jokin hälytys ilmenee oikeaksi ongelmaksi tai vie liikaa aikaa / ilmenee haastavammaksi kuin oletetaan, siirtyy tämä TIER 2 tasolle, jne.

Tietoturvavalvonnan keskeiset osat

Käydään seuraavaksi läpi tietoturvavalvonnan keskeiset osat: tietoturvatapahtumat, keskitetty paikka tietoturvatapahtumien keräämiseen, hälytysten määrittäminen, ilmoituskanavat ja toimenpiteet hälytyksen jälkeen.

Tietoturvatapahtumat

Tietoturvatapahtumat ovat tapahtumia tai toimia, jotka voivat viitata mahdolliseen tietoturvarikkeeseen tai uhkaan. Nämä tapahtumat voivat olla mitä tahansa epäilyttävästä tiedostojen siirrosta ja käyttäjien epätavallisesta käyttäytymisestä aina tunnistettuihin haittaohjelmiin ja järjestelmän haavoittuvuuksien hyväksikäyttöön. Tunnistamalla ja analysoimalla näitä tapahtumia organisaatiot voivat ryhtyä toimiin tietoturvariskien minimoimiseksi.

Keskitetty paikka tietoturvatapahtumien keräämiseen

Tehokkaan tietoturvavalvonnan ytimessä on keskitetty järjestelmä, joka kerää, tallentaa ja analysoi tietoturvatapahtumia. Tällainen järjestelmä, yleensä kutsuttu SIEM-järjestelmäksi (Security Information and Event Management), mahdollistaa tietoturvatietojen yhdistämisen eri lähteistä, kuten palomuureista, tunkeutumisenestojärjestelmistä ja käyttäjien toiminnanvalvontatyökaluista. Keskitetty järjestelmä auttaa tunnistamaan kuvioita ja anomalioita, jotka voivat viitata tietoturvauhkiin.

Hälytysten määrittäminen

Tietoturvavalvonnan olennainen osa on hälytysten määrittäminen kiinnostavista tietoturvatapahtumista. Tämä tarkoittaa sääntöjen ja politiikkojen asettamista, jotka määrittelevät, mitkä tapahtumat katsotaan merkittäviksi ja vaativat välitöntä huomiota. Hälytykset voidaan priorisoida niiden vakavuuden, vaikutuksen tai muun organisaation määrittelemän kriteerin mukaan. Hälytysjärjestelmän tulee olla joustava, jotta se voi mukautua muuttuviin uhkakuviin ja organisaation tarpeisiin.

Ilmoituskanavat

Kun hälytys on laukaistu, on tärkeää, että tieto siitä saavuttaa oikeat ihmiset mahdollisimman nopeasti. Tässä vaiheessa tulevat mukaan ilmoituskanavat. Yleisiä ilmoituskanavia ovat sähköposti, SMS-viestit ja viestintäalustat kuten Slack. Valinta riippuu organisaation tarpeista, käytettävissä olevista resursseista ja siitä, kuinka kriittisiä tietyt hälytykset ovat.

Toimenpiteet hälytyksen aktivoitumisen jälkeen

Kun hälytys tietoturvavalvonnassa laukeaa, on tärkeää, että organisaatiolla on selkeä toimintasuunnitelma siitä, miten reagoida. Tämä viides keskeinen komponentti sisältää prosessin, jonka mukaan organisaatio käsittelee ja vastaa tietoturvahälytyksiin. On myös mahdollista käyttää automatisoituja toimintoja, jotka voivat ryhtyä välittömiin toimiin tiettyjen hälytysten kohdalla, kuten estää käyttäjätilejä.