SIEM & SOC

Heeft uw organisatie een IT-landschap waarvan u de beveiligingsstatus in kaart wil brengen? Wilt u altijd zo adequaat mogelijk kunnen reageren op gedetecteerde beveiligingsmeldingen- en dreigingen? Dan biedt NFIR u een schaalbare, beheersbare en betaalbare oplossing met haar Security Information and Event Management (SIEM) en de implementatie van een Security Operation Centre (SOC). Ons SIEM bieden wij aan als een volledig geautomatiseerde oplossing, waarbij u geen data meer zelf hoeft te interpreteren. De output zijn meldingen waar uw IT afdeling maatregelen op kan nemen. Lees op deze pagina hoe wij u volledig ontzorgen en welke resultaten u zult behalen bij het implementeren van onze SIEM en SOC oplossing.

In 5 stappen naar een weerbare online omgeving

Momenteel heeft u in uw netwerk al diverse apparaten die informatie opslaan. Vaak zijn de bestaande dashboards van bijvoorbeeld firewalls veel te ingewikkeld om te interpreteren of uw medewerker heeft er geen tijd voor. Laat daarom de security-monitoring specialisten van NFIR deze loggegevens geautomatiseerd verwerken op basis van use-cases die we gezamenlijk bepalen. Naast rule based verwerking van loginformatie, werkt NFIR ook met machine learning om patronen te ontdekken die kunnen wijzen op verdacht verkeer. Door op deze manier netwerk activiteiten te monitoren, bent u snel op de hoogte van verdachte activiteiten en kunt u adequaat ingrijpen. Voor een secure en overzichtelijke aanpak werken wij met een stappenplan.

1. Use-cases vaststellen 

Als startpunt van de use-case ontwikkeling gaan wij uit van het inperken van het risico op het compromitteren van informatie door criminelen voor geldgewin door afpersing. Denk hierbij aan het toenemende verschijnsel ‘ransomware’ alsook aan de ex-filtratie van geclassificeerde informatie. Criminelen omzeilen detectie-maatregelen die duiden op het opbouwen van zo’n aanval. Dit vraagt om inzicht in het detecteren van deze opbouwende activiteiten, deze activiteiten worden in de cyber security markt ook wel gekoppeld aan de ‘Cyber Security Kill Chain’. Zie ondergaand een weergave van de bij deze chain gebruikelijk stappen die ondernomen kunnen worden en kunnen resulteren tot een succesvolle aanval. De stappen in deze ‘chain’ zijn als aanvalsscenario uitgewerkt, het is echter ook mogelijk dat andere paden worden gebruikt die leiden tot een variëteit aan scenario’s. De vertaling naar use-cases blijft dan ook een constante ontwikkeling waar NFIR zich op richt op basis van de constante kennis toevoer vanuit diverse ervaringen.  

Als startpunt wordt een vereenvoudiging gehanteerd met de volgende aanvalsstappen: 

  1. Ontdekken van omgevingen, kwetsbaarheden
  2. Pogingen tot account misbruik en/of het aanpassen van rechten 
  3. Malware installeren/configureren
  4. Communicatie passend bij aanvallen 
  5. ‘Catch-all’, voor analyse 

2. Ontwerp 

In deze stap werken wij de aansluiting van de logbronnen uit, op basis van een ontwerp. De logbronnen dienen via het netwerk op een integere wijze te worden verzameld.  Bij het aansluiten wordt dan ook gebruik gemaakt van secure configuraties.

3. Implementatie 

Na vaststelling van het ontwerp wordt de implementatie verzorgd inclusief het testen van binnenkomst en aggregeren van logging. Het resultaat is een 

werkende omgeving inclusief het genereren van inzicht op basis van de use-cases. 

4. Monitoren/oplevering 

Het monitoren en tunen van de use-cases inclusief het op maandelijkse basis rapporteren van bevindingen ter optimalisatie. In deze fase wordt met name gewerkt aan het optimaliseren van de use-cases.  

