SIEM-platformen (Security Information and Event Management) spelen een cruciale rol bij het monitoren van en reageren op beveiligingsincidenten. SIEM-tools verzamelen en analyseren beveiligingsgegevens uit meerdere bronnen en trekken hier conclusies uit, waardoor organisaties snel potentiële bedreigingen kunnen identificeren en hierop kunnen reageren.
Het configureren en voortdurend optimaliseren van de SIEM rondom jouw organisatie en zijn gegevens is de enige manier om echt toegevoegde waarde uit de oplossing te halen. In dit blog bespreken we wat er mis kan gaan als je dit niet onder controle hebt en welke expertise nodig is om deze krachtige tools tot hun volle recht te laten komen.
Voor elke organisatie de cyberbedreigingen serieus neemt en die haar cyberverdediging wil opbouwen, is een SIEM tegenwoordig een cruciaal hulpmiddel. SIEM-oplossingen bewaken en analyseren gegevens uit logbestanden, toepassingen, apparaten, firewalls, antivirussoftware en andere beveiligingstools om organisaties te helpen bij het identificeren van en reageren op beveiligingsrisico's wanneer deze zich voordoen.
Waarom heb je een SIEM nodig?
- Om te weten of je bent gecompromitteerd. Bij een cyberaanval is snelheid essentieel. SIEM-tools helpen je om ongeoorloofde activiteiten op jouw netwerk sneller te detecteren en te stoppen, zodat je de schade die een cybercrimineel kan aanrichten tot een minimum kunt beperken.
- Om inzicht te krijgen in de omvang en de impact van een cyberinbreuk. SIEM-tools leveren waardevolle informatie die nodig is voor digitaal forensisch onderzoek en analyse, zodat je weet welke toegang een crimineel heeft verkregen en welke systemen of gegevens zijn gecompromitteerd. Dit is essentieel voor het rapporteren en beheren van cyberincidenten.
- Om kwetsbaarheden in de beveiliging opsporen die in de toekomst tot een inbreuk kunnen leiden. SIEM-hulpprogramma's helpen je om gaten in jouw beveiligingscontroles op te sporen die een vroegtijdig waarschuwingssysteem bieden, zodat je jouw algehele cyberbeveiligingshouding stap voor stap kunt verbeteren.
Waarom zou je jouw SIEM moeten optimaliseren?
SIEM-platforms zijn slechts echt nuttig als er tijd en moeite gestoken wordt in het configureren ervan zodat ze passen bij jouw organisatie en de te beschermen gegevens. Simpelweg een SIEM ‘out of the box’ implementeren, of zonder de juiste configuratie, kan meer kwaad dan goed doen.
Een goed geoptimaliseerde SIEM biedt real-time inzicht in de beveiligingsstatus van een organisatie, zodat beveiligingsteams snel beveiligingsrisico's kunnen identificeren en beperken. Dit omvat het definiëren van regels en beleidslijnen, het instellen van waarschuwingen en meldingen, het configureren van gegevensstromen en het integreren van gerelateerde tools met de SIEM. Om dit allemaal effectief te kunnen doen, is een grondig begrip nodig van jouw IT-omgeving, gegevens, context en de beveiligingsdoelstellingen van jouw organisatie.
Om maximale waarde uit jouw SIEM te halen, moet de configuratie in lijn zijn met het IT-beveiligingsbeleid en daarbuiten met de bredere bedrijfsdoelstellingen. Het is ook noodzakelijk om regelmatig evaluaties uit te voeren om ervoor te zorgen dat het systeem optimaal presteert.
Wat een SIEM moet doen:
Gegevens samenvoegen en logs beheren
Jouw SIEM moet gebeurtenisgegevens verzamelen en loggen vanuit geselecteerde bronnen zoals databases, servers, gebruikers, firewalls en applicaties. De oplossing aggregeert, analyseert en presenteert de gegevens vervolgens op één locatie waar beveiligingsteams ze kunnen evalueren. Weten welke bronnen je moet kiezen is van vitaal belang om ervoor te zorgen dat je de juiste detectieregels hebt, en is zeer specifiek voor jouw organisatie en de gegevens die erin staan.
Waarschuwingen genereren op basis van verdacht gedrag
De belangrijkste functie van een SIEM is het detecteren van afwijkend gedrag dat kan duiden op een cyberaanval. In dat geval genereert de SIEM onmiddellijk een waarschuwing, zodat het team kan onderzoeken en bepalen of de waarschuwing een echte bedreiging vormt.
Gegevensdiefstal detecteren
SIEM-oplossingen moeten ongeoorloofde pogingen van gebruikers om gevoelige gegevens te verwijderen, kopiëren of over te dragen buiten het systeem detecteren en markeren.
