De weg naar een volwassen SIEM

De weg naar een volwassen SIEM

DearBytesBlogDe weg naar een volwassen SIEM

maandag 2 februari 2015

Wanneer u als organisatie nadenkt over Security information and event management (SIEM) en u winkelt rond bij verschillende leveranciers, dan worden soms verhalen verteld over automatische correlatie, diepgaande integratie, intelligentie, automatisering en noem maar op. Het klinkt vaak alsof het out-of-the-box allemaal vanzelf werkt, maar dat is (helaas) niet zo. Een SIEM vraagt aandacht, tweaking en tuning gedurende de gehele looptijd dat de SIEM aanwezig is in het netwerk. U kunt niet verwachten dat een information and event management tool, uw mensen en processen vanaf dag één op een volwassen niveau zijn. Niet alleen siem volwassende SIEM moet leren, maar ook uw mensen en uw processen. Ofwel: de SIEM moet opgroeien tijdens zijn levensduur.

De implementatie van uw SIEM is te definiëren in drie levensfases:

  • De geboorte
  • Opgroeien
  • Volwassenheid

SIEM implementatie: de geboorte

Gefeliciteerd met uw SIEM! Is het geen wondertje? Maar wat nu…? Denk in het begin van de implementatie na over welke systemen u in SIEM wil plaatsen. Veel systemen zijn een no brainer, maar begin met de volgende bronnen:

  • Elk systeem dat kritiek is voor het voortbestaan van uw organisatie (bijvoorbeeld belangrijke netwerkapparaten, financiële databases of systemen die PII bevatten);
  • Systemen of applicaties die in het verleden in een security incident zijn betrokken;
  • Systemen die worden onderworpen aan regulaties en wetgevingen zoals ISO, PCI of de wet bescherming persoonsgegevens;
  • Security software en hardware.

Denk vervolgens na over hoe deze systemen nu logs aan kunnen leveren in SIEM. Zijn er specifieke instellingen vanuit de leverancier vereist? Vraagt SIEM een speciaal formaat? Dit soort zaken is meestal terug te vinden in de documentatie of de supportsite van de SIEM leverancier.

Als we de systemen hebben aangesloten in SIEM, de data binnenkomt en deze correct wordt geparsed, dan kunnen we gaan nadenken over zaken als monitoring, use cases en incident response. Denk als eerste na over wat u wil halen uit de SIEM. De SIEM van Intel Security komt standaard met 200 regels die de meest voorkomende en algemene zaken kan detecteren. Het is een goed begin om een beeld te krijgen van uw omgeving en wat voor initiële tweaking en tuning nodig is in deze regels. Mogelijk komt naar voren dat een user account duizenden keren per minuut op verschillende systemen inlogt of user accounts gebruikt van mensen die uit dienst zijn. Het kan zijn dat we zaken in een whitelist gaan zetten, of dat we accounts moeten disabelen of scripts en applicaties moeten aanpassen. Wees hierop voorbereid en zorg dat u hier betrokken mensen voor beschikbaar hebt die hieraan tijd kunnen besteden. Ga er namelijk vanuit dat u een achterstand in security events heeft in te halen. Ook veel gebruikte indicators of attack zijn een goed startpunt om te bepalen wat we in SIEM willen zien.

Begin met een basis over hoe incidenten worden geregistreerd en verder onderzocht. De SIEM van Intel Security kent een uitgebreid case management systeem en stelt mensen in staat om specifieke events in de SIEM te bewaren in een case, notities toe te voegen en deze kennis te delen met andere collega’s. Hiermee blijven de incidenten en hun gerelateerde events eenvoudig vindbaar in de SIEM.

Denk ook al na over wat voor uw organisatie zelf belangrijk is om te detecteren. Voorbeelden zijn: ongeautoriseerde logins op een financiële database, kopiëren van gevoelige bestanden zoals jaarverslagen of wijzigingen op bedrijfskritische systemen. Voer een risico analyse uit en identificeer de top risico’s in de omgeving. Deze risico’s komen  uiteindelijk, idealiter, in uw SIEM terug.

