Security Incident & Event Management

Security Incident & Event Management (SIEM) zorgt als oplossing voor monitoring, detectie en alertering van security events of -incidenten in een IT omgeving. SIEM biedt een uitgebreid en gecentraliseerd overzicht over de algehele security gesteldheid in een IT infrastructuur. De oplossing biedt cybersecurity professionals het inzicht in de activiteiten in de IT omgeving.

Een SIEM verzamelt en aggregeert log informatie die door alle verschillende IT oplossingen in de infrastructuur van een organisatie gegenereerd worden zoals cloud systemen, applicaties, netwerk- en security oplossingen zoals bijvoorbeeld firewalls en antivirus oplossingen. De SIEM oplossing identificeert, categoriseert en analyseert incidenten en events. De SIEM analytics functionaliteit zorgt voor real-time meldingen, dashboards en rapportages naar de verschillende business en management afdelingen. Moderne SIEM oplossingen kunnen zelfs automatische machine learning technieken gebruiken om anomaly detection te activeren en UEBA (User & Entity Behavior Analytics) toe te passen op de verzamelde log informatie.

In de digitale wereld moeten ondernemingen hun data beschermen en controleren om bestand te blijven tegen de steeds groter wordende hoeveelheid geavanceerde cyberdreigingen. Er is een grote kans dat organisaties nu meer data dan ooit verwerken. Met de extreem groeiende hoeveelheid data volume en toenemende complexiteit, omdat infrastructuur vaker in hybride vorm wordt gebruikt met on-premise en cloud technologie, wordt het nog belangrijker om één centrale security oplossing te hebben om het gedrag in het netwerk te onderzoeken en kritieke events goed te monitoren.

Daarnaast zorgt het gebrek aan geschoold personeel ervoor dat analisten en security operations centra overbelast raken door de vele security events. Het resultaat hiervan is een overvloed aan alerts waardoor de sterke behoefte ontstaat aan het maken van de juiste keuzes rondom de inzet van de kostbare en spaarzame security resources in organisaties.

SIEM oplossingen maken het voor organisaties mogelijk om snel en met meer precisie te reageren op security incidenten. Een SIEM oplossing biedt gecentraliseerde collectie, classificatie, detectie, correlatie en analyse functionaliteit. Dit maakt het makkelijker voor teams om in hun infrastructuur real-time monitoring en trouble shooting te kunnen doen. Zonder een SIEM oplossing moeten security analisten voor elke applicatie en elke security bron door miljoenen niet vergelijkbare en compacte ongestructureerde data heen spitten. Kortgezegd kan een SIEM oplossing zorgen voor versnelde detectie en response ingeval van cyberdreigingen – waardoor security analisten veel efficiënter en met veel meer nauwkeurigheid kunnen werken tijdens hun onderzoeken.

SIEM oplossingen zijn inmiddels al sinds 2005 op de markt beschikbaar, maar de definitie van een SIEM en het antwoord op de vraag wat een SIEM is zijn in de afgelopen jaren drastisch veranderd.
De snelle verandering van het dreigingslandschap heeft geresulteerd in een behoefte aan het nog sneller kunnen identificeren van een veel grotere hoeveelheid dreigingen. Jarenlang zijn SIEM oplossingen door organisaties geïmplementeerd om security- en IT teams te ondersteunen bij het in real-time analyseren van security events. Maar veel traditionele SIEM oplossingen kunnen geen grote hoeveelheden data vanuit een grotere hoeveelheid resources verzamelen en verwerken. Om nog maar niet te spreken over de extreem grote hoeveelheden data uit IoT en uit de specifiek ontwikkelde maatwerk applicaties.

Vanwege de exponentieel groeiende hoeveelheid data worden veel organisaties geconfronteerd met weinig waarde uit de SIEM oplossing ondanks dat de investeringen steeds hoger worden. Organisaties die gebruik maken van een SIEM oplossing waarbij het licentiemodel gebaseerd is op datavolume moeten selectief zijn met betrekking tot welke data er vanuit welke applicatie verwerkt moet worden om binnen het budget te blijven. Potentieel kan dit inhouden dat er waardevolle data gemist wordt die nodig kan zijn ingeval van een aanval en het kan gebeuren dat de organisatie geheel blind is voor abnormaal gedrag in kritische systemen vanwege ontbrekende informatie.

Tegelijkertijd is er een toenemend tekort aan security analisten in de arbeidsmarkt ontstaan. Security teams worstelen dagelijks met de overvloed aan security meldingen vanuit een groeiend arsenaal aan threat detectie voorzieningen terwijl deze teams veelal afhankelijk zijn van handmatige procedures voor het operations proces. Gelukkig leveren de geavanceerde analyse-, onderzoeks- en response functies, gecombineerd met machine learning technieken betere efficiency in SIEM oplossingen waarmee het ontbreken van cybersecurity kennis weer enigszins wordt gecompenseerd.

