Security Incident & Event Management

Security Incident & Event Management (SIEM) zorgt als oplossing voor monitoring, detectie en alertering van security events of -incidenten in een IT omgeving. SIEM biedt een uitgebreid en gecentraliseerd overzicht over de algehele security gesteldheid in een IT infrastructuur. De oplossing biedt cybersecurity professionals het inzicht in de activiteiten in de IT omgeving.

Een SIEM verzamelt en aggregeert log informatie die door alle verschillende IT oplossingen in de infrastructuur van een organisatie gegenereerd worden zoals cloud systemen, applicaties, netwerk- en security oplossingen zoals bijvoorbeeld firewalls en antivirus oplossingen. De SIEM oplossing identificeert, categoriseert en analyseert incidenten en events. De SIEM analytics functionaliteit zorgt voor real-time meldingen, dashboards en rapportages naar de verschillende business en management afdelingen. Moderne SIEM oplossingen kunnen zelfs automatische machine learning technieken gebruiken om anomaly detection te activeren en UEBA (User & Entity Behavior Analytics) toe te passen op de verzamelde log informatie.

In de digitale wereld moeten ondernemingen hun data beschermen en controleren om bestand te blijven tegen de steeds groter wordende hoeveelheid geavanceerde cyberdreigingen. Er is een grote kans dat organisaties nu meer data dan ooit verwerken. Met de extreem groeiende hoeveelheid data volume en toenemende complexiteit, omdat infrastructuur vaker in hybride vorm wordt gebruikt met on-premise en cloud technologie, wordt het nog belangrijker om één centrale security oplossing te hebben om het gedrag in het netwerk te onderzoeken en kritieke events goed te monitoren.

Daarnaast zorgt het gebrek aan geschoold personeel ervoor dat analisten en security operations centra overbelast raken door de vele security events. Het resultaat hiervan is een overvloed aan alerts waardoor de sterke behoefte ontstaat aan het maken van de juiste keuzes rondom de inzet van de kostbare en spaarzame security resources in organisaties.

SIEM oplossingen maken het voor organisaties mogelijk om snel en met meer precisie te reageren op security incidenten. Een SIEM oplossing biedt gecentraliseerde collectie, classificatie, detectie, correlatie en analyse functionaliteit. Dit maakt het makkelijker voor teams om in hun infrastructuur real-time monitoring en trouble shooting te kunnen doen. Zonder een SIEM oplossing moeten security analisten voor elke applicatie en elke security bron door miljoenen niet vergelijkbare en compacte ongestructureerde data heen spitten. Kortgezegd kan een SIEM oplossing zorgen voor versnelde detectie en response ingeval van cyberdreigingen – waardoor security analisten veel efficiënter en met veel meer nauwkeurigheid kunnen werken tijdens hun onderzoeken.

SIEM oplossingen zijn inmiddels al sinds 2005 op de markt beschikbaar, maar de definitie van een SIEM en het antwoord op de vraag wat een SIEM is zijn in de afgelopen jaren drastisch veranderd.
De snelle verandering van het dreigingslandschap heeft geresulteerd in een behoefte aan het nog sneller kunnen identificeren van een veel grotere hoeveelheid dreigingen. Jarenlang zijn SIEM oplossingen door organisaties geïmplementeerd om security- en IT teams te ondersteunen bij het in real-time analyseren van security events. Maar veel traditionele SIEM oplossingen kunnen geen grote hoeveelheden data vanuit een grotere hoeveelheid resources verzamelen en verwerken. Om nog maar niet te spreken over de extreem grote hoeveelheden data uit IoT en uit de specifiek ontwikkelde maatwerk applicaties.

Vanwege de exponentieel groeiende hoeveelheid data worden veel organisaties geconfronteerd met weinig waarde uit de SIEM oplossing ondanks dat de investeringen steeds hoger worden. Organisaties die gebruik maken van een SIEM oplossing waarbij het licentiemodel gebaseerd is op datavolume moeten selectief zijn met betrekking tot welke data er vanuit welke applicatie verwerkt moet worden om binnen het budget te blijven. Potentieel kan dit inhouden dat er waardevolle data gemist wordt die nodig kan zijn ingeval van een aanval en het kan gebeuren dat de organisatie geheel blind is voor abnormaal gedrag in kritische systemen vanwege ontbrekende informatie.

