Grip houden op beveiligingsrisico’s

Grip houden op beveiligingsrisico's
 
Er worden steeds hogere eisen gesteld aan de informatiebeveiliging binnen organisaties, vooral door de toename van cybercrime. Om aanvallen snel te kunnen identificeren en er adequaat op te kunnen reageren is een flexibele, specifieke en concrete oplossing nodig. Security Information & Event Management (SIEM)-oplossingen voldoen aan deze vereisten. De auteur gaat in op de drie belangrijkste aandachtsgebieden voor een succesvolle SIEM-implementatie.
Organisaties worden geconfronteerd met meer en hogere eisen aan hun informatiebeveiliging, met name met betrekking tot het monitoren, detecteren, rapporteren van en reageren op bedreigingen. Wet- en regelgeving, zoals SOx en PCI-DSS, stellen expliciete en impliciete eisen aan monitoring. Daarnaast bevatten informatiebeveiligingsstandaarden, zoals ISO 27002, eisen voor het invoeren van maatregelen voor het monitoren van informatiesystemen en data. Maar waarschijnlijk zijn de huidige cybercrimebedreigingen de meest urgente reden om een monitoringcompetentie in te richten. Achter deze snel veranderende bedreigingen staan georganiseerde, professionele en geraffineerde hackergroeperingen. Volledige preventie is niet realistisch. Veel organisaties zoeken daarom naar oplossingen om de aanvallen snel te kunnen identificeren en hier vervolgens adequaat op te kunnen reageren. Dat vraagt een flexibele oplossing die (technisch) specifiek en concreet is. Het traditionele compliance- en maatregelenraamwerk komt in deze zin tekort en is geen effectieve oplossing voor deze uitdaging. Security Information & Event Management (SIEM)-oplossingen kunnen deze uitdaging wel aan. In de praktijk blijkt de implementatie van een SIEM-competentie echter lastig. Slechts een beperkt aantal organisaties is in staat alle kritieke vraagstukken en onderdelen goed te overwegen en te adresseren. Maar wat zijn de kritieke onderdelen van een SIEM-implementatie? En wat zijn de aandachtspunten voor CIO’s, CISO’s en SIEM-competentiemanagers bij het implementeren of aanscherpen van SIEM-oplossingen? De antwoorden op deze vragen zijn te bundelen tot de drie belangrijkste aandachtsgebieden voor een succesvolle SIEM-implementatie:
• de businesscase;
• technologie;
• organisatie en processen.
De SIEM-businesscase
De eerste stap in elk SIEM-implementatietraject is het definiëren van de businesscase. Voor veel organisaties is het lastig om deze case goed te bepalen. De businesscase ondersteunt een bedrijfseconomische beslissing waarbij de betrokkenen de kosten en baten van het SIEM-initiatief
beoordelen en afwegen. Aansluitend leggen ze de technische, organisatorische en procesgerelateerde doelen voor de implementatie vast. Die aanpak zorgt ervoor dat de oplossing voldoet aan wet- en regelgeving, businesseisen en informatiebeveiligingseisen en bescherming biedt tegen informatiebeveiligingsrisico’s. De businesscase bepaalt het gehele implementatietraject en de meetbaarheid van het uiteindelijke succes. Daarom is het van groot belang dat de case helder en concreet is beschreven, inclusief de technische, operationele en organisatorische doelen.
Technische doelen
Voor het bepalen van de juiste technische doelen beslist de organisatie welke ‘monitoring use cases’ van belang zijn. Het is een misvatting te denken dat SIEM-technologie out of the box geconfigureerd is om bedreigingen en zwakheden te identificeren. Zelfs als de SIEM-oplossing monitoringcontent bevat, is het aan de organisatie om deze verder te configureren. Pas dan functioneert de oplossing goed in de specifieke omgeving van de organisatie. De voornaamste bronnen voor het opstellen van de monitoring use cases zijn vastgelegd in de businesscase: wet- en regelgeving, businesseisen en informatiebeveiligingsstandaards en -risico’s.