5. Maandelijkse service  

Na realisatie van de initiële use-cases wordt een maandelijkse rapportage verzorgd op basis van de ontwikkelingen binnen uw organisatie. Uit deze rapportage kunnen verschillende acties volgen. Denk hierbij aan het introduceren van nieuwe of aangepaste logsources voor verdere optimalisatie of een nadere detaillering van de use-cases. Deze activiteiten worden meegenomen op basis van de ingegeven scope en geprioriteerd in overleg met u. Aan NFIR zijde wordt specialistische expertise per maand meegenomen. Daarnaast wordt overleg gevoerd over de prioritering en activiteiten die nodig zijn door een service manager.

Welk resultaat wordt bereikt met onze SIEM/SOC oplossing?

Het eindresultaat omvat: 

  • Continu security toezicht op uw dienstverlening scope netwerk, servers, laptops, pc’s en firewall  
  • Directe alarmering bij verdacht of malafide verkeer en na analyse direct acteren met gepaste maatregelen 
  • Hackers worden direct „gespot”  
  • Malware wordt geïdentificeerd voordat het zich heeft kunnen nestelen en verspreiden in uw netwerk, naar uw klanten of nog verder.
  • Toezicht op bewust dan wel onbewust ongeoorloofd gebruik van uw netwerk (door eigen medewerkers, externen of op het netwerk toegelaten organisaties). 
  • Bij Data breaches wordt het betreffende IP-verkeer digitaal vastgelegd, zodat u bij een onderzoek van de autoriteit persoonsgegevens altijd beschikt over de gevraagde informatie. 
  • Malicious acties worden gestopt op alle endpoints. Maandrapportage, maandelijkse besprekingen met servicemanager. 

SIEM: Het bereiken van tijdig inzicht

Hoe kan een SIEM-voorziening helpen de wensen over ’tijdig inzicht’ in te vullen? De kracht van een SIEM-voorziening zit er met name in dat zij organisaties in staat stelt loginformatie uit het gehele IT-landschap te verzamelen en te analyseren op beveiligingsgebeurtenissen, configuratieafwijkingen en kwetsbaarheden. Dit levert een totaalbeeld op van de beveiligingsstatus van het IT-landschap.

Het IT-landschap kan grofweg worden onderverdeeld in vier verschillende lagen:

  • applicaties, bijvoorbeeld ERP-programma’s zoals SAP
  • besturingssystemen, bijvoorbeeld Windows-, Linux- en Unix-varianten
  • middleware en databases, bijvoorbeeld webservers, Oracle en MS SQL
  • netwerk, bijvoorbeeld firewalls en intrusion detection systemen
Op elk van de vier lagen kan onderscheid worden gemaakt tussen ongewenste gebeurtenissen, afwijkingen van configuratiestandaarden en kwetsbaarheden.
 

De grote hoeveelheid loginformatie waarmee de SIEM-voorziening wordt gevoed, vertegenwoordigt niet alleen relevante beveiligingsgebeurtenissen. Een groot deel van de gelogde activiteiten bestaat uit toegestane gebeurtenissen of gebeurtenissen die opzichzelfstaand geen incident vertegenwoordigen. Een typisch voorbeeld is het vastleggen van foutieve inlogpogingen. Wanneer de foutieve inlogpoging zich slechts eenmaal voordoet is dit geen incident. Wanneer binnen korte tijd tien of meer foutieve inlogpogingen van dezelfde gebruiker zijn gedetecteerd, is er mogelijk wel sprake van een incident (wellicht probeert een onbevoegd persoon het wachtwoord te raden). In het hiervoor genoemde voorbeeld zal de SIEM-voorziening slechts één melding weergeven; tien foutieve inlogpogingen door gebruiker ‘x’ op systeem ‘y’. Dit samenvoegen van vergelijkbare gebeurtenissen tot één gebeurtenis wordt aggregeren genoemd.

Het zojuist beschreven voorbeeld gaat nog steeds uit van loginformatie van één bronsysteem. De ware kracht van een SIEM-voorziening zit in het combineren van loginformatie uit verschillende bronsystemen. Stel dat tijdens een scan een kwetsbaarheid is gevonden op de e-mailserver (beveiligingsmelding 1), dat een IDS een bekende aanval detecteert op de e-mailserver (beveiligingsmelding 2) en dat daarna e-mails van diverse accounts worden doorgestuurd (beveiligingsmelding 3). De drie verschillende beveiligingsmeldingen zijn afkomstig uit verschillende systemen, maar zijn allemaal gerelateerd aan een succesvolle aanval. Het combineren van voornoemde beveiligingsinformatie afkomstig uit loginformatie van verschillende bronsystemen wordt correleren genoemd.

