Älykkään tietoturvaratkaisun hyödyt automaatiossa

Tämä kandidaatintyö tutkii älykkään tietoturvaratkaisun hyötyjä automaatioympäristöissä kirjallisuuskatsauksen muodossa. Tutkimuksen kohteena oleva tietoturvaratkaisu on nimeltään SIEM (engl. Security Information and Event Management, SIEM). SIEM toimii lokienhallintajärjestelmänä ja analysoi lokimassoja. Työ aloitettiin tutkimalla, miten SIEM-järjestelmä käytännössä toimii, jonka jälkeen esiteltiin kohteena oleva automaatioympäristö ominaisuuksineen. Kohteena on yleisesti automaatioympäristö, joten varsinaista yksityiskohtaista kohdetta ei ollut saatavilla. Lopuksi selvitetään SIEM-ratkaisusta saatavia hyötyjä automaatiossa, sekä tutkitaan ratkaisun nykytilaa sekä mahdollista tulevaisuutta. Merkittävimmät edut SIEM-järjestelmän käyttämisestä liittyvät uhkien yhä monipuolisempaan sekä älykkäämpään tunnistamiseen, johon perinteiset ratkaisut eivät täysin pysty. Tietoturvauhat kehittyvät jatkuvasti, joten myös niiltä suojaavat järjestelmät joutuvat kehittymään. Tietoturvaratkaisujen kehittäminen ei ole aina kuitenkaan niin yksinkertaista käytännön tai teknologian puolesta. Myös SIEM-järjestelmään liittyy haasteita sen elinkaaren aikana, ja myös näitä asioita sivutaan kandidaatintyössä. Vaikka älykäs tietoturvaratkaisu tuo monia oleellisia etuja uhkantunnistamiseen, ei kyseisiä ratkaisuja ole vielä juurikaan käytössä teollisuudessa. SIEM-ratkaisun kaltaisia kilpailijoita on useita, mutta niiden ympärillä vallitseva asiantuntijuus ei ole riittävällä tasolla teollisuuden keskuudessa. Tämä johtaa osittain siihen, että myös ratkaisujen hinnoittelu on perinteisiä ratkaisuja huomattavasti korkeampaa. Teollisuudessa tietoturvallisuus ja sitä ylläpitävät järjestelmät kuluineen nähdään myös usein toissijaisina järjestelmän muun toiminnallisuuden ohella. Vaikka älykkäät tietoturvaratkaisut eivät ole teollisuuden automaatiossa vielä nykypäivää, niiden voidaan olettaa yleistyvän, sillä IT-ympäristöissä (engl. Information Technology) ne ovat jo arkipäivää. Automaatio tulee tiedettävästi jäljessä teknologioiden kehittymisessä verrattuna IT- ympäristöihin

A framework for mastering heterogeneity in multi-layer security information and event correlation

Security Information and Event Management (SIEM) is a consolidated technology that relies on the correlation of massive amounts of security-relevant information in order to detect ongoing attacks and intrusions. This correlation process is usually fed with logs generated by network devices and equipment, thus proving to be ineffective against attacks that affect multiple domains (e.g. physical, logical) or different architectural levels (e.g. network, operating system, application) of a service infrastructure. To bridge the gap, we propose a flexible framework for event collection and correlation, namely the Generic Event Translator, which is able to process heterogeneous data and spot evidence of security issues by using complex event pattern detectors that correlate information from multiple architectural layers and domains of the monitored infrastructure. The framework has been integrated into the open-source SIEM OSSIM, and validated in two challenging case studies, namely a dam infrastructure control system and a mobile phone based payment service