Opgroeien

Na verloop van tijd, als de techniek in de basis gereed is, processen bedacht en uitgeschreven zijn en uw mensen kennis hebben van zowel de techniek als de processen, dan komen we in de fase van opgroeien. In deze fase leert u het systeem en de mogelijkheden beter kennen. Zo is het misschien nodig  om parsers aan te passen, omdat u eigenlijk extra data uit een event wilt halen of moeten correlatieregels worden bijgewerkt in verband met false positive. Bij incidenten komt mogelijk naar voren dat processen nog niet optimaal zijn en uw mensen leren langzaam hoe men het beste kan werken.

Hoe lang de periode van opgroeien duurt, is van veel factoren afhankelijk. De grootte van de organisatie, de beschikbaarheid van uw mensen en uiteraard ook de bereidheid van zowel de organisatie als de medewerkers om met de SIEM aan de slag te gaan. Ondersteuning van een SIEM expert is in deze fase eigenlijk een must. Een expert op het gebied van SIEM kan de organisatie helpen in de weg naar volwassenheid. Deze expert is een vraagbaak en helpende hand in het tweaken en tunen van zowel techniek, processen als voor uw medewerkers.

Volwassenheid

killchainsiemOp een gegeven moment is uw organisatie volwassen geworden met de SIEM en ook de SIEM werkt optimaal. Als de volwassenheid is aangebroken, dan kunnen de volgende stappen worden genomen. Zaken als de Kill Chain en complexe correlatie zijn in te zetten om vroeg in de Kill Chain indicatoren te ontdekken en te stoppen. Het regelen van automatisering van response is in deze fase een goede stap om te nemen. Automatisering helpt in het versnellen van de oplostijd, maar dan moeten false positives tot een minimum zijn beperkt.

Vulnerability informatie (mits aanwezig) is te plaatsen in SIEM en als indicator worden gebruikt om de severity van een event te verhogen of te verlagen. Stel een RDP login wordt geregistreerd op een Windows systeem en naar SIEM gestuurd. Door vulnerability data te gebruiken als een stuk context is te correleren of een systeem wel of niet kwetsbaar is op bepaalde protocollen, services of applicaties. Een systeem dat dan een kwetsbaarheid heeft voor RDP, krijgt dan automatisch een hogere severity en eist dus sneller de aandacht van een medewerker dan een systeem dat niet kwetsbaar is.

Baselines (of gemiddelden) zijn in deze staat ook stabiel en in te zetten om afwijkend gedrag in kaart te brengen en te alarmeren. Als een user opeens op meer systemen inlogt dan gebruikelijk kan dat een indicatie zijn dat het account wordt misbruikt. Door middel van geavanceerde dashboards en correlatieregels wordt ervoor gezorgd dat false postives minimaal zijn.

Risico correlatie is de laatste stap die ik hier bespreek. Risico correlatie meet bepaald gedrag in de organisatie en alarmeert als een risico te hoog wordt. Bijvoorbeeld gebruikers die data versturen naar externe storage omgevingen zoals Dropbox. Hoe meer data naar buiten gaat, hoe hoger het risicoprofiel van de gebruiker wordt. Hierbij kunnen we in overweging nemen hoe lang dit gebeurt, door wie en waarvandaan. Zo kan het zijn dat een dokter met toegang tot medische gegevens een hoger risicoprofiel krijgt dan een medewerker die geen toegang heeft tot gevoelige informatie.

Tot slot

De weg naar volwassenheid in SIEM is een proces en kost tijd. Een SIEM staat niet vanaf dag één, en ook als volwassenheid is bereikt, moet een SIEM goed onderhouden worden. Zorg er daarom voor dat, voordat uw organisatie aan een SIEM start, er voldoende resources zijn om de mensen, techniek en processen de aandacht te geven die ze verdienen. In het begin levert dit meer werk op, maar als de weg naar volwassenheid is bereikt, ziet u dat dit niet alleen tijd, maar ook geld en reputatieschade kan schelen, omdat incidenten nu veel sneller worden gezien én gestopt.