Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
•
0 likes•110 views
Tiedon parempi ymmärrettävyys - monitorointi on vaikeaa, kuinka käsitellä ja hallita kaikkia tietoja? Ymmärrä, mikä on normaalia käyttäjätoimintaa oikeilla oikeuksilla, tunnista ja hälytä uhkaavasta epänormaalista toiminnasta. 23.5.2017 Tietoturvan kokonaisvaltainen tilannekuva -tapahtuman esitys
Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi
- 1. Tietoturvainformaation rikastaminen laadukkaamman tilannekuvan aikaansaamiseksi Pekka Lindqvist pekka.lindqvist@microfocus.com
- 3. Monitorointi on vaikeaa Kuinka hallita ja käsitellä kaikkia tietoja?
- 4. Häiriötä on liikaa – puutuu näkemystä!
- 5. Monitorointi on vaikeaa Kuinka tunnistaa laiton tai vaarallinen kontti?
- 6. Ymmärrä, mikä on normaalia käyttäjätoimintaa oikeilla oikeuksilla, tunnista ja hälytä uhkaavasta epänormaalista toiminnasta
- 7. Tietoturva tarvitsee kontekstin... Kuka? Identiteetti? Mikä pääsy? Pääsy OK? Normaali? Missä?
- 8. App / DB Asset Threat DAM Identity DLP/DAP Business Cloud App Operating System Network Flow Virtual Network Device IDS/IPS Vulnerability Configuration Physical / Geo . . . . . .• Identiteetti tunnista resurssit yksilöidysti • Konteksti mitä muuta tiedämme resursseista? • Käytös mitä resurssit ovat tehneet hiljan? • Suhteet mitkä resurssit vaikuttavat toisiin resursseihin?
- 10. • Liian vähän tietoa, jotta ymmärrettäisiin miksi jotain tapahtui • Liian vähän tietoa tunnistamaan mikä on normaalia ja epänormaalia • Ulkoinen syöte ei ratkaise kaikkia ongelmia No, entä SIEM?
- 11. Analytiikka käyttää algoritmeja tai koneoppimista ulkoisten syötteiden rikastamiseen käyttötapauskohtaisesti
- 12. •Normaalista poikkeava aika käyttäjän kohdalla •Vaarallisesta IP-osoitteesta, paikasta tai tuntemattomasta laitteesta •Tunnuksilla joita ei ole käytetty vähään aikaan Poikkeava arvokkaan tiedon käsittely
- 13. •Suuri tietomäärä •Tieto siirtyy USB-muistille tai poikkeukselliseen paikkaan Poikkeava tiedon siirto
- 14. •Tiedoston korvaus, normaalin muutosajankohdan ulko- puolella •Muutoksen suorittajana poikkeuksellinen käyttäjä Poikkeava tiedosto- muutos
- 15. •Hyökkäyksiä salasanan vaihtopalvelua kohtaan •Poikkeuksiellinen ajankohta, paikka tai laite salasanan vaihdolle Poikkeuk- sellisia salasana- vaihtoja
- 16. Identiteetti tapahtumassa when and where” of risky activity for best threat response Käyttäjätieto mahdollistaa paremman ymmärryksen • Identiteettitietoinen tietoturvan seuranta • Parempi toiminnan seurattavuus ja ymmärrys • Liitä oikeusmuutokset osaksi seurattavaa tietoa • Nopeuta havaitse- mista ja ratkaisua
- 17. • Käyttäjätieto • Laite- ja ohjelmistotieto • Sijainti • Toiminnon toistokerta • Maine- ja haavoittuvuustieto Lokin rikastusmahdollisuuksia
- 18. Yhteenveto
- 19. • Ymmärrä sisältä tulevien uhkien merkitys organisaatiollesi • Seuraa poikkeavaa ja korkean riskin toimintaa • Varaudu muutosten tuomiin lisääntyviin tarpeisiin • Varmista hyvä ymmärrys oikein rikastetulla tiedolla Tietoturvan kehittäminen
- 20. Kokemus alalta yli 20 vuoden ajalta ja yli 20 000 asiakasta eri puolilla maailmaa. Autamme asiakkaitamme onnistumaan.