Tegelijkertijd is er een toenemend tekort aan security analisten in de arbeidsmarkt ontstaan. Security teams worstelen dagelijks met de overvloed aan security meldingen vanuit een groeiend arsenaal aan threat detectie voorzieningen terwijl deze teams veelal afhankelijk zijn van handmatige procedures voor het operations proces. Gelukkig leveren de geavanceerde analyse-, onderzoeks- en response functies, gecombineerd met machine learning technieken betere efficiency in SIEM oplossingen waarmee het ontbreken van cybersecurity kennis weer enigszins wordt gecompenseerd.

Om een voldoende capabel cybersecurity team op te zetten zijn SIEM oplossingen een ‘must have’ voor organisaties in elke willekeurige sector. Hedendaagse organisaties hebben behoefte aan oplossingen waarmee eenvoudig kan worden gewerkt en waarmee security workflows vanuit een centraal punt geautomatiseerd kunnen worden om te komen tot een betere analyse en incident response aanpak.

De zeven belangrijke voordelen van een modern SIEM zijn:

1. Een SIEM verzamelt en analyseert data vanuit alle bronnen in real-time.
   Organisaties genereren vandaag de dag meer data dan ooit tevoren. Om bij te blijven met de groei van de data moeten SIEM oplossingen data vanuit alle bronnen kunnen verwerken – inclusief cloud en on-premise log informatie – om effectief te kunnen monitoren en detecteren en het hoofd te kunnen bieden aan potentiële dreigingen. Moderne SIEM oplossingen kunnen niet enkel meer data inlezen en analyseren. Dit is hun belangrijkste driver. Hoe meer data een organisatie kan aanleveren aan de SIEM oplossing, hoe meer inzicht de analisten zullen hebben in de activiteit op de omgeving en hoe effectiever zij zijn in het detecteren en reageren op potentiële dreigingen.
2. Er wordt Machine Learning toegepast, context en situationele informatie toegevoegd om de efficiency te verhogen.
   De aanvallen worden vandaag de dag steeds geavanceerder, wat inhoudt dat organisaties dezelfde graad aan middelen om aanvallen te kunnen detecteren en af te slaan moeten implementeren. Aanvallers zijn vaak afhankelijk van gecompromitteerde inloggegevens of het erin slagen om gebruikers acties te laten uitvoeren die schadelijk zijn voor de organisatie. Om deze dreigingen sneller te kunnen identificeren, dienen SIEM oplossingen te worden uitgerust met machine learning functionaliteit zoals UEBA. Hiermee kan monitoring van verdacht gebruikersgedrag voor zowel interne- als externe dreigingen plaatsvinden.
   Het toepassen van UEBA levert voor organisaties in hun SIEM een verhoging van de mogelijkheid om dreigingen op te sporen en identificeren. UEBA reduceert het aantal false positives zodat analisten beter situationeel inzicht kunnen verkrijgen voor, tijdens en na een dreiging – waardoor de efficiency verbeterd word ten de analisten hun tijd kunnen besteden aan de daadwerkelijke dreiging.
3. De flexibele en schaalbare architectuur verbetert de ‘time to value’
   De hoeveelheid data die door organisaties wordt geproduceerd is als een raket gestegen in de afgelopen jaren, met als resultaat dat organisaties schaalbare en flexibele big data architecturen hebben moeten opzetten. Zodoende kunnen ze meegroeien met de veranderende behoefte in de markt. Moderne SIEM oplossingen kunnen worden geïmplementeerd in virtuele omgevingen, on-premise omgevingen of zelfs in de cloud met de mogelijkheid om complexe implementaties te bouwen. Sommige SIEMs hebben een zeer korte implementatietijd en vergen niet veel tijd van de beheerder, waardoor de waarde van een SIEM soms in een periode van enkele dagen zichtbaar is.
4. Door een SIEM worden uitgebreide onderzoeks- en incident response functies geboden
