SIEM – Who watches the watchmen

SIEM – Who watches the watchmen

DearBytesBlogSIEM – Who watches the watchmen

De functie van een SIEM is om inzicht te creëren in de security informatie en events in het netwerk. Door context aan deze informatie en events te plakken kunnen we correlatie creëren. De SIEM biedt een schat aan informatie voor de organisatie. En daarin schuilt een gevaar. Want nu we één plek hebben waar alles binnenkomt, creëren we ook weer een aantrekkelijke plek voor een aanvaller. En wat te denken van de persoon die in de SIEM kijkt? Deze krijgt een zeer uitgebreid beeld van de omgeving, de gebruikers en hun gedrag. Een ander punt is ook nog een keer dat een SIEM beheerder/monitoorder zijn acties zou kunnen verbergen in SIEM. Kortom: wie monitort de SIEM?

Scheiding van rollen en rechten

De eerste, meest logische, stap is de scheiding van rollen. Geef niet één gebruiker alle macht in de SIEM. Als er accounts zijn die wel alle macht hebben (SIEM admin accounts) dan moet het gebruik hiervan direct alarmen laten afgaan. Admin accounts moeten niet voor regulier beheer of monitoren worden gebruikt. Iemand die monitort dient alleen de rechten te krijgen in de SIEM om zijn of haar rol te kunnen uitvoeren. Moet diegene data kunnen verwijderen? Is het antwoord nee? Dan moeten deze rechten ook niet worden uitgedeeld.

Idealiter zouden er ook verschillende mensen een rol in het SOC en de SIEM moeten hebben. Logische rollen zijn:

  • Technisch beheerder die de SIEM up and running houdt;
  • Functioneel beheerder die zich bezig houd met de data sources en correlatieregels;
  • Monitoorder die analyses uitvoert en events moet kunnen bekijken.

Monitoring van SIEM

SIEM Incident Dashboard2De SIEM zelf wordt een bron van informatie en voor een aanvaller kan het een interessant systeem zijn om aan te vallen om een niet beschikbaarheid te creëren of om in te breken op het systeem. Enerzijds om een zeer uitgebreid beeld van het netwerk te krijgen en anderzijds om zijn eigen sporen te wissen.

Verschillende inlogpogingen op de SIEM (succesvol of niet) moeten daarom worden gedetecteerd door de SIEM zelf en worden gealarmeerd naar verschillende mensen.

Als aanvaller zijnde kan het natuurlijk ook interessant zijn om de SIEM onbeschikbaar te maken. Dit is mogelijk door een grote hoeveelheid events naar de SIEM te sturen met als gevolg:

  • De receivers dit niet meer aankunnen
  • Door de hoeveelheid events de acties van de aanvaller verloren raken

Om dit probleem op tijd te detecteren moet er worden gemonitord hoeveel data de receivers en de SIEM ontvangen. Hierin ligt een bepaald verwachtingspatroon namelijk wat het apparaat technisch aankan en wat de gemiddelde stroom met events is. Als mijn SIEM 60000 events per seconde aankan, dan wil ik worden gealarmeerd wanneer ik bijna tegen dat aantal aanzit en dat dit niet een tijdelijk piek is maar continu meer wordt. Ik heb als functioneel beheerder dan nog de tijd om de data source uit te schakelen en eventuele accounts en toegang te blokkeren.

De monitoorder die alles weet

Een SOC medewerker krijgt inzicht in veel informatie. Informatie die bedrijfskritisch of gevoelig kan zijn. Een SOC medewerker kan mogelijk zien welke websites een gebruiker heeft benaderd of welke bestanden zijn gewijzigd. Ook kan een SOC medewerker mogelijk inzien welke e-mailberichten van welke zender naar welke ontvanger zijn gemaild en de onderwerpen of namen van attachments achterhalen. Een SOC medewerker kan daardoor ook een aantrekkelijk doelwit zijn voor aanvallers om informatie in te winnen (al dan niet tegen een aantrekkelijk tarief).

Technische maatregelen hierin zijn lastig te implementeren. Iemand met kwade opzet zal altijd een manier vinden om informatie te ontvreemden. Belangrijk is dus dat een SOC medewerker is gescreend en een betrouwbare reputatie heeft. Optioneel kunnen SOC medewerkers en SIEM beheerders ook zo nu en dan worden gecontroleerd op hun werkzaamheden. Een veel gebruikt middel is om een medewerker verplicht vakantie te geven en hem te verbieden enige vorm van zakelijke activiteiten uit te voeren. Hierdoor kunnen zaken als fraude of misbruik aan het licht komen.

Uiteindelijk komt het er voor een groot deel op neer dat mensen elkaar in de gaten moeten houden. Zorg ervoor dat niet één iemand alle macht in de SIEM heeft en dat dit gedrag onopgemerkt zou kunnen voorkomen.