Vad är ett SIEM och varför behöver du ett?

Thomas Öberg är säkerhetsexpert här på AddPro och har länge jobbat med SIEM och de olika komponenterna som utgör grunden för SIEM.

• SIEM, enkelt förklarat, tittar på loggar från hela din IT-miljö. Det kan röra sig om allt från enheter, program och tjänster till brandväggar och switchar. SIEM letar efter avvikelser, intrång och varningar. Signalerna analyseras och presenteras så att du kan få en överblick över din IT-säkerhet.

En tydlig fördel med ett SIEM-system är att det inte bara övervakar din IT-miljö. SIEM kan också reagera snabbt när den upptäcker ett hot eller försök till intrång. Till exempel kan ett IP-nummer från en oväntad plats spärras innan IT ens fått meddelandet. Skyddet är uppe och IT kan släppa in om det visar sig vara en betrodd uppkoppling.

Vem behöver ett SIEM?

När allt mer data, tjänster och arbete flyttar till molnet samtidigt som IT-miljön blir allt mer komplex med hybridlösningar ökar säkerhetshoten och exponeringen. Förr, när all IT fanns i källaren och användarna var tvungna att fysiskt koppla upp sig på företagets nätverk, var det lättare att skydda sig med höga murar. Världen har förändrats mycket sedan den centrala IT-funktionen var ett vattenkylt AS400 i serverrummet.

• Företag som har en lite mer komplex IT-miljö och som inser att det är bättre att förekomma än att förekommas behöver ett SIEM. Ett intrång kan kosta väldigt mycket, berättar Thomas.

Ett intrång kan drabba ditt företag hårt. Ett intrång kan vara allt från felaktiga fakturor och ransomware som låser alla era filer, till att produktionen stannar. Att lösa ett IT-haveri kostar inte bara pengar och resurser, det kan kosta än mer i produktionsbortfall och förlorat förtroende bland kunder och samarbetspartners.

SIEM förenklar administrationen

Med en SIEM-lösning kan även IT-administrationen bli enklare genom att samla användarhantering på ett ställe. Ett modernt SIEM kan hantera inloggning från en mängd tjänster och applikationer och samtidigt övervaka loggarna för att upptäcka avvikande beteende. En användare som blivit kapad kan snabbare spärras från alla tjänster om det sker centralt. Samtidigt blir det enklare för den enskilde användaren då det blir färre lösenord att hålla reda på.

SIEM är ingenting nytt

Precis som IT-hot inte är någonting nytt så är inte SIEM-system något nytt. Det har länge funnits SIEM-system som använts av stora företag med mycket komplexa IT-miljöer. Problemet är att de varit väldigt dyra och krävt stora resurser för driften.

• Vi ser nu att det kommer SIEM-system som vänder sig till mindre företag. Ett tydligt exempel är Microsofts Sentinel som med alla resurser i Azure blir ett alternativ för företag som har behovet men inte IT-resurserna för ett SIEM, berättar Thomas

Thomas berättar också att många företag inte insett behovet av ett SIEM. Det kan enligt honom bero på en kombination av en outvecklad säkerhetsstrategi och en omogen IT-säkerhet där en brandvägg och ett antivirusprogram anses ”gott nog”.

Så jobbar AddPro med SIEM och Sentinel

Att ingen går säker idag är ingen nyhet och alla företag behöver kontinuerligt se över sin säkerhet oavsett storlek eller verksamhet.

• Vi på AddPro försöker ge våra kunder en så hög säkerhet som möjligt utifrån deras unika förutsättningar. Alla företag kan ta enkla steg som att aktivera multifaktorautentisering för att i alla fall få ett grundskydd. Sedan kan behovet av ett SIEM utvärderas.

Säkerhet kostar pengar men tyvärr ser många företag över sin säkerhet för sent. Ofta efter att ett intrång har skett. I bästa fall är det någon annans olycka som får upp IT-säkerheten på dagordningen och ger utrymme i budgeten.

• Jag kan nästan lova att i det långa loppet är det dyrare att vara osäker med intrång och stillestånd än det är att investera i IT-säkerhet, avslutar Thomas.

Har du koll på ditt företags IT-säkerhet? Har ni behov av ett SIEM? Kontakta oss så hjälper vi er vidare.