SIEM in de organisatie

SIEM in de organisatie

DearBytesBlogSIEM in de organisatie

maandag 11 augustus 2014

Veel organisaties in de financiële wereld hebben al jaren een SIEM en zijn (meestal) ook bedreven in het beantwoorden van vraagstukken zoals:

  • Wat moet er worden aangesloten op een SIEM?
  • Wie moet er naar de verkregen data kijken?
  • Hoe moet er worden gereageerd op incidenten?

In andere branches komen organisaties veelal voor het eerst in aanraking met SIEM en hierbij komen een hoop vragen naar boven. Om deze reden zal ik de komende 3 maanden een reeks van blogs over SIEM schrijven. In deze eerste blog zet ik uiteen wat de belangrijkste componenten van een SIEM zijn en hoe een SIEM succesvol kan zijn in een organisatie.

SIEM cirkel

Wat is SIEM?

SIEM is een tool die informatie uit verschillende bronnen verzamelt en correleert om daar de belangrijke events uit te halen. Om toegevoegde waarde uit een SIEM te halen is er meer effort nodig dan alleen het plaatsen en configureren. Het is geen “set and forget” tool. Om het beste uit SIEM te halen zijn er drie aspecten van groot belang, namelijk mensen, processen en techniek.

SIEM experts: mensen

Een investering in mensen is noodzakelijk om het beste uit SIEM te halen. De tool geeft de organisatie inzicht in wat er speelt in het netwerk in de vorm van security events. Deze events moeten gemonitord worden en zo nodig moet er actie worden ondernomen. Dit is een continu proces en daarvoor is kennis en tijd benodigd. Het leren kennen van SIEM en het voortraject, waarin wordt nagedacht over incident respons, is een intensieve en tijdrovende klus. Een belangrijke vraag omtrent incident respons is bijvoorbeeld: is het nodig om een kritieke gebeurtenis die plaatsvindt om 3 uur ’s nachts meteen te identificeren en er direct op te reageren?

Incident respons en analyse vraagt om specifieke expertise en het investeren in opleiden van personeel is kostbaar. Om die reden kan het interessant zijn om deze werkzaamheden uit te besteden aan een gespecialiseerde partner. DearBytes biedt Security Operations Center dienstverlening met de benodigde expertise. Wij monitoren incidenten 24/7 actief, reageren op en analyseren deze incidenten.

SIEM processen

Processen in plaats hebben is van uitermate belang om ervoor te zorgen dat techniek, mensen en organisatie op elkaar aansluiten. Een SIEM implementeren en vervolgens getrainde specialisten events laten monitoren zonder de juiste procedures in te richten zal leiden tot onduidelijkheid en chaos in het geval van incidenten.

Via Use Cases in SIEM kan de organisatie vooraf vaststellen wat de vereisten voor detectie moeten zijn en hoe hierop gereageerd moet worden.

Voorbeeld: de online bestelapplicatie van klant ABC BV is hét hart van de organisatie en een stroom van inkomsten. Beschikbaarheid, integriteit en vertrouwelijkheid is voor deze applicatie van het hoogste belang. Een aanval op één of meer van deze onderdelen kan serieuze gevolgen hebben voor het voortbestaan van het bedrijf.

Door het vooraf inzichtelijk maken van verschillende aanvallen die kunnen plaatsvinden en deze te vertalen naar correlatieregels in SIEM kunnen de specialisten monitoren op (potentiële) aanvallen.

Echter, monitoren heeft geen toegevoegde waarde als er vervolgens geen reactie plaatsvindt na een incident. Er moet ook actie worden ondernomen om het incident op te lossen, dit noemen we incident response. Door vooraf goed na te denken over incident response en de juiste stappen te beschrijven binnen Use Cases kan chaos en onduidelijkheid worden voorkomen en adequaat worden gehandeld. Het bijhouden van deze Use Cases en het incident response plan is een continu proces.

DearBytes ondersteunt organisaties bij het inrichten en beheersen van deze processen en begeleid bij het opstellen van Use Cases, correlatieregels en een incident respons plan. Op deze manier haalt u het beste uit de mensen, de techniek en dus uit uw organisatie.

SIEM techniek

Techniek komt op de laatste, maar zeker niet op de minst belangrijke plaats. Hoewel de juiste techniek belangrijk is, zijn het de mensen en processen voor 80% verantwoordelijk voor het resultaat dat u bereikt. SIEM is een zeer geavanceerde techniek en de ontwikkelingen staan niet stil. De technologie wordt steeds intelligenter en features worden uitgebreider. Een goede SIEM tool is eenvoudig in gebruik en geeft snel inzicht in de juiste gegevens. In het heetst van de strijd, als een incident plaatsvindt, telt elke seconde bij het ophalen van de benodigde informatie.

DearBytes gelooft in de SIEM technologie van McAfee, genaamd McAfee Enterprise Security Manager (ESM). McAfee ESM staat al jaren in de top 3 van SIEM tools van Gartner en staat bekend om de snelheid waarmee informatie kan worden verwerkt en uitgelezen. Dat maakt de McAfee SIEM technologie uitstekend inzetbaar voor security operations en snelle incident respons.

Meerwaarde van SIEM

Uiteindelijk zijn de genoemde drie componenten (mensen, processen en techniek) samen de meerwaarde van een SIEM.

  • Door de juiste techniek in te zetten kunnen mensen kijken naar informatie die er toe doet.
  • Via processen is in kaart gebracht welke informatie prioriteit heeft.
  • Door middel van een incident reponse plan staat vast hoe er moet worden gereageerd.
  • De organisatie heeft de controle in handen en is ook in staat om dit aan te tonen.

Dit heeft een positieve impact op de beschikbaarheid, integriteit en vertrouwelijkheid van de organisatie.