SIEMS-CIMS integration: Secure upload of cyber-incident information to crisis information management systems

Abstract

Per i dag er det mangel på informasjonsdeling mellom personer som jobber på operasjonelt nivå med SIEMS (Security Incident and Event Management System) og personene som trenger å ta strategiske beslutninger under en krise. I norge benytter mange organisasjoner både offtenlig og privat systet CIM (kriseinformasjonsstyringssystem). Det er ingen integrasjon som gjør at informasjon som er tilgjengelig i SIEM kan sendes direkte til personene som håndterer krisen. Et ord som ofte brukes i denne oppgaven er handlingskraftig informasjon, med det menes det at man for informasjon som er god nok til å ta en beslutning. Vi har i arbeidet av denne oppgaven kartlagt at handlingskraftig informasjon er en mangelvare, der folk som jobber spesielt på taktisk nivå fikk informasjonen for sent og den var for lite relevant til å ta en beslutning i god tid. Jeg ønsker å utfordre denne problemstillingen, med det formål å øke effektiviteten og forbedre arbeidet med å håndtere cyberhendelser.

I denne oppgaven har jeg svart på de to forskningsspørsmålene: (1) hva er det siste innen SIEM- og CIM-systemer? (2) Er det mulig å lage et sikkert eskaleringsrammeverk og system for å bistå organisasjonen i krisehåndtering?

Jeg startet med å skaffe meg en oversikt over SIEM- og CIM-systemer på markedet i dag, hva er deres karakteristiske egenskaper, og hvordan de forenkler informasjonsdeling. Jeg har også utført observasjoner, undersøkelser og intervjuer for å innhente data, som involverer personer som jobber på taktisk og operasjonelt nivå med CIM-systemet, utviklere av CIM og deltakere i en cyberøvelse. Mine funn støtter at personer som jobber med CIM-er ikke har handslingskraftig informasjon og har et ønske om mer informasjon. En utfordring var å finne ut hvilken type informasjon personene i krisehåndteringsteamet trenger og når systemet skulle eskalere denne informasjonen.

Som et svar har jeg foreslått en sosio-teknisk eskaleringsmodell for hvordan informasjon fra SIEM kan eskaleres videre til CIM-systemet, ved å inkludere både eskalering av systemet selv og analytikere som bruker SIEM-systemet. Ved å implementere denne modellen i eksisterende systemer håper jeg at organisasjoner kan oppnå en mer effektiv krisehåndtering, som til gjengjeld kan redusere virkningen av en hendelse.

As of today, there is a lack of information-sharing between people working on operational level with SIEMS (Security Incident and Event Management System) and the people who need to do strategical decisions under a crisis, the crisis management team who uses the CIMS (Crisis Information Management System) . There is no integration that allows information that is available in SIEM, to be sent directly to the people handling the crisis. A word often used in this thesis is actionable information, which crisis management teams often lack during cyber incidents. I want to challenge this issue, for the purpose of increasing efficiency and improving the work towards managing cyber crisis.

In this thesis I have answered the two research questions: (1) what is the state of the art within SIEM and CIM systems? (2) Is it possible to create a secure escalation framework and system to assist the organization in crisis management?

I started by acquiring an overview of SIEM and CIM systems on the market today, what are their characteristic features, and how they facilitate information sharing. I have also performed observations, surveys and interviews to acquire data, involving people working on tactical and operational level with the CIM system, developers of CIM, and participants of a cyber exercise. My findings support that people working with CIMs do not have actionable information and have a desire for more information. A challenge was to figure out what type of information do the people in the crisis management team require and when should the system escalate this information.

As a response I have proposed a socio-technical escalation model on how information from SIEM can be escalated further to the CIM system, by including both escalation by the system itself and the analysts using the SIEM system. By implementing this model in existing systems, I hope that organizations can reach a more efficient crisis management, which in return could lessen the impact of an event.