Kulunvalvonnan yhdistäminen CSOC-valvontaan
Pauli, Pietikäinen (2022)
Pauli, Pietikäinen
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202201171353
https://urn.fi/URN:NBN:fi:amk-202201171353
Tiivistelmä
Toimeksiantona oli liittää kulunvalvontajärjestelmä Security Incident and Event Management (SIEM)-järjestelmään. Tällä liitoksella oli tarkoitus tuoda fyysisen turvallisuuden kulunvalvontadataa osaksi Cyber Security Operatios Center (CSOC)-toiminnassa toteutettavaa tietoturvavalvontaa. Toimeksiantaja halusi selvittää, miten fyysisen ja digitaalisen turvan yhdistämisellä voitaisiin tehostaa kyberturvallisuuden valvonnassa suoritettavaa identiteetin turvaamista, ja siten tuottaa lisäarvoa asiakkaille. Tästä aiheesta ei olla vielä tehty monia julkaisuja tai ratkaisuja suomen kielellä, ja aihe on muutenkin tuore tietoturvatoiminnassa.
Opinnäytetyön toimeksiantaja on Loihde Trust Oy, joka on osa Loihde-konsernia. CSOC on Loihteen kyberturvallisuuden valvontaa tuottava tiimi. Opinnäytetyö tehdään osana toimeksiantajan yksi turvallisuus-kehitysprojektia ja sisäistä kehitystyötä.
Teoriaosuudessa esitellään kulunvalvontateknologian ja digitaalisen turvallisuuden periaatteita CSOC-toiminnan näkökulmasta, sekä mitä lisäarvoa niiden yhdistäminen SIEM-järjestelmässä voi tuottaa. Tarkemmin perehdytään myös siihen, miten kulunvalvontadatalla voidaan auttaa CSOC-analyytikoita tutkimaan ja reagoimaan tietoturvatapahtumiin.
Käytännönosuus kuvaa prototyyppitason toteutusta lokiliitoksesta järjestelmien välillä, joka luotiin toimeksiantajan testiympäristössä. Kulunvalvontajärjestelmästä luotiin yhteys SIEM-järjestelmään. Kulunvalvontadatan pohjalta luotiin alustavia tietoturvasääntöjä, joilla havainnollistettiin liitoksen toimintaa. Lisäksi opinnäytetyön tekemisessä otettiin huomioon dokumentaatio jatkokehityksen kannalta. Dokumentaatiota tullaan käyttämään jatkokehityksessä, jos toimeksiantaja kokee sen mielekkääksi.
Opinnäytetyön käytännönosuudessa esiintyvät tuotteet (kulunvalvonta ja SIEM-järjestelmät) on määritellyt toimeksiantaja eikä niitä esitellä nimellä salassapitosyistä. Myöskään toimeksiantajalle tuotettua tarkempaa dokumentaatiota ei esitetä opinnäytetyön yhteydessä. The objective of this Bachelor’s thesis was to develop an integration between a physical access control system and Security Incident and Event Management-platform (SIEM). The purpose of this integration was to bring data from the physical access control systems to be used in information security monitoring performed by Cyber Security Operations Center (CSOC). The client wanted to investigate how the combination of physical and digital security could be used to enhance identity protection efforts carried out by a cybersecurity team. There are not many Finnish publications or solutions about this subject, and it is rather new in the cybersecurity space overall.
The thesis was commissioned by Loihde Trust Oy, which is part of Loihde Group. Loihde Trust has cybersecurity team that produces cybersecurity monitoring services. The thesis was made as a part of Loihde Trust’s “yksi turvallisuus”-development project.
The theoretical part presents principles of physical access control and digital security and how much added value combining their data can create, from the viewpoint of a cyber security operations center. The more in-depth focus is on how data from physical access control system can be used to help a CSOC analyst to investigate and respond to information security incidents.
The practical part illustrates how a proof of concept was made of the log integration between the two systems. This was implemented with tools and demo environment that Loihde Trust provided. The log from the physical access control system was used to make preliminary rules to demonstrate the functionalities of this integration. Part of the thesis was also to provide documentation of the project that can be used in further development.
Most of the products and solutions that appear in the proof of concept, as well as the documentation about it, will be obfuscated or not named due to the secrecy requirements of the project.
Opinnäytetyön toimeksiantaja on Loihde Trust Oy, joka on osa Loihde-konsernia. CSOC on Loihteen kyberturvallisuuden valvontaa tuottava tiimi. Opinnäytetyö tehdään osana toimeksiantajan yksi turvallisuus-kehitysprojektia ja sisäistä kehitystyötä.
Teoriaosuudessa esitellään kulunvalvontateknologian ja digitaalisen turvallisuuden periaatteita CSOC-toiminnan näkökulmasta, sekä mitä lisäarvoa niiden yhdistäminen SIEM-järjestelmässä voi tuottaa. Tarkemmin perehdytään myös siihen, miten kulunvalvontadatalla voidaan auttaa CSOC-analyytikoita tutkimaan ja reagoimaan tietoturvatapahtumiin.
Käytännönosuus kuvaa prototyyppitason toteutusta lokiliitoksesta järjestelmien välillä, joka luotiin toimeksiantajan testiympäristössä. Kulunvalvontajärjestelmästä luotiin yhteys SIEM-järjestelmään. Kulunvalvontadatan pohjalta luotiin alustavia tietoturvasääntöjä, joilla havainnollistettiin liitoksen toimintaa. Lisäksi opinnäytetyön tekemisessä otettiin huomioon dokumentaatio jatkokehityksen kannalta. Dokumentaatiota tullaan käyttämään jatkokehityksessä, jos toimeksiantaja kokee sen mielekkääksi.
Opinnäytetyön käytännönosuudessa esiintyvät tuotteet (kulunvalvonta ja SIEM-järjestelmät) on määritellyt toimeksiantaja eikä niitä esitellä nimellä salassapitosyistä. Myöskään toimeksiantajalle tuotettua tarkempaa dokumentaatiota ei esitetä opinnäytetyön yhteydessä.
The thesis was commissioned by Loihde Trust Oy, which is part of Loihde Group. Loihde Trust has cybersecurity team that produces cybersecurity monitoring services. The thesis was made as a part of Loihde Trust’s “yksi turvallisuus”-development project.
The theoretical part presents principles of physical access control and digital security and how much added value combining their data can create, from the viewpoint of a cyber security operations center. The more in-depth focus is on how data from physical access control system can be used to help a CSOC analyst to investigate and respond to information security incidents.
The practical part illustrates how a proof of concept was made of the log integration between the two systems. This was implemented with tools and demo environment that Loihde Trust provided. The log from the physical access control system was used to make preliminary rules to demonstrate the functionalities of this integration. Part of the thesis was also to provide documentation of the project that can be used in further development.
Most of the products and solutions that appear in the proof of concept, as well as the documentation about it, will be obfuscated or not named due to the secrecy requirements of the project.