Systeemwijzigingen bewaken
Gebruikers die proberen te knoeien met beveiligingsconfiguraties en auditlogs zijn verdacht. SIEM-platforms hebben de mogelijkheid om het verwijderen van logs of wijzigingen in de geschiedenis van gebeurtenissen te identificeren, wat kan duiden op een cyberaanval die aan de gang is.
Creëer een bewijsspoor voor compliance-doeleinden
SIEM-oplossingen moeten duidelijk vastleggen welke gegevens zijn geopend, gelezen of gekopieerd, inclusief het tijdstip en de verantwoordelijke gebruiker. Dit helpt je inzicht te krijgen in de omvang en impact van een inbreuk en hoe je eventuele zwakke plekken in de beveiliging kunt verhelpen. Dit bewijsspoor helpt organisaties ook om te voldoen aan de regelgeving op het gebied van privacy en gegevensbescherming. In het geval van een datalek helpt een gedetailleerde bewijsspoor je om te voldoen aan je rapportageverplichtingen aan de toezichthouder voor gegevensbescherming.
De gevolgen van een slecht geconfigureerde/geoptimaliseerde SIEM
In deze blog gebruiken we twee termen die het waard zijn om even precies te omschrijven:
- Configuratie, om de initiële set-up van het SIEM-platform te beschrijven voor het verzamelen van logbronnen, correlatieregels en detectieregels.
- Optimalisatie, om de fijnafstelling van de SIEM op terugkerende basis te beschrijven, gebaseerd op de analyse van hoe nauwkeurig en nuttig de waarschuwingen zijn.
Het slechtst denkbare scenario voor een slecht geconfigureerde SIEM is het verhoogde risico op een succesvolle cyberaanval, die resulteert in de buitmaking van gevoelige data. Echter, lang voordat dit worst case scenario is bereikt, kunnen slecht geconfigureerde SIEM-platforms IT- en beveiligingsteams opzadelen met een reeks problemen, waarvan sommige technisch zijn, terwijl andere te maken hebben met mensen en processen.
Valse meldingen en waarschuwingsmoeheid
Als de SIEM wordt ingezet met een standaard out-of-the-box configuratie, of slecht geconfigureerd is, zal een lawine van waarschuwingen het eerste zijn wat het team zal zien. De meeste hiervan zijn vals-positieven en het doorzoeken ervan zal IT- en beveiligingsteams snel overweldigen, wat leidt tot alertmoeheid.
“Alertmoeheid betekent in wezen dat je ongevoelig wordt voor de waarschuwingen die binnenkomen... Als je ongevoelig wordt, ga je door de bomen het bos niet meer te zien. Je filtert het liever weg en maakt aannames over waar de waarschuwing over gaat, in plaats van actief te kijken naar wat er aan de hand is. Dat gebeurt omdat er zoveel aan de hand is.”
Shane Aisbett, Claranet Cyber Practice Service Lead
Niet alleen is het doorzoeken van fout-positieven een verspilling van tijd en middelen, maar het kan ook leiden tot gemiste kansen om echte beveiligingsincidenten te voorkomen.
Onvolledige verzameling van gebeurtenissen
Om verdachte activiteiten binnen een datastroom of logboek te identificeren, moeten deze worden gemonitord. Als bepaalde gegevensbronnen ontbreken of als de analyseregels niet goed zijn geconfigureerd, kan de SIEM ongewoon gedrag of potentiële beveiligingsincidenten niet identificeren. Dit kan leiden tot gemiste compromisindicatoren die resulteren in de voortgang van een cyberaanval die eerder opgemerkt had kunnen worden.
Oplopende licentiekosten
De keerzijde van te weinig logs opnemen is er te veel opnemen. Dit leidt tot een grotere behoefte aan opslag en gegevensverwerking, waardoor de SIEM meer systeembronnen verbruikt dan nodig is en de algehele prestaties van het netwerk negatief worden beïnvloed. Daarnaast, omdat veel SIEMs gebruikers laten betalen op basis van de hoeveelheid gegevens die ze verwerken, zal het opnemen van meer logs dan nodig is, leiden tot hogere bedrijfskosten.
Bedreigende actoren niet gedetecteerd
Wanneer een SIEM-tool niet beschikt over de juiste correlatieregels, detectiemechanismen en integraties met andere tools, is het mogelijk dat de Indicators of Compromise (IOC's) die een cyberaanval in gang zetten, geen waarschuwingen genereren. Als deze waarschuwingen in een vroeg stadium worden gemist door een slechte configuratie, kunnen bedreigingsactoren hun aanval voortzetten en nog meer schade aanrichten voordat hun acties worden ontdekt.