   Moderne SIEM oplossingen gaan verder dan het bieden van essentiële security monitoring en reporting. Zij bieden analisten het benodigde inzicht om besluiten te kunnen nemen en response tijden te reduceren. Met innovatieve data visualisatie en intelligente context wordt de analist verder ondersteund om de informatie te vertalen en om te zetten in passende response acties. Hierdoor wordt het incident response proces nog waardevoller. Betere analyse houdt in dat teams de incidenten nog beter kunnen afhandelen en de forensische onderzoeken verder kunnen verbeteren – en dat alles met één enkele interface.
5. Security analisten zijn vanaf dag 1 veel productiever met een SIEM.
   Zodra de loginformatie verzameld is, levert een SIEM use cases om het security team te helpen om dreigingen te detecteren en direct het hoofd te kunnen bieden. Bijvoorbeeld, het zorgen voor verschillende correlatiemogelijkheden, het voldoen aan compliance standaarden en het detecteren van insider threats over alle gebruikte applicaties zouden use cases moeten zijn die door de SIEM direct ‘out-of-the-box’ geleverd worden.
6. Een SIEM zorgt voor het kunnen verlagen van de hoeveelheid benodigd security personeel
   Security teams staan vandaag de dag continu onder tijdsdruk dus meer geavanceerde automatisering maakt de tijd van de analisten vrij voor de handmatige taken. Dit helpt hen om de response op dreigingen beter te kunnen inregelen en opzetten. De beste SIEM oplossingen van dit moment maken gebruik van onbeheerde machine learning functionaliteit om de last van overwerkte security analisten weg te nemen. Dit gebeurt onder andere door middel van het automatiseren van het threat detectieproces, het leveren van geavanceerde context en situationele awareness (zoals bijvoorbeeld Threat Intelligence) en door het analyseren van gebruikersgedrag om nog beter inzicht te kunnen leveren.
7. Sommige SIEM oplossingen hebben een voorspelbaar prijsmodel;
   De licentiemodellen van SIEM oplossingen die gebaseerd zijn op dataverbruik zijn niet meer van deze tijd. Data volumes worden alsmaar hoger en organisaties zouden hier niet voor gestraft moeten worden. De prijsmodellen van moderne SIEM oplossingen zouden juist gebaseerd moeten worden op de hoeveelheid log aanleverende apparaten zodat organisaties zich geen zorgen hoeven te maken dat hun datagebruik de kostprijs aantast, en zodat zij zich meer kunnen focussen op schaalbaarheid die gebaseerd is op toekomstige business behoefte. Verzeker uzelf ervan dat u de total cost of ownership (TCO) goed analyseert en houdt u rekening met schaalbaarheid. Sommige fabrikanten rekenen extra kosten voor het toevoegen van extra hardware of extra beheerders die van het SIEM systeem gebruik moeten maken.

Organisaties die een SIEM oplossing moeten kiezen doen er goed aan om een workshop te organiseren, ofwel intern ofwel samen met de SIEM partner, om de scope en de tijdslijnen van het SIEM project te bespreken. Teneinde de scope en tijdslijn van een SIEM implementatie te kunnen bepalen dient er een lijst met wensen en eisen (use cases) alsmede een prioriteit aan die use cases te worden bepaald. Zodoende kan eenvoudig worden bepaald welke logbronnen er voor de use cases benodigd zijn. Het is ook van essentieel belang dat er een tijdslijn overeen wordt gekomen voor de implementatie zodat de verwachting overeenkomt met de doelstellingen vanuit de business.

De vier vragen die een organisatie zichzelf zou moeten stellen bij het kiezen van een SIEM zijn:

1. Op WELKE applicaties ligt de focus?
2. HOE gaan we reageren op dreigingen als deze gedetecteerd worden?
3. WAAR bevinden zich de meest kwetsbare systemen in de omgeving?
4. WAAROM zijn dit de meest kwetsbare systemen, en wat is de impact van een incident?