Wat hebben wij in de praktijk geleerd?

De recente geschiedenis leert dat IT-implementatietrajecten een vrij hoge faalkans kennen ([Else08]). SIEM-implementaties kennen een sterke technische component: een SIEM-voorziening moet immers gekoppeld worden aan een diversiteit van systemen. Toch is de technische component niet de grootste uitdaging voor een succesvolle implementatie. Waarop moeten bedrijven dan anticiperen om tot succesvolle SIEM-implementatie te komen?

Vijf belangrijke succesfactoren voor een SIEM-implementatie zijn ‘focus’, ‘analyseprocessen voor beveiligingsmeldingen’, ‘organisatie’, ‘fasering’ en ‘onderhoud’.

Onze succesfactoren met SIEM en SOC

Focus

Alle beschikbare loginformatie voor analyse naar de SIEM-voorziening sturen, kan verleidelijk zijn. Echter, dit stelt niet alleen hoge eisen aan het systeem, ook is de kans groot dat dit een enorme hoeveelheid beveiligingsmeldingen oplevert. Deze hoeveelheid beveiligingsmeldingen kan de analisten overspoelen. Als gevolg daarvan onderzoeken de analisten mogelijk willekeurige meldingen in plaats van alleen de belangrijke meldingen. Het is daarom essentieel focus aan te brengen. Het gebruik van onderstaande doelen kan helpen focus aan te brengen in de gewenste informatie:
  • Compliance. Welke informatie wil de organisatie inzichtelijk hebben om aantoonbaar te voldoen aan de interne compliancevereisten, maar ook aan de extern opgelegde compliancevereisten vanuit bijvoorbeeld SOx, PCI DSS (voor creditcardgegevens) of HIPAA (voor medische gegevens)?
  • Risicobeheer. In welke beveiligingsinformatie is de organisatie geïnteresseerd om zowel interne als externe dreigingen en fraude te identificeren? Enkele voorbeelden zijn het saboteren van systemen, het lekken van (gevoelige) informatie, een Denial of Service-aanval of het aanmaken van nieuwe gebruikers met gevoelige autorisaties.
  • Netwerkbeheer. Monitoring van de beschikbaarheid en belasting van kritieke systemen ter voorkoming van een beschikbaarheidsincident.

Naast het in kaart brengen van de gewenste informatie, dient bepaald te worden welke systemen te monitoren. Een aanpak die vaak goed werkt is om eerst te bepalen welke gebeurtenissen het hoogste organisatierisico opleveren (bijvoorbeeld de top 20 van organisatierisico’s). Vervolgens kan bepaald worden welke systemen hier een rol in spelen. Dit zijn systemen met een hoog risicoprofiel, waardoor het nuttig is om deze systemen aan te sluiten op de SIEM-voorziening. Zo kan de SIEM-voorziening het risicoprofiel van een organisatie concreet helpen verlagen.

Ook compliancevereisten kunnen de focus bepalen. Bij een dergelijke focus ligt de nadruk op de bewaking van systemen die vanuit wet- en regelgeving speciale aandacht vragen. Zo is PCI DSS-compliance-informatie alleen relevant voor systemen die creditcardgegevens verwerken en zijn SOx-vereisten alleen relevant voor systemen die belangrijk zijn voor de jaarrekeningcontrole.

Analyse van beveiligingsmeldingen

Een SIEM-voorziening kent een sterke procescomponent. Dit betreft met name de analyse en afhandeling van beveiligingsmeldingen. Voor de introductie van een SIEM-product zullen deze processen vormgegeven moeten worden. Veelal vereisen de diverse typen beveiligingsmeldingen verschillende afhandelprocessen. De analyse en vervolgstappen bij een serie ongeautoriseerde handelingen zullen anders zijn dan bij een foutieve configuratie. Voor elk van de processen dient te worden bepaald wie verantwoordelijk is voor de verschillende (sub)stappen. Als onderdeel hiervan dient een escalatieprocedure te worden ingericht. Het vaststellen van verantwoordelijkheden en escalatieprocedures is extra belangrijk wanneer derde partijen ook IT-diensten leveren.

