De grote hoeveelheid loginformatie waarmee de SIEM-voorziening wordt gevoed, vertegenwoordigt niet alleen relevante beveiligingsgebeurtenissen. Een groot deel van de gelogde activiteiten bestaat uit toegestane gebeurtenissen of gebeurtenissen die opzichzelfstaand geen incident vertegenwoordigen. Een typisch voorbeeld is het vastleggen van foutieve inlogpogingen. Wanneer de foutieve inlogpoging zich slechts eenmaal voordoet is dit geen incident. Wanneer binnen korte tijd tien of meer foutieve inlogpogingen van dezelfde gebruiker zijn gedetecteerd, is er mogelijk wel sprake van een incident (wellicht probeert een onbevoegd persoon het wachtwoord te raden). In het hiervoor genoemde voorbeeld zal de SIEM-voorziening slechts één melding weergeven; tien foutieve inlogpogingen door gebruiker ‘x’ op systeem ‘y’. Dit samenvoegen van vergelijkbare gebeurtenissen tot één gebeurtenis wordt aggregeren genoemd.

Het zojuist beschreven voorbeeld gaat nog steeds uit van loginformatie van één bronsysteem. De ware kracht van een SIEM-voorziening zit in het combineren van loginformatie uit verschillende bronsystemen. Stel dat tijdens een scan een kwetsbaarheid is gevonden op de e-mailserver (beveiligingsmelding 1), dat een IDS een bekende aanval detecteert op de e-mailserver (beveiligingsmelding 2) en dat daarna e-mails van diverse accounts worden doorgestuurd (beveiligingsmelding 3). De drie verschillende beveiligingsmeldingen zijn afkomstig uit verschillende systemen, maar zijn allemaal gerelateerd aan een succesvolle aanval. Het combineren van voornoemde beveiligingsinformatie afkomstig uit loginformatie van verschillende bronsystemen wordt correleren genoemd.

Wat hebben wij in de praktijk geleerd?

De recente geschiedenis leert dat IT-implementatietrajecten een vrij hoge faalkans kennen ([Else08]). SIEM-implementaties kennen een sterke technische component: een SIEM-voorziening moet immers gekoppeld worden aan een diversiteit van systemen. Toch is de technische component niet de grootste uitdaging voor een succesvolle implementatie. Waarop moeten bedrijven dan anticiperen om tot succesvolle SIEM-implementatie te komen?

Vijf belangrijke succesfactoren voor een SIEM-implementatie zijn ‘focus’, ‘analyseprocessen voor beveiligingsmeldingen’, ‘organisatie’, ‘fasering’ en ‘onderhoud’.

Onze succesfactoren met SIEM en SOC

Focus

• Compliance. Welke informatie wil de organisatie inzichtelijk hebben om aantoonbaar te voldoen aan de interne compliancevereisten, maar ook aan de extern opgelegde compliancevereisten vanuit bijvoorbeeld SOx, PCI DSS (voor creditcardgegevens) of HIPAA (voor medische gegevens)?
• Risicobeheer. In welke beveiligingsinformatie is de organisatie geïnteresseerd om zowel interne als externe dreigingen en fraude te identificeren? Enkele voorbeelden zijn het saboteren van systemen, het lekken van (gevoelige) informatie, een Denial of Service-aanval of het aanmaken van nieuwe gebruikers met gevoelige autorisaties.
• Netwerkbeheer. Monitoring van de beschikbaarheid en belasting van kritieke systemen ter voorkoming van een beschikbaarheidsincident.

Naast het in kaart brengen van de gewenste informatie, dient bepaald te worden welke systemen te monitoren. Een aanpak die vaak goed werkt is om eerst te bepalen welke gebeurtenissen het hoogste organisatierisico opleveren (bijvoorbeeld de top 20 van organisatierisico’s). Vervolgens kan bepaald worden welke systemen hier een rol in spelen. Dit zijn systemen met een hoog risicoprofiel, waardoor het nuttig is om deze systemen aan te sluiten op de SIEM-voorziening. Zo kan de SIEM-voorziening het risicoprofiel van een organisatie concreet helpen verlagen.

Ook compliancevereisten kunnen de focus bepalen. Bij een dergelijke focus ligt de nadruk op de bewaking van systemen die vanuit wet- en regelgeving speciale aandacht vragen. Zo is PCI DSS-compliance-informatie alleen relevant voor systemen die creditcardgegevens verwerken en zijn SOx-vereisten alleen relevant voor systemen die belangrijk zijn voor de jaarrekeningcontrole.

