Uusia ratkaisuja tapahtumahallintaan

”Verkko- ja tietoturvaratkaisuihin haetaan nyt yksilöllisiä strategioita ja integroituja toteutuksia.”

”Edelleen vähintään 30 % kriittisistä vikatilanteista havaitaan käyttäjien tekemien hälytysten pohjalta”, kertoo Ironnetin toimitusjohtaja Timo Lindfors. ”Tämä tarkoittaa, että valvontatyökalut eivät ole ongelmaa huomanneet, jolloin palvelukeskukselta on puuttunut kokonaisnäkymä ja mahdollisuus ennakoida.”

Tarvitaan siis uudentyyppisiä ratkaisuja, jotka palvelevat IT-alan kehitystä.
”Tapahtumakäsittelystä ei tule hyötyjä, jos seurataan vain yksittäisiä tapahtumalähteitä, kuten esim. perinteisesti verkkoliikenteessä tehdään seuraamalla palomuuritapahtumia. Tarvitaan aktiivisia työkaluja koko it-infran ylläpidon avuksi”, Lindfors sanoo. Oikean ratkaisun löytäminen nopeasti säästää aikaa ja rahaa.

Yksilöllinen strategia

Ironnetin tavoitteena on luoda asiakkaalle raakadatasta käyttökelpoista tietoa mahdollisimman helposti, nopeasti, yksinkertaisesti ja luotettavasti.

Strategian suunnittelu ja määrittely tehdään asiakkaan ja Ironnetin asiantuntijoiden yhteistyönä. ”Valvontajärjestelmäkokonaisuus kannattaa rakentaa järkeväksi niin, että se hyväksikäyttää laajasti kokonaisuutta. Jokaiselle asiakkaalle pyritään löytämään paras yhdistelmä apuohjelmistoja ja samalla huomioimaan, mitkä asiat on syytä tehdä edelleen manuaalisesti ja missä taas automaatiolla voidaan aidosti jalostaa kerättyä tietoa”, Lindfors sanoo.

Toimivassa palvelukeskuksessa monen järjestelmän tapahtumat kerätään yhteen paikkaan ja saatujen tietojen perusteella voidaan esimerkiksi toteuttaa SIEM-tyyppistä tietoturvaan liittyvää korrelointia, tunnistaa tapahtumasisältöjä, seurata verkkoliikennettä sekä integroida tietoa.

Tietoturva ja raportointi

Itse tapahtumien käsittelyyn käytettävissä työkaluissa on huomioitava muun muassa tietoturvaan, operointiin ja arkistointiin liittyviä asioita.

Tietoturvaan liittyy loppukäyttäjän tuki ja käytön seuranta, myös positiivisessa mielessä.
Unohtuneet salasanat, pääsynvalvonta, loppukäyttäjän seuranta sekä pääkäyttäjän toimien läpinäkyvyys”, luettelee Lindfors. "Kun käsiteltävä tieto tarkentuu järjestelmätason tapahtumista yksittäisten käyttäjien tasolle, niin ne työkalut, jotka ovat tähän asti ovat toimineet hyvin, eivät enää riitäkään".

Nykyaikaisessa verkkojen ja palveluiden ylläpidossa pitää pystyä seuraamaan myös henkilötietojen käyttöä, reaaliaikaisia tietoturvaloukkauksia ja vastaavia uhkia sekä tietenkin myös raportoimaan niistä. Seurantaan, tietojen käsittelyyn ja raportointiin liittyy myös standardeja, kuten HIPAA, PCI ja SOX. Myös uusi EU:n tietosuoja-asetus tulee vaikuttamaan siihen, miten erilaista tietoa käsitellään ja miten itse käsittelyä pitää valvoa.
Nykyisin tietoturvaaminen on aktiivista ja ennakoivaa. Kun tähtäimessä on riskien minimointi, vaaditaan tietoturva-asioissa proaktiivisia prosesseja”, kertoo Lindfors.

Operointi ja arkistointi

Strategisesti suunniteltu tapahtumien käsittely pystyy operoimaan tietoa hyödyllisellä tavalla esimerkiksi etsimällä vikojen juurisyyt. Tapahtumatietojen tehokas operointi on nykyisin kasvava haaste, koska erityyppisiä tapahtumatietoja tulee useista ja erityyppisistä lähteistä (syslogit, eventlogit, palomuurit, sovelluslokit). Näitä pitäisi pystyä korreloimaan keskenään mahdollisimman hyvin ja mahdollisimman valmiiksi ­–­ jopa viemään niin pitkälle, että automaattisen analyysin pohjalta uskalletaan automatisoida myös toimenpiteitä.

Yksi entistä tärkeämmäksi nouseva vaatimus, erityisesti tapahtumien käsittelyssä, on arkistointivaatimukset. Arkistointi ei ole enää vain sitä, että lokeja tallennetaan ja varmistetaan, vaan on huolehdittava myös tapahtumalokien sisältämän tiedon suojauksesta ja muuttumattomuudesta. Arkistointi räätälöidään yritysten omien vaatimusten sekä alan standardien ja viranomaisvaatimusten mukaan. Lisäksi arkistoinnissa panostetaan toimintavarmuuteen sekä helppokäyttöisyyteen.

Tunnetut ohjelmat ja luotettavat asiantuntijat

Ironnet pyrkii aina etsimään kullekin asiakkaalle sopivimmat verkko- ja tietoturvaratkaisut sekä palvelukeskustoiminnot niiden tueksi. Se pystyy myös päivittämään ratkaisuja muuttuvien vaatimusten mukaisesti.

Tapahtumien käsittelyn tueksi Ironnet käyttää mm. ManageEnginen ohjelmistoja: Log 360 -SIEM työkalua, Event Log Analyzeriä sekä ADAudit Plussaa, yrityksestä riippuen joko yhdessä tai erikseen.

”Oikein suunnitellun tapahtumahallinnan avulla saadaan pidettyä kokonaiskustannukset järkevinä ja ratkaisut saadaan tuotantoon nopeasti. Kun valvontaratkaisun rinnalle otetaan tapahtumankäsittelyratkaisu, havaitaan vikatilanteet entistä paremmin jo ennen kuin niistä tulee ongelma ja päästään nopeasti kiinni vikojen juurisyihin”, Lindfors lupaa.

Ironnetin asiantuntijapalvelut ideoivat ja kehittävät uusia ratkaisuja ja auttavat niiden käyttöönotossa.

Lue lisää >>

Ironnet-palvelusopimus