De drie primaire stappen tijdens het plannen van een Security Incident & Event Management (SIEM) project zijn:

1. Bepaal de meest bedrijfskritische databronnen;
   Zodra u beschikt over de ideale project scope, is het zaak om de log bronnen die binnen deze scope vallen te identificeren om te kunnen bepalen welke data nodig is. Bijvoorbeeld, firewalls, intrusion detection- en antivirus oplossingen dienen als primaire databronnen voor de SIEM Security use cases. Maar er zijn er nog veel meer, inclusief routers, web filters, domain controllers, applicatie servers, databases en andere digitaal aangesloten systemen. Het is cruciaal dat de juiste bronnen worden gekozen om er zeker van te zijn dat de SIEM de gewenste data levert voor de geselecteerde use cases.
2. Identificeer de high priority events en meldingen
   Om organisaties te beschermen tegen interne- en externe dreigingen worden security teams geconfronteerd met een steeds groter wordende lijst met security events die geanalyseerd moeten worden en waar actie op dient te worden ondernomen. Om uit de veelheid aan informatie de relevante zaken te filteren kan de SIEM oplossing worden ingezet om meer inzicht te verschaffen. Maar het blijft van belang dat organisaties eerst de high priority events bepalen en vaststellen hoe deze uit de applicaties en apparatuur binnen de infrastructuur kunnen worden opgehaald. Op deze manier kunnen de security teams de SIEM gebruiken om hun tijd te besteden aan de voor de organisatie meest relevante incidenten en alerts.
3. Bepaal uw belangrijkste variabelen voor success
   Een succesvolle SIEM implementatie ligt in lijn met de doelen van de business. De belangrijkste succescriteria moeten worden vastgesteld voordat de implementatie plaatsvindt om een zo hoog mogelijke ROI te kunnen realiseren. Bijvoorbeeld het reduceren van data diefstal of het verhogen van de manier waarop potentiële interne en externe dreigingen worden gedetecteerd zou hiervan een voorbeeld kunnen zijn. Maar er zijn nog veel meer variabelen. Organisaties moeten vaststellen wat success voor hen betekent en hoe SIEM use cases kunnen worden gebruikt om deze doelen te bereiken.

Het toegewijde team met specialisten van iSOC24 zorgt ervoor dat elke uitrol die wij uitvoeren is gebaseerd op de specifieke behoefte van de betreffende organisatie. Hierdoor zijn wij in staat om de Cyber Security gesteldheid van organisaties naar het hoogste niveau te brengen.

Organisaties die de keuze maken om een SIEM implementatie uit te laten voeren door iSOC24 kunnen onder andere het volgende verwachten:

1. Betere dreigingsdetectie en response
   Een moderne SIEM oplossing biedt real-time data analyse, vroegtijdige detectie van datalekken, data collectie, veilige opslag van data en accurate rapportage om de dreigingsdetectie en responsetijden te verbeteren.
2. Minder personeel nodig
   Het automatiseren van diverse processen ontzorgt de security analisten van de tijdsintensieve handmatige taken zodat zij zich bezig kunnen houden met het beter opzetten van het responseproces. De beste moderne SIEM oplossingen maken gebruik van machine learning technologie en gebruikers- en gedragsanalyse (UEBA) om de werklast van de analisten zo laag mogelijk te houden.
3. Lagere kosten
   Een moderne SIEM oplossing met een simpel en voorspelbaar licentiemodel maakt het voor organisaties beheersbaar en mogelijk om minder geld aan het veilig houden van hun data uit te geven, onafhankelijk van de hoeveelheid data of het aantal bronnen waar de data vandaan komt.

iSOC24 heeft om aan de brede vraag te kunnen voldoen een hybride inrichting van haar portfolio. Organisaties die op zoek zijn naar een on-premise oplossing kunnen gebruik maken van de Logpoint on-premise Security Incident & Event Management (SIEM) voorziening en organisaties die op zoek zijn naar een oplossing die in de cloud draait en waarvoor geen on-premise installatie nodig is kunnen de implementatie baseren op de Rapid7 InsightIDR oplossing. Beide oplossingen kunnen door iSOC24 worden geleverd en uiteraard ook worden geïmplementeerd.