Wet- en regelgeving bevatten monitoringeisen en andere eisen waaraan organisaties kunnen voldoen met hun SIEM-oplossingen. Een voorbeeld is het bewaren van loginformatie voor een bepaalde periode. Business-monitoringeisen zijn gerelateerd aan gevoelige, verdachte of niettoegestane transacties, bijvoorbeeld transacties van medewerkers buiten kantooruren, transacties in een ‘niet-logische’ geografische regio of transacties met uitzonderlijk hoge bedragen. De informatiebeveiligingsstandaarden en -risico’s zijn een uitstekende bron voor het definiëren van de monitoringeisen. Standaarden zoals ISO 27002 beschrijven ‘good practices’ voor monitoringeisen. Het is belangrijk om use cases te bepalen aan de hand van een eigen inventarisatie van de informatiebeveiligingsrisico’s. Verder is ook de inzet van externe bronnen, zoals Threat Reports, SANS 20 Critical Security Controls of OWASP’s Top 10 een aanbeveling. Bovendien zijn monitoringcapaciteiten te gebruiken als een mitigerende controlemaatregel voor bekende beveiligingszwakheden of voor bevindingen uit eerdere audits en penetratietesten.
Operationele en procesgerelateerde doelen
Onder operationele doelen vallen thema’s zoals interne functie versus managed service, de geografische locatie van het SIEM Operational Center, het aantal medewerkers en de operationele tijden. SIEM kan een interne functie of een managed service zijn. De kosten zijn daarbij een belangrijk keuzeargument. Andere aandachtspunten zijn de invulling van de technologische, operationele en procesgerelateerde doelen in beide gevallen. Bij de keuze voor de geografische locatie van het SIEM Operational Center spelen de locaties waar de organisatie al opereert of de locaties van een datacenter een rol. Verder kijken organisaties ook naar de beschikbaarheid en kosten van SIEM-analisten op de locaties.
Het aantal medewerkers in een SIEM Operational Center en de werktijden zijn natuurlijk afhankelijk van het beschikbare budget. Ook het aantal verwachte aantal events dat per dag geanalyseerd en onderzocht zal worden is van belang. De businesscase moet een indicatie van deze verwachting bevatten. Op basis daarvan kan de organisatie berekenen hoeveel analisten nodig zijn. De operationele tijden verschillen per SIEM Operational Center, bijvoorbeeld 24×7 of 8×5. Dit is te bepalen op basis van het aantal SIEM-analisten en de effectiviteit buiten reguliere kantooruren. Als business- en IT-afdelingen ’s nachts of in het
weekend niet beschikbaar zijn, beïnvloedt dat de effectiviteit van de analisten. Als een organisatie in verschillende tijdzones opereert, kan het nuttig zijn als het SIEM Operational Center tijdens de kantooruren van alle tijdzones actief is.
Technologie
De implementatie van SIEM-technologie vraagt specifieke aandacht voor:
• schaal en schaalbaarheid;
• beschikbaar maken (enablement) van databronnen;
• event filtering;
• integratie met informatiesystemen en securityoplossingen.
Schaal en schaalbaarheid
Inzicht in het aantal events per seconde (EPS) dat de gemonitorde databronnen produceren, is bepalend voor de keuze van de infrastructuur. Metingen in de databronnen geven daarvan een indicatie. Dit bepaalt hoeveel en welke soort collectors nodig zijn, de databaseopslagruimte, het aantal Enterprise SIEM Manager (ESM)-servers, de CPU-rekenkracht et cetera. Verder is het zaak om rekening te houden met mogelijke uitbreidingen van de monitoring. Dit kan gaan om een toename van het aantal gemonitorde databronnen of het toevoegen van monitoring use cases. Een schaalbare, modulaire oplossing kan deze veranderingen eenvoudig opvangen.
Beschikbaar maken (enablement) van databronnen
Events worden vanuit de databronnen opgehaald of verstuurd naar de SIEM-oplossing. Dit vereist goede toegang van de SIEM-infrastructuur tot de databronnen, inclusief rechten om de events te lezen. Meestal vraagt dit om (host-based of device) firewallregels voor toegang en het opzetten van file shares die de SIEM-service-accounts leesrechten geven. Het proces om toegang en rechten te verlenen kan lang duren en het project vertragen. Om dit te voorkomen is het verstandig samen met de IT-afdeling een planning te maken voor het beschikbaar maken van de databronnen. Als de IT-omgevingen zijn uitbesteed, vereisen wijzigingstrajecten en -processen een zeer gestructureerde aanpak. Tot slot moeten de databronnen de benodigde events voor de monitoring use cases kunnen loggen. Goede controle van loggingbeleid en -configuratie is dan cruciaal.
Event filtering