Beperkte functionaliteit
De meeste goede SIEM-oplossingen integreren met andere beveiligingstools voor uitgebreide zichtbaarheid en kunnen verschillende handmatige en tijdrovende taken automatiseren. Als je echter geen gebruik maakt van deze integratie- en automatiseringsmogelijkheden, beperkt dat de dekking van de SIEM over het hele netwerk en de soorten taken die het kan automatiseren.
Compliance fouten
Slecht geconfigureerde SIEM-oplossingen kunnen onnauwkeurig gegevens verzamelen en rapporteren die nodig zijn voor naleving van regelgeving.
Waarom gebeurt dit?
Waarom worden SIEM-platforms ingezet zonder de configuratie en optimalisatie die ze nodig hebben om effectief te werken?
Er zijn drie veel voorkomende oorzaken:
- Gebrek aan tijd
- Gebrek aan budget en middelen
- Gebrek aan expertise
Deze drie hoofdoorzaken zijn onlosmakelijk met elkaar verbonden. Zonder de nodige expertise zal het langer duren om je SIEM te configureren en later te optimaliseren. Hoe langer het duurt, hoe meer budget en middelen het werk van het configureren en optimaliseren opslokt. En als je team bedolven wordt onder een lawine van waarschuwingen (waarvan de meeste vals-positieven zijn), dan zullen ze minder tijd hebben om te besteden aan het optimaliseren van de SIEM. Het is een vicieuze cirkel.
Het is niet onmogelijk om zelf een SIEM-tool aan te schaffen, te configureren en te beheren. Maar veel organisaties kiezen deze weg omdat ze zich niet bewust zijn van de complexiteit die komt kijken bij het correct instellen van een SIEM, en de vaardigheden die nodig zijn om het te configureren en optimaliseren zodat het effectief werkt, evenals de middelen die nodig zijn om de waarschuwingen die het produceert te bewaken en te onderzoeken.
Om de valkuilen van een slecht geconfigureerde SIEM te vermijden, moet een organisatie alle drie bovenstaande hoofdoorzaken aanpakken. Om dit te doen is een team van toegewijde experts nodig dat eerst de SIEM configureert, deze vervolgens bewaakt en waarschuwingen doorzeeft om vals-positieven te onderscheiden van echt verdacht gedrag. Na verloop van tijd zal dat team de detectieregels verder optimaliseren om het aantal valse meldingen dat de SIEM genereert te verminderen. Als de bestaande IT- of beveiligingsteams niet over de tijd en/of expertise beschikken om de SIEM te configureren, bewaken en optimaliseren, lijdt er iets: ofwel de detectiecapaciteit van de organisatie neemt af, ofwel het team heeft minder tijd om hun gebruikelijke taken uit te voeren.
“Deze tools hebben liefde, zorg en aandacht nodig, anders worden ze alleen maar een bron van ruis en frustratie.”
Tom Kinnaird, Claranet Cyber Practice Service Lead
Daarom kijken veel organisaties naar managed security service providers (MSSP's) om hun SIEM te configureren en te monitoren als onderdeel van een Managed Detection and Response-service.
| Wat te doen | Hoe dit zal helpen |
|---|---|
| Kies een SIEM-platform dat goed bij jouw organisatie en haar data past. | Dit zorgt ervoor dat jouw SIEM geschikt is om logs op te nemen van alle noodzakelijke bedrijfsmiddelen in jouw IT-omgeving. Als de organisatie bijvoorbeeld Microsoft-native is en je Azure gebruikt voor jouw cloudplatform, kan het zinvol zijn om juist Microsoft Sentinel te gebruiken als jouw SIEM.
