Security Information Management (SIM) en Security Event Management (SEM) zijn beide producten of diensten die je inzet om de veiligheid van je IT-systeem te garanderen. De een gericht op het screenen en beoordelen van informatie, de andere op screenen en beoordelen van gebeurtenissen. En dan is er SIEM: een product of dienst die beide doet!
Maar SIEM is nóg meer!
SIEM komt eigenlijk voort uit nog meer technologische snufjes die allemaal op één gebied bijdragen aan systeembeveiliging:
- LMS: Log Management System – een systeem dat log files van bijvoorbeeld je OS, je apps en je integraties van al je apparatuur verzamelt en opslaat op één locatie en die je vervolgens vanaf één centrale plek kunt benaderen.
- SLM /SEM: Security Log/Event Management – een soort LMS, maar gericht op data-analisten in plaats van systeembeheerders. Het markeert bepaalde loggegevens als meer of minder relevant voor de beveiliging.
- SIM “Security Information Management” – een Asset Management Systeem, maar dan uitgebreid met de extra functionaliteit om ook beveiligingsdata in te voeren. Hosting services mogen dan zogenaamde ‘vulnerability reports’ bijhouden, maar de meldingen van antivirus en hackpogingen worden ingedeeld op systeem en niet op device. SIM geeft je dus specifiekere informatie.
- SEC “Security Event Correlation” – Correlatie tussen log events wordt vooral opgemerkt door analisten, personen dus. Software detecteert bijvoorbeeld wel drie aanmeldpogingen op hetzelfde gebruikersaccount, ook als deze van verschillende apparaten komen, maar ‘vindt’ hier verder niks van, dus moet het opgemerkt worden door een oplettende analist die het verdacht genoeg vindt en op onderzoek uitgaat. SEC zoekt naar patronen in log files en geeft een melding af, zodat je minder afhankelijk bent van de oplettendheid van de analist en bovendien direct gewaarschuwd wordt op het moment dat het zich voordoet.
- SIEM “Security Information and Event Management” – SIEM is alles uit deze lijst in één product of dienst.
De uitgebreide mogelijkheden van SIEM
SIEM is dus misschien wel de heilige graal (van dit moment) als het aankomt op een allesomvattend beveiligingssysteem. Maar wat kun je er nou uiteindelijk allemaal mee?
- Databundeling: Log management bundelt data van veel verschillende bronnen; dus óók netwerk, beveiliging, servers, databases en applicaties. Zo versterkt de data die je monitort elkaar en dat helpt je bij het spotten van cruciale log events.
- Correlatie: Zoekt veelvoorkomende gebeurtenissen en bundelt vergelijkbare events. Het geeft je de mogelijkheid allerlei correlatietechnieken toe te passen om verschillende bronnen te integreren, zodat de data heel waardevolle informatie geeft.
- Alerts: Automatisch versturen van meldingen die voortkomen uit analyse van alle events. Zo ben je snel op de hoogte van urgente issues.
- Dashboards: Met tools kun je handige en overzichtelijke grafieken maken die helpen bij het ontdekken van patronen of juist wanneer een patroon afwijkt. Handig om naast elkaar op een dashboard te hebben.
- Compliance: Je kunt apps inzetten die automatisch compliance data verzamelen en daar rapportages van maken die zich aanpassen aan bestaande beveiliging, governance en auditprocessen.
- Retention: Door gegevens langdurig op te slaan, kun je later gemakkelijk de correlatie tussen historische en actuele gegevens over een bepaalde termijn bekijken. Bovendien moet je bepaalde data voor langere termijn opslaan; binnen de kaders van SIEM zijn ze veilig.
- Forensische analyse: Dit is de mogelijkheid om te zoeken in verschillende netwerkknooppunten en verschillende periodes, gebaseerd op specifieke criteria. Zo hoef je niet meer zelf allerlei zoekresultaten bij elkaar te voegen.
Hoe werkt het dan?
Het woord correlatie is al een aantal keer gevallen. Dat is eigenlijk wel de rode draad van SIEM: data met elkaar vergelijken en aan elkaar koppelen om zo waardevolle informatie over alle log files te vergaren. Maar er is meer.
In feite doet SIEM niet meer dan loggegevens verzamelen van alle aanwezige devices binnen de organisatie. Sommige SIEM-producten verzamelen ook NetFlow en zelfs raw packets. Dat geeft je inzicht in alles wat er gebeurt op het netwerk. SIEM biedt dus data over alle activiteiten op het netwerk en functioneert daarmee eigenlijk als een compleet gecentraliseerd monitoringsysteem.