Het aantal events dat de SIEM-infrastructuur ontvangt, is afhankelijk van de omgeving en scope, maar kan oplopen tot tientallen miljoenen per dag. Dat heeft grote invloed op de IT- en SIEM-infrastructuur. Het is essentieel om kritisch te zijn bij het bepalen welke databronnen te monitoren, welke events opgehaald worden en waar in de keten filtering plaatsvindt. Het doel is om het aantal gemonitorde databronnen en opgehaalde events te beperken en de events zo vroeg mogelijk in de SIEM-infrastructuurketen te filteren. Dus zo dicht mogelijk bij de databron. Vragen als: Welke events willen wij filteren? Waar in de keten gaan we filteren? blijven lastig te beantwoorden. Zeker omdat events die nu niet nuttig lijken, dat in de toekomst wel kunnen zijn. Het is dus verstandig om event filtering ruime aandacht te geven.
Integratie met informatiesystemen en securityoplossingen
Om alle informatie voor de monitoring use cases beschikbaar te hebben is het zaak om SIEM te integreren met andere informatiesystemen en securityoplossingen. Zo heeft SIEM informatie van de IT-CMDB nodig voor een overzicht van alle IT-componenten en -configuraties. Daarnaast kan integratie met de Active Directory nodig zijn voor een overzicht van alle gebruikers. Bovendien is SIEM niet de beste oplossing voor de identificatie van alle securitybedreigingen, zoals de identificatie van zwakheden in servers en software. Daarvoor zijn er Vulnerability Scanning-tools. Integratie met deze tools kan de informatie binnen SIEM verrijken. Bovendien helpt dit om duplicatie van informatie en onderhoudsactiviteiten te voorkomen.
Organisatie en processen
Bij een goede SIEM-implementatie ontstaat er binnen de organisatie een entiteit met de juiste kennis en ervaring om de technologie daadwer
kelijk en competent uit te voeren, namelijk het SIEM Operational Center. Competente, effectieve SIEM-analisten weten waar eventinformatie te vinden is, kunnen deze interpreteren en kunnen inschatten welke events beschikbaar zijn voor verder onderzoek van een incident. Die rol vereist brede ervaring met security en SIEM. Mogelijke kandidaten zoals OS-administrators, netwerkbeheerders of DBA’s hebben die ervaring. Bovendien vereist een adequate afhandeling van een security event van de analist een onderzoekende grondhouding. Om te begrijpen wat er aan de hand is, moet de analist zelf kunnen bedenken welke informatie nodig is voor het onderzoek en verbanden kunnen leggen. Dat vraagt om een kritische houding tegenover de aangeboden informatie. De SIEM-analisten werken na de implementatie volgens een duidelijk raamwerk van processen. Deze zorgen voor een volledige en correcte afhandeling van events en incidenten. Het raamwerk omvat afspraken aan wie welke events gerapporteerd worden en wie incidenten onderzoekt, inclusief tijdspaden. Een belangrijk gerelateerd proces is de incidentafhandeling. Dit proces wordt gebruikt om incidenten te identificeren, op te lossen, ervan te herstellen en ervan te leren. Het is cruciaal dat het SIEM-raamwerk en de processen aansluiten bij het incidentafhandelingsproces. Als dit niet goed werkt of als er onvoldoende koppeling mee is, wordt veel van de waarde van SIEM niet gerealiseerd. Eerder in dit artikel was sprake van de monitoring use cases. Naast het monitoren van deze vooraf gedefinieerde cases ligt meerwaarde van SIEM in het ad hoc monitoren van events. Zo kunnen er incidenten worden gevonden waar aanvankelijk niet (bewust) naar gezocht is. Ten slotte zijn er processen nodig voor de rapportage van KPI’s en trends aan het management. Deze geven inzicht in de ontwikkelingen binnen de SIEM-omgeving en ondersteunen besluitvorming. Als het aantal events per dag stijgt, kan dat bijvoorbeeld betekenen dat er extra analisten nodig zijn. Of als de tijd voor het oplossen van incidenten langer duurt dan in de KPI’s vastgelegd is, is er escalatie nodig zodat de relevante afdelingen sneller actie ondernemen.
Wat levert SIEM op?
Het traditionele compliance- en controleraamwerk is onvoldoende nu de beveiligingseisen steeds zwaarder worden. Een SIEM-omgeving biedt wel een oplossing voor optimale informatiebeveiliging. SIEM-oplossingen beschermen organisaties tegen de risico’s van de steeds professionelere hackers. Deze risico’s kunnen veel schade veroorzaken en die druk zal voorlopig niet afnemen. Effectieve inzet van SIEM stelt echter hoge eisen aan organisaties. Dat proces start met een heldere en volledige definitie van de SIEM-businesscase. Een succesvolle implementatie hangt verder af van een goede mix van technologie, organisatie en processen. Alleen door al deze stappen te zetten houden organisaties grip op de alsmaar veranderende beveiligingsrisico’s.
 

