Nu de aandacht voor informatiebeveiliging toeneemt zijn organisaties ook steeds meer bereid investeringen in hun information security te doen. Vaak wordt er als eerste een functionaris aangesteld die ervoor moet gaan zorgen dat de bedrijfsgeheimen en persoonsgegevens veilig zijn. Maar hoe doe je dat, waar begin je? Helaas trappen veel organisaties in de valkuil om gelijk met een SIEM/SOC te beginnen. Vaak resulteert dat in teleurstellingen en hoge afschrijvingen.

SIEM?

Security Information and Event Management (SIEM) zijn softwarepakketten die technische informatie uit verschillende bronnen opslaat, samenvoegt en daar verbanden in legt. Een SIEM kan verschillende elementen bevatten:

  • Verzamelen van logboeken van verschillende informatiesystemen
  • Ontdekken van kenmerken en het geautomatiseerd aan elkaar koppelen van deze kenmerken zodat er informatie ontstaat.
  • Alarmering wanneer informatie tot aandachtspunten leidt
  • Dashboards waarin real-time data en informatie wordt gepresenteerd
  • Compliance rapportages
  • Retentie, opslag van gegevens zodat op een later moment onderzoek gedaan kan worden.

SOC?

Een Security Operations Center (SOC) is een gecentraliseerde eenheid die zich bezighoudt met beveiligingsproblemen op organisatorisch en technisch niveau. Bedrijfsinformatiesystemen zoals websites, applicaties, databases, datacenters, servers, netwerken, desktops en andere systemen worden daar door gespecialiseerde medewerkers bewaakt, beoordeeld en verdedigd. Deze security specialisten voeren de regie over de informatiebeveiliging van de organisatie. Afhankelijk van het risicoprofiel van de organisatie zullen zij meldingen classificeren en, waar nodig, opvolgen.

SIEM/SOC

In het SOC werken security specialisten die onder andere een SIEM gebruiken om hun werk te kunnen doen.

Waarom teleurstellingen?
Hoewel SIEM/SOC voor sommige organisaties een fantastische oplossing is, blijkt in de praktijk helaas nog dat er relatief weinig organisaties zijn die er goed mee uit de voeten kunnen. Hieronder volgen de belangrijkste redenen.

Een van de belangrijkste functies binnen een SOC is de regiefunctie. Informatiebeveiliging is onderdeel van de totale risicobeheersing van een organisatie. Je kunt technische meldingen niet los zien van de impact op de business. Binnen informatiebeveiliging maak je steeds opnieuw afwegingen: een melding kan op het ene moment een lage prioriteit krijgen, terwijl dezelfde melding op een ander moment een hoge prioriteit krijgt. Als deze regierol niet goed is ingevuld, blijft men focussen op de techniek en wordt daadoor onvoldoende rekening gehouden met business impact (en benefits!).

Een SIEM/SOC vergt behoorlijke investeringen. Niet alleen moet er geïnvesteerd worden in licenties voor een SIEM. Het SIEM moet daarna ingericht worden, er moeten koppelingen met logbronnen ontwikkeld worden en er moet vaak hardware aangeschaft worden. Daarnaast moeten er mensen opgeleid worden en moeten zij een ingerichte werkplek tot hun beschikking krijgen. Wil je een 24/7 SOC in de lucht houden, dan heb je al snel 7 personen nodig. Voor veel organisaties is achteraf lastig te verklaren waardoor deze investeringen gerechtvaardigd waren.

Security specialisten zijn schaars. Voor organisaties is het uitermate lastig om security specialisten te vinden en ze daarna te binden. Daardoor kampen veel SOCs met onderbezetting. Door deze onderbezetting kunnen niet alle signalen opgevolgd worden en niet alle informatie geanalyseerd worden. Dit is demotiverend voor de specialisten en zorgt voor onvrede binnen de organisatie.

De implementatie van een SIEM/SOC wordt te groots aangepakt. Dit is tegelijkertijd een paradox, want je wil een SIEM/SOC ook niet te klein opzetten, omdat je dan zaken gaat missen. Veel informatiesystemen zijn in staat om hun logs ter beschikking te stellen voor een SIEM. Daarnaast zijn er ook nog een aantal andere applicaties en bronnen die informatie aan een SIEM kunnen verstrekken, denk aan threat intelligence of vulnerability scanning systemen. Voeg je te weinig systemen toe, dan weet je eigenlijk niet welke informatie je mist en welke blinde vlekken er zijn. Voeg je er teveel toe, dan wordt er zoveel data gegenereerd dat je door de bomen het bos niet meer ziet. Je loopt het risico om bewust onbekwaam te worden.

In het verlengde van voorgaande punt is er ook een kans dat het SIEM zaken correleert die eigenlijk een causaliteit zijn. Er worden verbanden tussen bevindingen gelegd en conclusies getrokken die niet kloppen, waardoor je verkeerde beslissingen neemt. Deze verkeerde correlaties kunnen komen doordat de dataset niet volledig is, met meerdere logbronnen zou je dit kunnen voorkomen, maar tegelijkertijd kan de set daardoor ook vervuild raken.

Welke alternatieven zijn er?

Als directeur van Guardian360 moet ik hier natuurlijk ons platform vermelden. Onze security specialisten hebben heel kritisch gekeken naar de informatie die een CISO of IT-manager wil zien en welke informatie niet relevant is. Daardoor zijn we in staat om een dashboard te presenteren waarin bijvoorbeeld aangegeven wordt welke zwakke plekken een informatiesysteem heeft, of er afwijkingen van informatiebeveiligingsnormen zijn en welke hackpogingen er gesignaleerd zijn. Door overbodige data weg te laten kan er gefocust worden op wat er echt toe doet. Dit platform vergt geen hoge voorinvesteringen, ook hoeft niet een heel team continu naar de dashboards te kijken.

Daarnaast zijn er een aantal partijen die SOC as a Service aanbieden. Deze partijen hebben zelf geïnvesteerd in licenties, hardware en mensen. Daardoor hoeft een klant deze investeringen niet zelf te doen. Natuurlijk moet zo’n SOC wel meerder klanten bedienen om de investeringen terug te verdienen en loop je daardoor het risico dat zij niet de onverdeelde aandacht voor jouw informatiesysteem hebben.

Waar ik daarnaast in geloof is dat automatisering ons verder gaat helpen. Door beter gebruik van algoritmes te maken en de opkomst van machine learning en artificial intelligence zal de combinatie SIEM/SOC steeds effectiever worden. Daardoor kunnen security specialisten zich ook meer gaan richten op de menselijke aspecten binnen informatiebeveiliging.

Er zijn op dit moment een aantal partijen in de markt die aan SOC 2.0 werken. Deze systemen zijn minder afhankelijk van menselijke specialisten en vergen lagere investeringen in hard- en software. Ik denk niet dat het lang zal duren voordat we deze SOC’s op de markt zullen zien verschijnen, al dan niet as a service.

Bronnen
https://en.wikipedia.org/wiki/Security_operations_center
https://en.wikipedia.org/wiki/Security_information_and_event_management