Hoe haal je het maximale uit SIEM?

SIEM is als tool niet meer weg te denken uit de gereedschapskist van de securityprofessional. De markt voor Security Incident and Event Management groeit dan ook al enkele jaren met dubbele cijfers en zal volgens Markets and Markets in 2019 een omvang hebben van ruim 4,5 miljard dollar. Tussen nu en 2020 zal met name het mkb verantwoordelijk zijn voor de groei van de markt, zo is de algemene verwachting.

Inzicht ontbreekt
De belofte van SIEM is dan ook groot. Met alle toeters en bellen biedt SIEM een ‘early warning system’ dat de organisatie realtime op de hoogte houdt van zowel mogelijke interne als externe dreigingen. Toch worstelen securityprofessionals – ook met SIEM in de gereedschapskist – nog altijd met het verkrijgen van inzicht in wat er gebeurt op het netwerk.

Dit blijkt onder andere uit de 2015 Analytics and Intelligence Survey van het SANS Institute. Op de vraag of het bedrijf de afgelopen twee jaar slachtoffer is geweest van een hack, gaf 23 procent van de 476 ondervraagden aan geen idee te hebben. Van de respondenten die zich wel bewust waren van een aanval of inbraak, kon een belangrijk deel geen indicatie geven van de detectietijd.

Hooiberg 2.0
Hoe zorgen we ervoor dat het percentage van 23 procent drastisch wordt teruggebracht en de detectie wordt versneld? Daarvoor is het belangrijk dat we de kwaliteit van de hooiberg verbeteren. We moeten van een ‘hooiberg 1.0’ naar een ‘hooiberg 2.0’.

De hooiberg staat daarbij synoniem voor de berg aan data waaruit we de security-informatie filteren die we nodig hebben om de eerste signalen van een mogelijk security-incident op de dashboards te krijgen. SIEM is dan het vergrootglas waarmee we de speld in de hooiberg zoeken en de speld is de aanval of de hack.

Stappen voor verbetering
Om te komen tot een hooiberg 2.0 moeten we meerdere stappen doorlopen. We moeten onder andere:

• de hooiberg groot genoeg maken om er (vrijwel) zeker van te zijn dat de speld erin zit. Je moet met andere woorden beschikken over voldoende loginformatie om te voeden aan je SIEM-systeem. Hiervoor is het belangrijk dat er binnen het netwerk voldoende detectiemogelijkheden of sensoren zijn en dat de bevindingen ook worden gelogd.
• ervoor zorgen dat de verzamelde data van een hoge kwaliteit zijn. De speld is dan sneller te vinden waardoor het speelveld van de hacker wordt beperkt. Essentieel hierbij is dat de gebruikte logbronnen intelligenter worden, zelf zoveel mogelijk vooranalyse van de logdata doen, en alleen de resultaten daarvan doorsturen naar het SIEM-systeem.
• de hooiberg beter inrichten, om chocola te kunnen maken van de ruwe data die binnenstromen. De loggegevens moeten netjes worden ‘geordend’, zodat beter inzichtelijk wordt wat er aan de hand is. Bovendien moeten ze zoveel mogelijk gecombineerd worden met context informatie en de kennis van security intelligence bronnen.
• zorgen voor een volwassen incident-responseproces om bij een alert snel en effectief in te kunnen grijpen en zo de schade te beperken. Hier ligt een belangrijke rol weggelegd voor het eigen Security Operations Center of dat van de securitypartner.

De kunst is om de speld zo snel mogelijk uit de hooiberg te halen én zo concreet te beschrijven dat snelle incident-response mogelijk is. Een hooiberg die groter en tegelijkertijd beter geordend is, helpt bij het detecteren van incidenten die te laat of helemaal niet worden opgemerkt. 100% beveiliging bestaat niet meer en komt waarschijnlijk nooit meer terug, maar ‘in control’ zijn met Hooiberg 2.0 is nog steeds mogelijk!

Door: Gerard Klop, productmanager bij Motiv