Veel organisaties die een SIEM-voorziening implementeren, stappen over van een meer reactieve manier van reageren op beveiligings- of compliance-incidenten naar de proactieve vorm. Deze overstap kan bijvoorbeeld ingegeven zijn door auditbevindingen of recente beveiligingsmeldingen. De kans is dan groot dat er niet alleen nieuwe processen moeten worden opgesteld voor het analyseren van beveiligingsincidenten, maar dat ook huidige incidentmanagementprocessen moeten worden aangepast. De proactieve aanpak van SIEM zal immers meer input voor de bestaande IT-beheerprocessen genereren, aangezien op basis van de beveiligingsmeldingen corrigerende maatregelen getroffen zullen worden.

Organisatie

Gerelateerd aan de voorgaande stap is een derde belangrijk aspect het vormgeven van een opvolgingsteam dat de beveiligingsmeldingen zal gaan verwerken. Binnen veel grotere organisaties is al een afdeling rondom beveiliging ingericht. Mogelijk kan het opvolgingsteam binnen deze afdeling worden ingepast. Dit heeft als voordeel dat weinig wijzigingen noodzakelijk zijn op organisatorisch vlak.

Vaak blijkt dat deze afdeling rondom beveiliging meer met beleid en controle bezig is dan met operationaliteit. Deze afdeling zal daardoor geen beveiligingsmeldingen van de SIEM-voorziening onderzoeken. Dit wetende kunnen verschillende oplossingsrichtingen worden gekozen.

Ten eerste kan worden gekozen voor een compact intern opvolgingsteam, of een wat uitgebreidere inrichting in de vorm van een Security Operations Centre (SOC), een extern opvolgingsteam. Daarnaast kan gebruik worden gemaakt van een SOC van een grote IT-dienstverlener waarvan al een dienst wordt afgenomen. Door voor deze weg te kiezen kan op de kosten bespaard worden en daarnaast zijn vaak verschillende soorten serviceniveaus mogelijk waarmee beter afgestemd kan worden op de specifieke behoeften. Nadeel is het risico van belangenverstrengeling wanneer beveiligingsmeldingen worden veroorzaakt door de IT-dienstverlener zelf. Een derde mogelijkheid is daarom om een onafhankelijke externe leverancier in te huren. Nadeel hiervan is dat vertrouwelijke gegevens zullen worden verstuurd aan een extra externe partij. Hierover zullen dus aanvullende afspraken moeten worden gemaakt en op de naleving hiervan zal moeten worden toegezien.

Belangrijke randvoorwaarde is in ieder geval dat goede contractuele afspraken worden gemaakt. Hierin moeten in ieder geval afspraken worden gemaakt over beschikbaarheid, reactiesnelheid (ook buiten kantooruren), de rapportagelijnen, het mandaat en hoe de mankracht het meest adequaat ingezet kan worden.

De introductie van een SIEM-voorziening zal meer beveiligingsmeldingen opleveren die allemaal moeten worden geanalyseerd en waarvan een groot deel opvolging vereist. De implementatie van een SIEM-voorziening zal dus ook invloed hebben op bestaande IT-afdelingen binnen de organisatie.

Fasering

Zoals hierboven geschetst, kennen SIEM-implementatietrajecten een sterke IT-component, maar ook een sterke organisatie- en procescomponent. Dit maakt dergelijke trajecten tot een interessante uitdaging. Een goede manier om hiermee om te gaan is het opstellen van een gefaseerd implementatieplan.

Aandachtspunten bij deze fasering zijn om op relatief korte termijn de toegevoegde waarde van SIEM aan te kunnen tonen, terwijl het traject tegelijkertijd beheersbaar blijft. Een goede aanpak maakt gebruik van de vastgestelde focus. De implementatie kan beginnen met een beperkt aantal doelsystemen en activiteiten die een groot deel van het risicoprofiel van een organisatie vormen. Deze aanpak omvat de organisatie, techniek en processen. Hierdoor worden op deze vlakken parallel verbeteringen doorgevoerd en is de toegevoegde waarde van de SIEM-voorziening snel zichtbaar.

