Blog door Bas Marquering
De afgelopen jaren is de term ‘SIEM’ vaak voorbijgekomen in vakgerichte media als hét toverwoord voor het oplossen van veel security vraagstukken. Maar waar staat SIEM eigenlijk voor, en is het wel terecht dat dit wordt gepresenteerd als dé oplossing voor al uw security uitdagingen? En hoe kunt u SIEM gebruiken voor het aanscherpen van uw securitybeleid?
Wat is SIEM?
SIEM is echter niet een technologie of oplossing die 'even' geïmplementeerd kan worden, maar een proces dat ervoor zorgt dat relevante informatie uit alle ICT-componenten verzameld, geïnterpreteerd en geanalyseerd wordt. Op basis van deze analyses, kunnen kwetsbaarheden ontdekt worden en aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd. Met behulp van intelligente software wordt gekeken of er bijvoorbeeld afwijkende datastromen of patronen zijn waargenomen binnen de organisatie. Als er daadwerkelijk afwijkend gedrag geconstateerd wordt, kunnen er (geautomatiseerde) tegenmaatregelen genomen worden. Het is van belang dat deze maatregelen snel genomen worden, zodat de eventuele schade beperkt blijft.
Hoe start je met SIEM?
Voordat een organisatie klaar is om gebruik te maken van SIEM, zullen zij eerst de onderliggende diensten zoals 'vulnerability management' goed op orde moeten hebben. Met vulnerability management worden IT-kwetsbaarheden van een organisatie in kaart gebracht om deze kwetsbaarheden te managen. Hierbij kun je denken aan zaken als: zijn alle updates van diverse software en hardware geïnstalleerd en voldoen de configuraties van servers en firewalls aan de laatste veiligheidsstandaarden? Als alle kwetsbaarheden in kaart gebracht zijn en er voldoende maatregelen genomen zijn om deze te beperken, dan kan er over nagedacht worden om SIEM te implementeren. Als er geen stabiele security baseline is dan zal een SIEM-implementatie waarschijnlijk mislukken.
Hoe werkt SIEM?
SIEM maakt op grote schaal gebruik van informatie rondom bestaande kwetsbaarheden. Wanneer een organisatie nog geen grip heeft op deze kwetsbaarheden, dan zal de SIEM-oplossing melding maken van de gevonden kwetsbaarheden en een ongecontroleerde hoeveelheid meldingen genereren. Een stabiele security baseline is dus vereist voordat organisaties een volgende stap kunnen maken richting SIEM.
Omdat de SIEM-oplossing melding maakt van bestaande kwetsbaarheden, heeft deze toegang nodig tot de log-informatie uit de IT-omgeving om goed te kunnen functioneren. Denk hierbij aan: logging vanuit de firewalls, switches, Office 365, servers & accounts. De SIEM-software verzamelt en combineert deze log-informatie uit verschillende bronsystemen, dit wordt ook wel correleren genoemd.
Met de in kaart gebrachte kwetsbaarheden en verzamelde loginformatie gaat de SIEM-software de verzamelde informatie correleren om vervolgens (hack)scenario’s en patronen te toetsen op de IT-omgeving om zo te bepalen of er mogelijke dreigingen bestaan voor de organisatie.
Voorbeelden van mogelijke scenario’s en patronen:
- Er staat een gevaarlijke poort open op de firewall die te misbruiken is
- Er is een kwetsbaarheid gevonden op de server die door ransomware misbruikt kan worden
- Er is een administrator-account met volledige rechten aangemaakt midden in de nacht zonder toestemming van de IT-manager
- Een gebruikersaccount heeft een reistechnisch onmogelijke log-in poging (bijvoorbeeld een inlog vanuit Nederland en binnen een uur ook vanuit Thailand)
Als er verdachte omstandigheden uit de analyses komen dan zal dit leiden tot een melding vanuit het systeem. Afhankelijk van het type actie die hieruit volgt, kan de actie geautomatiseerd uitgevoerd worden of kan het leiden tot een handmatige beoordeling binnen het securityteam of SOC (Security Operations Center). Diverse managed security dienstverleners bieden dan ook een 24x7 (SOC) dienst aan waarbij er 24x7 geacteerd wordt op dreigingen die geconstateerd zijn met de SIEM-oplossing.
Veelgemaakte fout bij SIEM
Een valkuil bij het implementeren van SIEM is een overdaad aan meldingen. Een grote hoeveelheid false/positive-meldingen vanuit SIEM duidt erop dat er een incident plaatsvindt, terwijl dat niet het geval is. Dit kan er toe leiden dat belangrijke meldingen niet meer opvallen en medewerkers meldingen eerder als niet relevant zullen beschouwen als er veel van meldingen gegenereerd worden. Dit terwijl er wel relevante meldingen tussen kunnen zitten. Het is daarom van belang bij het implementeren van een SIEM-oplossing de organisatie al een security baseline heeft en er al maatregelen genomen zijn om de kwetsbaarheden tot een minimum te beperken, waardoor ook het aantal overbodige meldingen tot een minimum beperkt wordt.
Waarom SIEM in mijn organisatie?
Er zijn een aantal redenen waarom het voor een organisatie interessant kan zijn om een SIEM-oplossing te implementeren:
- Het bereiken van ‘tijdig inzicht’ over het gehele IT-landschap
- Snelle diagnose & probleemoplossing
- Lager risico op cyberaanvallen zoals hacks en ransomware
- Direct inzicht in kwetsbaarheden en pro-actief sturen
- Verhogen en waarborgen van operationele continuïteit
- Dashboards met real-time security-data en informatie
- Compliance rapportages
- Retentie en opslag van gegevens zodat op een later moment onderzoek (IT Forensic) gedaan kan worden in geval van een calamiteit.
Wilt u weten of uw organisatie klaar is voor het implementeren van een SIEM-oplossing of wilt u met ons in gesprek over hoe een dergelijk proces sterk kan bijdragen aan de veiligheid van uw IT-omgeving? Neem dan contact met mij of één van mijn collega’s op. Wij helpen u graag verder!
Bas Marquering
Security Consultant bij Unica ICT Solutions, ruim 20 jaar werkzaam in de IT security en CISSP en CCSP gecertificeerd.