Om een voldoende capabel cybersecurity team op te zetten zijn SIEM oplossingen een ‘must have’ voor organisaties in elke willekeurige sector. Hedendaagse organisaties hebben behoefte aan oplossingen waarmee eenvoudig kan worden gewerkt en waarmee security workflows vanuit een centraal punt geautomatiseerd kunnen worden om te komen tot een betere analyse en incident response aanpak.

• Lees verder
• 7 voordelen van SIEM

De vier vragen die een organisatie zichzelf zou moeten stellen bij het kiezen van een SIEM zijn:

1. Op WELKE applicaties ligt de focus?
2. HOE gaan we reageren op dreigingen als deze gedetecteerd worden?
3. WAAR bevinden zich de meest kwetsbare systemen in de omgeving?
4. WAAROM zijn dit de meest kwetsbare systemen, en wat is de impact van een incident?

De drie primaire stappen tijdens het plannen van een Security Incident & Event Management (SIEM) project zijn:

1. Bepaal de meest bedrijfskritische databronnen;
   Zodra u beschikt over de ideale project scope, is het zaak om de log bronnen die binnen deze scope vallen te identificeren om te kunnen bepalen welke data nodig is. Bijvoorbeeld, firewalls, intrusion detection- en antivirus oplossingen dienen als primaire databronnen voor de SIEM Security use cases. Maar er zijn er nog veel meer, inclusief routers, web filters, domain controllers, applicatie servers, databases en andere digitaal aangesloten systemen. Het is cruciaal dat de juiste bronnen worden gekozen om er zeker van te zijn dat de SIEM de gewenste data levert voor de geselecteerde use cases.
2. Identificeer de high priority events en meldingen
   Om organisaties te beschermen tegen interne- en externe dreigingen worden security teams geconfronteerd met een steeds groter wordende lijst met security events die geanalyseerd moeten worden en waar actie op dient te worden ondernomen. Om uit de veelheid aan informatie de relevante zaken te filteren kan de SIEM oplossing worden ingezet om meer inzicht te verschaffen. Maar het blijft van belang dat organisaties eerst de high priority events bepalen en vaststellen hoe deze uit de applicaties en apparatuur binnen de infrastructuur kunnen worden opgehaald. Op deze manier kunnen de security teams de SIEM gebruiken om hun tijd te besteden aan de voor de organisatie meest relevante incidenten en alerts.
3. Bepaal uw belangrijkste variabelen voor success
   Een succesvolle SIEM implementatie ligt in lijn met de doelen van de business. De belangrijkste succescriteria moeten worden vastgesteld voordat de implementatie plaatsvindt om een zo hoog mogelijke ROI te kunnen realiseren. Bijvoorbeeld het reduceren van data diefstal of het verhogen van de manier waarop potentiële interne en externe dreigingen worden gedetecteerd zou hiervan een voorbeeld kunnen zijn. Maar er zijn nog veel meer variabelen. Organisaties moeten vaststellen wat success voor hen betekent en hoe SIEM use cases kunnen worden gebruikt om deze doelen te bereiken.

Het toegewijde team met specialisten van iSOC24 zorgt ervoor dat elke uitrol die wij uitvoeren is gebaseerd op de specifieke behoefte van de betreffende organisatie. Hierdoor zijn wij in staat om de Cyber Security gesteldheid van organisaties naar het hoogste niveau te brengen.

Organisaties die de keuze maken om een SIEM implementatie uit te laten voeren door iSOC24 kunnen onder andere het volgende verwachten:

1. Betere dreigingsdetectie en response
   Een moderne SIEM oplossing biedt real-time data analyse, vroegtijdige detectie van datalekken, data collectie, veilige opslag van data en accurate rapportage om de dreigingsdetectie en responsetijden te verbeteren.
2. Minder personeel nodig
   Het automatiseren van diverse processen ontzorgt de security analisten van de tijdsintensieve handmatige taken zodat zij zich bezig kunnen houden met het beter opzetten van het responseproces. De beste moderne SIEM oplossingen maken gebruik van machine learning technologie en gebruikers- en gedragsanalyse (UEBA) om de werklast van de analisten zo laag mogelijk te houden.
3. Lagere kosten
   Een moderne SIEM oplossing met een simpel en voorspelbaar licentiemodel maakt het voor organisaties beheersbaar en mogelijk om minder geld aan het veilig houden van hun data uit te geven, onafhankelijk van de hoeveelheid data of het aantal bronnen waar de data vandaan komt.

iSOC24 heeft om aan de brede vraag te kunnen voldoen een hybride inrichting van haar portfolio. Organisaties die op zoek zijn naar een on-premise oplossing kunnen gebruik maken van de Logpoint on-premise Security Incident & Event Management (SIEM) voorziening en organisaties die op zoek zijn naar een oplossing die in de cloud draait en waarvoor geen on-premise installatie nodig is kunnen de implementatie baseren op de Rapid7 InsightIDR oplossing. Beide oplossingen kunnen door iSOC24 worden geleverd en uiteraard ook worden geïmplementeerd.