Haavoittuvuusskannausten ja IDS-hälytyksien ristiinkorrelointi AlienVault OSSIM SIEM -järjestelmässä
Hyvärinen, Teemu (2013)
Hyvärinen, Teemu
Jyväskylän ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013091815373
https://urn.fi/URN:NBN:fi:amk-2013091815373
Tiivistelmä
Työn toimeksiantajana toimi JYVSECTEC, joka on kyberturvallisuusteknologian kehittämishanke. Hankkeen tarkoituksena on ylläpitää ja kehittää kyberturvallisuuden kehitysympäristöä (RGCE, Realistic Global Cyber Environment), joka toimii esimerkiksi kehitys-, testaus- ja koulutusalustana.
Työn lähtökohtana oli tutustua yhteen kyberturvallisuuden tilannekuvan ymmärtämiseen kehitettyyn Security Information and Event Management (SIEM) vapaan lähdekoodin ohjelmistoon. Tämä ohjelmisto oli AlienVault OSSIM SIEM. Tavoitteena oli tutkia (ottaa käyttöön ja dokumentoida) tämän järjestelmän korrelointi- ja erityisesti ristiinkorrelointiominaisuutta (engl. Cross Correlation), jossa korreloidaan tietoa haavoittuvuusskannausten ja IDS-järjestelmien hälytysten välillä, JYVSECTEC-projektin testausmaailmassa.
Tuloksien pohjalta oli nähtävissä, ettei AlienVault OSSIM SIEM -järjestelmän ristiinkorreloinnin toiminnallisuus kykene kaikkiin mahdollisiin käyttötarkoituksiin mitä siltä voisi olettaa löytyvän. Se, että onko kyse viallisesta toiminnallisuudesta vai ominaisuuksien puuttumisesta, jäi selvittämättä. Tämä herättää myös kysymyksen siitä, onko avoimen lähdekoodin järjestelmä riittävä suojaamaan oikein tuotantoverkon laitteita? AlienVault OSSIM SIEM -järjestelmän rinnalle on AlienVault kehittänyt myös kaupallisen tuotteen, AlienVault USM SIEM -järjestelmän, jolle luvataan jatkuvasti viikoittain päivittyvät uhkatietokannat ja korrelaatiosääntökokoelmat.
Työni tulokset herättävät väistämättä jatkokehitysideoita. Kuinka vastaavat ristiinkorrelaation toiminnallisuudet toimivat muissa vapaan lähdekoodin SIEM/SEM-järjestelmissä tai kaupallisessa SIEM-järjestelmässä? Tämän lisäksi mahdollinen tutkittava asia olisi AlienVault OSSIM SIEM-järjestelmän monimutkaisempi muokkaaminen.
Opinnäytetyön toteutusta hyödynnetään myöhemmin JYVSECTEC-tietoturvahankkeen parissa.
Työn lähtökohtana oli tutustua yhteen kyberturvallisuuden tilannekuvan ymmärtämiseen kehitettyyn Security Information and Event Management (SIEM) vapaan lähdekoodin ohjelmistoon. Tämä ohjelmisto oli AlienVault OSSIM SIEM. Tavoitteena oli tutkia (ottaa käyttöön ja dokumentoida) tämän järjestelmän korrelointi- ja erityisesti ristiinkorrelointiominaisuutta (engl. Cross Correlation), jossa korreloidaan tietoa haavoittuvuusskannausten ja IDS-järjestelmien hälytysten välillä, JYVSECTEC-projektin testausmaailmassa.
Tuloksien pohjalta oli nähtävissä, ettei AlienVault OSSIM SIEM -järjestelmän ristiinkorreloinnin toiminnallisuus kykene kaikkiin mahdollisiin käyttötarkoituksiin mitä siltä voisi olettaa löytyvän. Se, että onko kyse viallisesta toiminnallisuudesta vai ominaisuuksien puuttumisesta, jäi selvittämättä. Tämä herättää myös kysymyksen siitä, onko avoimen lähdekoodin järjestelmä riittävä suojaamaan oikein tuotantoverkon laitteita? AlienVault OSSIM SIEM -järjestelmän rinnalle on AlienVault kehittänyt myös kaupallisen tuotteen, AlienVault USM SIEM -järjestelmän, jolle luvataan jatkuvasti viikoittain päivittyvät uhkatietokannat ja korrelaatiosääntökokoelmat.
Työni tulokset herättävät väistämättä jatkokehitysideoita. Kuinka vastaavat ristiinkorrelaation toiminnallisuudet toimivat muissa vapaan lähdekoodin SIEM/SEM-järjestelmissä tai kaupallisessa SIEM-järjestelmässä? Tämän lisäksi mahdollinen tutkittava asia olisi AlienVault OSSIM SIEM-järjestelmän monimutkaisempi muokkaaminen.
Opinnäytetyön toteutusta hyödynnetään myöhemmin JYVSECTEC-tietoturvahankkeen parissa.