Ze moeten er ook voor zorgen dat jouw SIEM schaalbaar is en kan meegroeien met jouw behoeften. |
| Configureer logboekverzameling vanuit de juiste bronnen. | Veel organisaties zeggen dat ze alles willen loggen met als doel zoveel mogelijk gegevens te verzamelen om een mogelijke cyberaanval af te wenden. Een deskundige SOC-engineer die jouw organisatie en de data begrijpt, zal echter helpen om logbronnen te elimineren die geen waarde toevoegen (omdat de gegevens die ze opnemen minder bruikbaar zijn als indicator van compromittering of een duplicaat zijn van gegevens die afkomstig zijn van een andere bron). Ze kunnen ook advies geven over de logbronnen die het meeste effect hebben bij het detecteren van verdacht gedrag. |
| Comprimeer logbestanden om ruimte en kosten te besparen. | Syslog is een standaard die logs normaliseert en alleen essentiële informatie bewaart in een gestandaardiseerd formaat. Met Syslog kun je logs comprimeren en grote hoeveelheden historische gegevens bewaren. Door de input en de gegevens die worden opgeslagen af te stemmen, kun je de loggrootte drastisch verminderen en zo de licentiekosten verlagen. |
| Voer de nieuwste informatie over bedreigingen in jouw SIEM in en werk de detectieregels bij op basis van nieuwe aanvalstechnieken. | Deskundige SOC-analisten gebruiken informatie over bedreigingen om zelf te bepalen of een waarschuwing verdacht gedrag is. Maar ze kunnen ook jouw SIEM programmeren met nieuwe detectieregels op basis van nieuwe informatie over bedreigingen, zodat het in staat is de nieuwste tactieken, technieken en procedures van actoren in bedreigingen te herkennen. |
| Optimaliseer correlatieregels verder om het aantal vals-positieven te verminderen en de detectiemogelijkheden te verfijnen. | Het doel van het optimaliseren van de SIEM na verloop van tijd is om ervoor te zorgen dat de configuratie nog steeds relevant en nuttig is en effectief voldoet aan de specifieke beveiligingsvereisten van jouw organisatie. De correlatieregels van jouw SIEM zullen daarom op maat worden gemaakt voor jouw bedrijf en de gegevens.
In de praktijk kan dit betekenen dat er wordt gekeken waarom er vals-positieven zijn gegenereerd, door direct met jou samen te werken om te begrijpen wat in jouw omgeving de waarschuwingen triggert en vervolgens de detectieregels verder af te stemmen om deze vals-positieven te elimineren. Zelfs zonder cyberaanval zal dit proces van optimalisatie helpen om het beveiligingsbeleid en de beveiligingsprocessen in de loop van de tijd aan te scherpen. |
| Integreer nieuwe technologieën en infrastructuur in jouw SIEM wanneer jouw IT-omgeving verandert. | Dit zorgt ervoor dat de SIEM goed is uitgerust om veranderingen in je netwerk te verwerken, of ze nu permanent of tijdelijk zijn.
Naarmate bedrijven groeien en zich ontwikkelen, kan een toenemende hoeveelheid gegevens de SIEM overweldigen, waardoor de prestaties verslechteren, de responstijden vertragen en de kosten escaleren. Als jouw IT-omgeving drastisch verandert, moeten de logbronnen die de SIEM-oplossing gebruikt, worden bijgewerkt. Dit kan bijvoorbeeld het geval zijn: Ook als je cloud engineers hebt, kunnen er soms nieuwe resources worden aangemaakt die enkele minuten of uren duren. Deze resources moeten worden bewaakt voor beveiligingsdoeleinden. |
Hoe u het meeste uit de samenwerking met jouw MSSP haalt
Als je besluit een Managed Detection and Response-dienst af te nemen, zal jouw MSSP waarschuwingen monitoren en je adviseren over de beste manier van handelen in het geval van een bevestigde cyberaanval. Naast het configureren en optimaliseren van jouw SIEM, neemt het investeren in een Managed Detection and Response-service de druk op jouw team weg om alle waarschuwingen te onderzoeken, triage uit te voeren en de beste handelswijze te bepalen.
Claranet’s Managed Detection and Response-dienst versterkt jouw detectiecapaciteit, zodat je binnen enkele minuten kunt reageren op cyberaanvallen, met een strijdplan van een expert aan jouw zijde.
Overweeg deze drie adviezen om het meeste te halen uit de samenwerking met een MSSP:
- Geef duidelijk aan wat je beveiligingsdoelen zijn. Wat hoop je te bereiken met je Managed Detection and Response-dienst? Hierdoor kan jouw partner je meer opties geven over hoe ze je kunnen helpen.
- Laat jouw MSSP nauw samenwerken met jouw IT- en beveiligingsteams. Hoe meer ze weten over jouw IT-omgeving en het gedrag van jouw medewerkers en gebruikers, hoe beter ze u kunnen adviseren over hoe u verdachte activiteiten kunt detecteren en hierop kunt reageren.
- Werk samen met jouw MSSP om een stappenplan op te stellen. Wilt u dat jouw SIEM vanaf het begin de hele IT-omgeving dekt, of alleen een deel van jouw netwerk of organisatie, om eerst de effectiviteit en waarde ervan te bewijzen en van daaruit verder uit te breiden?
Als je meer wilt weten over hoe je jouw beveiliging kunt verbeteren en hoe je kunt reageren op een cyberaanval, neem dan contact op met ons op over onze Managed Detection and Response-dienst.