Daar komt nog bij dat je een SIEM-tool zo kunt configureren dat het specifieke incidenten kan opsporen. Bijvoorbeeld: als een gebruiker probeert in te loggen op een AD server en het lukt pas bij de vierde poging, is dat een interessante gebeurtenis. Er kunnen natuurlijke meerdere legitieme redenen zijn, zoals de bekende ‘dikke vingers’, maar het kan ook een medewerker zijn die probeert het wachtwoord van een collega te raden en daarin slaagt. Dan heb je toch te maken met een beveiligingsrisico.
Met SIEM kun je regels instellen die ervoor zorgen dat je een melding krijgt bij dergelijke gebeurtenissen. In dit geval zou je de volgende regel kunnen aanmaken: als een authenticatieprobleem zich 3 opvolgende keren voordoet, gevolgd door een succesvolle poging en binnen een bepaalde tijd, dan moet er een melding worden verstuurd. Een analist kan dan verder onderzoek doen om het daadwerkelijke risico te bepalen.
Ingrediënten voor een goede inzet van SIEM
Tja, en dan heb je een SIEM-product of -dienst aangeschaft… Zoals je weet is de mens de zwakste schakel, dus hoe zorg je er nou voor dat je alles zo inricht dat SIEM ook echt z’n werk gaat doen? Met de volgende ingrediënten heb je de technische kant in ieder geval gedekt:
Logs en Alerts
| Beveiligingsmaatregelen | Infrastructuur |
| Intrusion detection | Routers |
| Endpointbeveiliging (antivirus e.d.) | Switches |
| Preventie van dataverlies | Domeincontrollers |
| VPN Concentrators | Wireless Acces Points |
| Webfilters | Application Servers |
| Honeypots | Databases |
| Firewalls | Intranetapplicaties |
Top tien SIEM-toepassingen
Dataverzameling is natuurlijk waar het allemaal om draait bij SIEM. Hoe meer bronnen er zijn om data uit te verzamelen, hoe meer SIEM kan betekenen voor de beveiliging van de organisatiesystemen. En natuurlijk, hoe meer verbanden (correlatie, daar is ‘ie weer) er gelegd kunnen worden.
Voor data-analisten is SIEM echt een uitkomst! Het ondersteunt ze met het spotten van die log events die ertoe doen voor jullie organisatie. Dat bespaart enorm veel tijd, die dan weer besteed kan worden aan het vinden van de juiste oplossingen en aanpassingen in alle systemen.
De tien belangrijkste gegevens die je sowieso wil verzamelen:
1. Aanmeldpogingen
Abnormale aanmeldpogingen of op rare tijdstippen. Op zichzelf niet altijd een probleem, maar deze info wil je zeker in combinatie met andere data graag hebben.
2. Shared Accounts
Aanmelding voor hetzelfde account, maar vanaf verschillende bronnen en binnen een bepaalde tijd: goed om in de gaten te houden!
3. Activiteiten per sessie
Lengte van de sessies, inactieve sessies, regelmatig terugkerende sessies…you name it, you want it!
4. Connections Details
Een connectie kan volledig legitiem zijn, maar ook volledige onzin. Een aanmeldpoging bij een afgesloten port, bijvoorbeeld. Of geblokkeerde interne connecties en connecties naar een niet bestaand doel… Hartstikke interessant!
5. Abnormale activiteit
Zijn de inactieve accounts wel echt inactief? En zijn er gekke dingen te zien op accounts waarvan het wachtwoord al lang niet meer gewijzigd is? En sowieso: is alle activiteit in de accounts oké? Dat wil je echt heel graag weten!
6. Gegevensdiefstal
Pogingen van data-export, informatielekken via e-mail, et cetera. Door monitoring van sharing apps en mailservers, zijn ook deze gegevens beschikbaar.
7. Scans en correlatie
Door een applicatie mee te laten draaien die scant op zwakke plekken in de beveiliging, kun je ook die informatie weer correleren met andere factoren. Zo heb je een snelle inschatting van het risico van de zwakke plek.
8. Statistische analyse
Alle informatie die je met elkaar correleert geven duidelijke en overzichtelijke statistieken. Daarmee kun je waardevolle interpretaties maken die je kunt inzetten voor je beveiligingsbeleid en bedrijfsvoering.
9. Intrusion Detection en infecties
Deze informatie krijg je via IDS/IPS, antivirus en anti-malware applicaties Ook altijd handig om naast alle andere gegevens te kunnen leggen.
10. Systeemaanpassingen
Welke aanpassingen zijn gedaan in configuraties, door gebruikers of als gevolg van updates, en wat zijn de eventuele gevolgen daarvan voor het systeem?
SIEM is dus continu loggegevens aan het verzamelen, correleren en analyseren, zodat hieruit bruikbare conclusies kunnen worden getrokken met betrekking tot de veiligheid. Juist het combineren van al die ‘losse’ gegevens, brengt incidenten aan het licht die anders over het hoofd worden gezien.