Analyse van beveiligingsmeldingen

Een SIEM-voorziening kent een sterke procescomponent. Dit betreft met name de analyse en afhandeling van beveiligingsmeldingen. Voor de introductie van een SIEM-product zullen deze processen vormgegeven moeten worden. Veelal vereisen de diverse typen beveiligingsmeldingen verschillende afhandelprocessen. De analyse en vervolgstappen bij een serie ongeautoriseerde handelingen zullen anders zijn dan bij een foutieve configuratie. Voor elk van de processen dient te worden bepaald wie verantwoordelijk is voor de verschillende (sub)stappen. Als onderdeel hiervan dient een escalatieprocedure te worden ingericht. Het vaststellen van verantwoordelijkheden en escalatieprocedures is extra belangrijk wanneer derde partijen ook IT-diensten leveren.

Veel organisaties die een SIEM-voorziening implementeren, stappen over van een meer reactieve manier van reageren op beveiligings- of compliance-incidenten naar de proactieve vorm. Deze overstap kan bijvoorbeeld ingegeven zijn door auditbevindingen of recente beveiligingsmeldingen. De kans is dan groot dat er niet alleen nieuwe processen moeten worden opgesteld voor het analyseren van beveiligingsincidenten, maar dat ook huidige incidentmanagementprocessen moeten worden aangepast. De proactieve aanpak van SIEM zal immers meer input voor de bestaande IT-beheerprocessen genereren, aangezien op basis van de beveiligingsmeldingen corrigerende maatregelen getroffen zullen worden.

Organisatie

Gerelateerd aan de voorgaande stap is een derde belangrijk aspect het vormgeven van een opvolgingsteam dat de beveiligingsmeldingen zal gaan verwerken. Binnen veel grotere organisaties is al een afdeling rondom beveiliging ingericht. Mogelijk kan het opvolgingsteam binnen deze afdeling worden ingepast. Dit heeft als voordeel dat weinig wijzigingen noodzakelijk zijn op organisatorisch vlak.

Vaak blijkt dat deze afdeling rondom beveiliging meer met beleid en controle bezig is dan met operationaliteit. Deze afdeling zal daardoor geen beveiligingsmeldingen van de SIEM-voorziening onderzoeken. Dit wetende kunnen verschillende oplossingsrichtingen worden gekozen.

Ten eerste kan worden gekozen voor een compact intern opvolgingsteam, of een wat uitgebreidere inrichting in de vorm van een Security Operations Centre (SOC), een extern opvolgingsteam. Daarnaast kan gebruik worden gemaakt van een SOC van een grote IT-dienstverlener waarvan al een dienst wordt afgenomen. Door voor deze weg te kiezen kan op de kosten bespaard worden en daarnaast zijn vaak verschillende soorten serviceniveaus mogelijk waarmee beter afgestemd kan worden op de specifieke behoeften. Nadeel is het risico van belangenverstrengeling wanneer beveiligingsmeldingen worden veroorzaakt door de IT-dienstverlener zelf. Een derde mogelijkheid is daarom om een onafhankelijke externe leverancier in te huren. Nadeel hiervan is dat vertrouwelijke gegevens zullen worden verstuurd aan een extra externe partij. Hierover zullen dus aanvullende afspraken moeten worden gemaakt en op de naleving hiervan zal moeten worden toegezien.

Belangrijke randvoorwaarde is in ieder geval dat goede contractuele afspraken worden gemaakt. Hierin moeten in ieder geval afspraken worden gemaakt over beschikbaarheid, reactiesnelheid (ook buiten kantooruren), de rapportagelijnen, het mandaat en hoe de mankracht het meest adequaat ingezet kan worden.

De introductie van een SIEM-voorziening zal meer beveiligingsmeldingen opleveren die allemaal moeten worden geanalyseerd en waarvan een groot deel opvolging vereist. De implementatie van een SIEM-voorziening zal dus ook invloed hebben op bestaande IT-afdelingen binnen de organisatie.

Fasering

Zoals hierboven geschetst, kennen SIEM-implementatietrajecten een sterke IT-component, maar ook een sterke organisatie- en procescomponent. Dit maakt dergelijke trajecten tot een interessante uitdaging. Een goede manier om hiermee om te gaan is het opstellen van een gefaseerd implementatieplan.

Aandachtspunten bij deze fasering zijn om op relatief korte termijn de toegevoegde waarde van SIEM aan te kunnen tonen, terwijl het traject tegelijkertijd beheersbaar blijft. Een goede aanpak maakt gebruik van de vastgestelde focus. De implementatie kan beginnen met een beperkt aantal doelsystemen en activiteiten die een groot deel van het risicoprofiel van een organisatie vormen. Deze aanpak omvat de organisatie, techniek en processen. Hierdoor worden op deze vlakken parallel verbeteringen doorgevoerd en is de toegevoegde waarde van de SIEM-voorziening snel zichtbaar.

Het is goed om tijdens de implementatie rekening te houden met bekende valkuilen. Zo zal geen enkele SIEM-voorziening exact alle regels kunnen configureren waar een organisatie behoefte aan heeft. Dit heeft te maken met zowel technische beperkingen als het ontbreken van logginginformatie op het juiste detailniveau. Daarnaast zullen veel (risicovolle) handelingen op het IT-landschap zijn toegestaan, maar hoe kan de SIEM-voorziening geautomatiseerd vaststellen of een risicovolle handeling is toegestaan?

De in de SIEM-voorziening geconfigureerde regel zal lang niet altijd de doelstelling van deze regel geheel afdekken. Dit kan zowel valse positieve meldingen opleveren, als valse negatieve meldingen. Een valse positieve melding krijg je als een regel te soepel is gedefinieerd. De SIEM-voorziening genereert daardoor meer meldingen dan nodig is. Die meldingen moeten in principe allemaal onderzocht worden. Een valse negatieve melding is een melding die ten onrechte niet wordt gegenereerd omdat een regel te strak is gedefinieerd.

Het is zaak het aantal meldingen te stabiliseren tot een acceptabel niveau alvorens de functionaliteit uit te breiden of nieuwe systemen aan te sluiten. Dit voorkomt dat de organisatie overstelpt wordt met beveiligingsmeldingen. Aan de andere kant voorkomt deze aanpak het bieden van schijnveiligheid.

Onderhoud

De wereld is continu in beweging en daarmee verandert het risicoprofiel waarmee organisaties te maken hebben. Tevens kan de risicotolerantie van organisaties veranderen. Daarom is het van belang periodiek te evalueren of de SIEM-voorziening aanpassing behoeft. Tijdens de evaluatie kan aan bod komen of:

• de organisatierisico’s zijn veranderd
• de doelstelling van de SIEM-voorziening moet veranderen (bijvoorbeeld aanvullende aandacht voor beveiligingsincidenten ten opzichte van compliance)
• de relatie tussen de doelstelling en de bewaakte IT-middelen juist is
• de diepgang van de bewaking juist is
• de bewaakte systemen zijn aangepast, vervangen of worden uitgefaseerd en daarmee of de aggregatie en correlatie van logging nog adequaat verloopt
• de beveiligingsmeldingen en rapportages nog voldoen aan de doelstellingen en wensen
• aan de organisatie- of proceskant wijzigingen moeten worden doorgevoerd om te waarborgen dat aan de kwaliteitseisen die van toepassing zijn op de SIEM-voorziening voldaan wordt
• de bescherming van het SIEM-product zelf nog adequaat is, zodat hierin geen beveiligingslekken ontstaan. Dit betreft zowel het doorvoeren van patches als het controleren of de logische toegangsbeveiliging adequaat is ingericht

Deze periodieke evaluatie waarborgt dat de effectiviteit van de SIEM-voorziening niet wegebt in de loop der tijd.

Conclusie SIEM en SOC

De ontwikkelingen rondom beveiligingsoplossingen zoals SIEM gaan in rap tempo. Dit is mede ingegeven door een sterke managementbehoefte aan een tijdig inzicht in het risicoprofiel van het IT-landschap en aan snelheid van handelen bij incidenten. Hierdoor kunnen SIEM-systemen zich verheugen in een toenemende aandacht van organisaties. Interessant hierbij is dat SIEM-voorzieningen in grote mate kunnen worden aangepast naar de focus die een organisatie heeft. Dit kan resulteren in kleinschalige SIEM-voorzieningen, maar ook in SIEM-voorzieningen die hun nut bewijzen als onderdeel van brede beveiligingsprogramma’s.

Echter, het implementeren van een SIEM-voorziening is niet eenvoudig. Dit is mede te verklaren doordat een dergelijke voorziening raakt aan de organisatie, beveiligingsprocessen, IT-beheerprocessen en natuurlijk aan techniek. Dit vraagt om een gebalanceerde en weloverwogen implementatieaanpak. Het is daarom van belang om de leerervaringen uit de praktijk in acht te nemen. Dit stelt organisaties in staat SIEM-voorzieningen goed in te passen in hun initiatieven ten aanzien van risicobeheer en de krachtige mogelijkheden van SIEM volledig te benutten.