Het is goed om tijdens de implementatie rekening te houden met bekende valkuilen. Zo zal geen enkele SIEM-voorziening exact alle regels kunnen configureren waar een organisatie behoefte aan heeft. Dit heeft te maken met zowel technische beperkingen als het ontbreken van logginginformatie op het juiste detailniveau. Daarnaast zullen veel (risicovolle) handelingen op het IT-landschap zijn toegestaan, maar hoe kan de SIEM-voorziening geautomatiseerd vaststellen of een risicovolle handeling is toegestaan?

De in de SIEM-voorziening geconfigureerde regel zal lang niet altijd de doelstelling van deze regel geheel afdekken. Dit kan zowel valse positieve meldingen opleveren, als valse negatieve meldingen. Een valse positieve melding krijg je als een regel te soepel is gedefinieerd. De SIEM-voorziening genereert daardoor meer meldingen dan nodig is. Die meldingen moeten in principe allemaal onderzocht worden. Een valse negatieve melding is een melding die ten onrechte niet wordt gegenereerd omdat een regel te strak is gedefinieerd.

Het is zaak het aantal meldingen te stabiliseren tot een acceptabel niveau alvorens de functionaliteit uit te breiden of nieuwe systemen aan te sluiten. Dit voorkomt dat de organisatie overstelpt wordt met beveiligingsmeldingen. Aan de andere kant voorkomt deze aanpak het bieden van schijnveiligheid.

Onderhoud

De wereld is continu in beweging en daarmee verandert het risicoprofiel waarmee organisaties te maken hebben. Tevens kan de risicotolerantie van organisaties veranderen. Daarom is het van belang periodiek te evalueren of de SIEM-voorziening aanpassing behoeft. Tijdens de evaluatie kan aan bod komen of:

  • de organisatierisico’s zijn veranderd
  • de doelstelling van de SIEM-voorziening moet veranderen (bijvoorbeeld aanvullende aandacht voor beveiligingsincidenten ten opzichte van compliance)
  • de relatie tussen de doelstelling en de bewaakte IT-middelen juist is
  • de diepgang van de bewaking juist is
  • de bewaakte systemen zijn aangepast, vervangen of worden uitgefaseerd en daarmee of de aggregatie en correlatie van logging nog adequaat verloopt
  • de beveiligingsmeldingen en rapportages nog voldoen aan de doelstellingen en wensen
  • aan de organisatie- of proceskant wijzigingen moeten worden doorgevoerd om te waarborgen dat aan de kwaliteitseisen die van toepassing zijn op de SIEM-voorziening voldaan wordt
  • de bescherming van het SIEM-product zelf nog adequaat is, zodat hierin geen beveiligingslekken ontstaan. Dit betreft zowel het doorvoeren van patches als het controleren of de logische toegangsbeveiliging adequaat is ingericht

Deze periodieke evaluatie waarborgt dat de effectiviteit van de SIEM-voorziening niet wegebt in de loop der tijd.

Conclusie SIEM en SOC

De ontwikkelingen rondom beveiligingsoplossingen zoals SIEM gaan in rap tempo. Dit is mede ingegeven door een sterke managementbehoefte aan een tijdig inzicht in het risicoprofiel van het IT-landschap en aan snelheid van handelen bij incidenten. Hierdoor kunnen SIEM-systemen zich verheugen in een toenemende aandacht van organisaties. Interessant hierbij is dat SIEM-voorzieningen in grote mate kunnen worden aangepast naar de focus die een organisatie heeft. Dit kan resulteren in kleinschalige SIEM-voorzieningen, maar ook in SIEM-voorzieningen die hun nut bewijzen als onderdeel van brede beveiligingsprogramma’s.

Echter, het implementeren van een SIEM-voorziening is niet eenvoudig. Dit is mede te verklaren doordat een dergelijke voorziening raakt aan de organisatie, beveiligingsprocessen, IT-beheerprocessen en natuurlijk aan techniek. Dit vraagt om een gebalanceerde en weloverwogen implementatieaanpak. Het is daarom van belang om de leerervaringen uit de praktijk in acht te nemen. Dit stelt organisaties in staat SIEM-voorzieningen goed in te passen in hun initiatieven ten aanzien van risicobeheer en de krachtige mogelijkheden van SIEM volledig te benutten.