SIEM en ISO 27001
ISO 27001 schrijft voor dat incidentgegevens van verschillende systemen gebundeld beschikbaar zijn. En ook je asset management moet goed op orde zijn. Daarvoor levert SIEM nuttige en essentiële tools. Alle cruciale veiligheidsinformatie, -incidenten en -bedreigingen worden gevisualiseerd en zijn makkelijk op te roepen via dashboards en realtime controle.
ISO 27001 beheersmaatregelen in SIEM
| ISO 27001 beheersmaatregel | SIEM-functionaliteit |
| A.6.1.3 Opzet van informatiebeveiliging | SIEM volgt security tasks en slaat relevante loginformatie op. Ook monitort het de meldingsstatus en verstuurt een melding als deze verandert. |
| A.8.3.1 A.8.3.3 HR-beveiliging | SIEM verzamelt alle Account Management-activiteiten en monitort de toegangsrechten van alle werknemers. Alle opvallende activiteiten worden gemeld. |
| A.10.1.2 A.10.3.1 A.10.3.2 A.10.4.1 A.10.5.1 A.10.6.1 A.10.9.3 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.5 Communications and Operations Management | SIEM helpt om informatie te evalueren aan de hand van vertrouwelijkheid, integriteit en beschikbaarheid. Bovendien laat realtime integriteitscontrole allerlei wijzigingen, aanpassingen en toevoegingen aan het bestandssysteem zien via rapporten en dashboards. SIEM detecteert daarnaast ongeoorloofde wijzigingen en bewaakt ook de status van bijvoorbeeld schijfvolumes en CPU-gebruik en service-initiaties en -onderbrekingen. Bij elke verdachte of abnormale activiteit stuurt het een melding. SIEM verzamelt logs van verschillende bronnen, zoals netwerkapparaten, hosts, firewalls, IDS/IPS-systemen en andere beveiligingsapparaten. Ook deze zijn zichtbaar in rapporten en dashboards, maar ze zijn ook actiegericht met alerts tegen malware, virussen en andere beveiligingsaanvallen. En tenslotte worden ook e-mail en audit trail logs verzameld, geanalyseerd en gerapporteerd om te voldoen aan alle vertrouwelijkheids-, integriteits- en beschikbaarheidseisen. |
| A.11.2.1 A.11.5.1 A.11.5.4 A.11.6.1 Access Control | SIEM kan het volledige accountsysteem bewaken; zowel het beheerproces als de gebruikersactiviteiten en VPN-gebruik. De monitoring detecteert ongeoorloofde activiteiten en stuurt meldingen naar de beheerder. |
| A.12.4.2 A.12.4.3 A.12.5.1 A.12.6.1 Information System Acquisition, Development and Maintenance | SIEM bewaakt zwakke plekken in de IT-infrastructuur en rapporteert hierover als input voor het patchen van systemen. Ook kan het systeem uptime metrics monitoren. |
| A.13.1.1 A.13.1.2 A.13.2.1 A.13.2.2 A.13.2.3 Information Security Incident Management | Als aanvulling op bovenstaande: SIEM maakt security event management mogelijk met rapporten en alerts om zo zwakke plekken in de IT-architectuur te beoordelen en biedt een volledig overzicht van classificatie. |
| A.14.1.2 Business Continuity Management | SIEM verzamelt, classificeert, normaliseert en analyseert de logs en creëert rapporten en dashboards om gebeurtenissen in realtime te bekijken. Als er problemen worden gedetecteerd, onderneemt SIEM actie, bewaakt en rapporteert het risico, creëert een alert in realtime en stuurt een melding naar de beheerder. |
| A.15.1.3 A.15.3.2 Compliance | De mogelijkheid van SIEM om te analyseren en te rapporteren kan worden gebruikt voor het monitoren van aanpassingen in de configuratie. Gedeeltelijke geautomatiseerde auditing van gegevensintegriteit, beschikbaarheid en vertrouwelijkheid door SIEM, draagt bij aan de naleving van de regelgeving. |
SIEM-conclusie
SIEM-aanbieders zijn er in verschillende soorten en maten en niet elk SIEM-product is even volledig. Let daar dus wel op als je voor SIEM kiest. Bedenk daarom goed wat je echt nodig hebt en welke functionaliteiten je echt kunnen helpen. Dus, de ‘musthaves’ en de ‘want to-haves’.
De verscchuiving van ICT dienstverlening van ‘serverbeheerder’ naar Managed Service Provider zien we al. Security is pas in de kinderschoenen en we zien het nu pas echt opkomen, een SIEM is onmisbaar en vroeg of laat zul je dit aanschaffen als ICT dienstverlener. Zoek vooral een niet te complexe tool maar een tool die passend is bij jullie situatie, al die data moet ook geanalyseerd worden en teveel data geeft ruis.
Wil je daar advies over of een extra paar ogen om met je mee te kijken? Bel onze Jasper, vindt ‘ie leuk!