CASE: SIEM ter bestrijding va cybercrime bij een multinational

Accenture heeft wereldwijd meerdere van zijn klanten geholpen met het opzetten van SIEM competenties. Een voorbeeld uit de praktijk: een multinational worstelde gedurende een paar jaar met audit bevindingen die regelmatig lieten zien dat het niveau van informatiebeveiliging en compliance onvoldoende was. Behalve dat het proces om informatie te verzamelen inefficiënt was en veel inspanning vroeg, was door gebrek aan voldoende informatie de gehele aanpak van informatiebeveiliging onvoldoende proactief en ondernemend. Met het implementeren van een SIEM wilde de organisatie deze tekortkomingen verbeteren. De capaciteit om snel en effectief te kunnen reageren op cybercrime en hackers was echter het voornaamste doel.

Op basis van bovenstaande doelstelling en argumentatie is de business case voor het project opgesteld en vormden alle aspecten van een SIEM implementatie die in dit artikel zijn beschreven onderdeel van het project. Een SIEM oplossing is geselecteerd en geïmplementeerd en een organisatie met analisten is opgericht om de oplossing in te voeren. Ook de te volgen werkprocessen en procedures voor de analisten zijn gedefinieerd, alsmede rapportages en KPI’s voor de operatie van de SIEM.

Zoals bij elk groot project was het nodig om een antwoord te vinden voor verschillende uitdagingen. Op technisch vlak moest er voortdurend kritisch worden gekeken naar het soort en het aantal van de gemonitorde events zodat de benodigde informatie beschikbaar was en het aantal events niet boven de capaciteit van de oplossing uitkwam. Aan de organisatorische kant was het niet gemakkelijk om goede SIEM analisten te vinden, dus werd er hard gezocht naar de juiste kandidaten. Qua processen was het nodig om de samenwerking van belanghebbenden buiten de SIEM competentie te winnen. Daarvoor werd uitvoerend overleg gehouden en zijn workshops georganiseerd.

De resultaten van het project waren goed. Het is gelukt om meer use cases en databronnen te implementeren dan initieel gepland. Bovendien heeft de SIEM veel inzicht over de status van informatiebeveiliging en compliance geleverd en kreeg de organisatie veel informatie over mogelijke cyberaanvallen. In totaliteit duurde het project ruim een jaar. Vanwege het succes is besloten om de SIEM competentie verder uit te breiden om additionele aandacht- en zorgpunten te addresseren.

 
Shay Uzery
is information security manager bij Accenture. E-mail: shay. uzery@accenture.com.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag