Europas eneste SIEM-udbyder er dansk - nu kaster de sig over machine learning
LogPoint, grundlagt for 10 år siden i Danmark, er Europas eneste SIEM-udbyder. Man bider skeer med globale spillere som Splunk, IBM, Elastic og AT&T Cybersecurity.
LogPoints værktøjer bruges af større virksomheder og af udbydere af netværksovervågning og it-infrastruktur, så som NNIT og KMD i Danmark. I udlandet er det virksomheder som Telia Cygate, CGI, Orange Cyberdefense og Capgemini, der er blandt de mere end 60 partnere LogPoint har certificeret.
Som noget unikt blandt SIEM-udbydere samler LogPoint forskellige typer logfiler og oversætter dem til et fælles log-format. Det giver et særlig bredt og stort datagrundlag for sikkerhedsanalyse og et optimalt grundlag for brugen af machine learning, der netop kræver store datamængder.
To niveauer
»Man kan sige, at vores system arbejder i to niveauer. Vi starter med en mere konventionel overvågning og analyse af logdata og så lægger vi machine learning ovenpå, «forklarer LogPoints CTO Christian Have.
LogPoints SIEM indsamler logdata på tværs af virksomheden, det være sig applikationer, netværksinfrastruktur, OT miljøer, cloud etc. På disse data udfører man generelle automatiserede søgninger for at afdække trusler.
Et eksempel på en sådan forespørgsel kunne være, at man beder systemet om at holde øje med alle medarbejdere med administrative rettigheder, der logger på virksomhedens system i udlandet, mens de modstridende samtidig sidder på kontoret i Danmark. Dette er en helt klassisk søgning, som øjeblikkeligt udløser en alarm, fordi det er en potentiel trussel.
Ifølge Christian Have kommer machine learning i spil, når det ikke er muligt at stille denne type kendte spørgsmål. Det handler om at finde brugeradfærd, der afviger fra normalen, og uden machine learning kan man ikke gennemføre et tilstrækkeligt antal effektive søgninger for at finde mistænkelig brugeradfærd. Inden for cybersikkerhed kaldes det ”user and entity behaviour analytics” forkortet UEBA.
Prioritering af alarmer
Desuden anvender LogPoint machine learning til at hjælpe overbebyrdede sikkerhedsanalytikere med at skelne falske alarmer fra den ægte vare. Machine learning kan prioritere alarmerne og give et bud på, hvor alvorlig en konkret alarm er i forhold til andre alarmer.
Her kigger systemet på, om der er en kobling fra denne alarm til andre alarmer, f.eks. om man har set den bruger alarmen vedrører i forbindelse med andre alarmer.
Desuden hjælper systemet analytikeren med at håndtere alarmen korrekt, baseret på tidligere håndteringer. Systemet registrerer, hvilke skridt analytikeren tager for at vurdere og håndtere alarmen, f.eks. om hun henter trusselsinformation eller slår op i et register.
Analyse over analyser
»En sådan kæde af begivenheder kan også konstrueres af en computer,« forklarer Christian Have.
»Disse kæder af beviser repræsenterer vi i en graf-database. Databasen arbejder med relationer mellem data og dermed får du mulighed for at lave analyser over dine analyser. Dermed kan vi automatisk forbedre de efterforskningsskridt analytikeren tager.«
»Det er ikke trivielt og der er ikke mange virksomheder globalt, der løser den type opgaver,« forklarer Christian Have.
»Og det har en enorm effekt på sikkerhedsanalytikerens daglige arbejde. Vores system observerer de skridt analytikeren tager og næste gang noget tilsvarende sker vil LogPoint automatisk gentage dem. Derefter vil LogPoint gætte på, hvilken evaluering analytikeren laver, når svaret kommer tilbage. På den måde kan systemet ved hjælp af machine learning faktisk agere som en analytiker. Dermed accelererer vi analytikerens arbejde og netop det er nøgleordet for det vi laver i LogPoint: Vi accelererer evnen til at finde og reagere på sikkerhedstrusler.«
»Mennesker begår også fejl. Man overser ting, man bliver distraheret eller er overbebyrdet. Når detection er tunet rigtigt, kan man udelukke den menneskelige fejlkilde og arbejde struktureret med at forøge præcisionen af algoritmerne i stedet – og gøre det i stor skala,« siger Christian Have.
Underskud af analytikere og overflod af data
Ifølge Christian Have er der er globalt set et stort underskud af sikkerhedsanalytikere. Eksperter vurderer, at der mangler ca. 2 mio. analytikere.
LogPoint bidrager til at mindske den ubalance med machine learning og kunstig intelligens, så den enkelte analytiker bliver mere effektiv og får mulighed for at fokusere på det væsentlige.
»Med machine learning automatiserer vi overvågningen og gør det som ingen mennesker kan, f.eks. at analysere de ca. 1 mia. logs en mellemstor virksomhed generer om ugen og derefter finde de cirka 25, der udgør en trussel og som skal håndteres.«
Læs mere om machine larning og UEBA hos LogPoint her. LogPoint accelererer evnen til at finde og reagere på sikkerhedstrusler og bidrager på den måde til, at den enkelte analytiker bliver mere effektiv og får mulighed for at fokusere på det væsentlige.
