SIEM, Security Incident en Event Management, is tegenwoordig een veel besproken onderwerp. Enerzijds verwijst het naar ‘Auditing en Logging’, een onderwerp wat steeds nadrukkelijker naar voren komt in diverse richtlijnen opgelegd door de overheid. Denk hierbij aan de GDPR (General Data Protection Regulation), branche specifieke richtlijnen zoals de BIG (gemeenten) en NEN 7510 (gezondheidszorg) of generieke richtlijnen zoals de ISO27001 en ISAE3402. Anderzijds zien we een sterke toename in het aantal Cybersecurity incidenten en willen organisaties meer inzicht in hun IT landschap en met name op het gebied van kwetsbaarheden. Voor vele ondernemingen een reden om aan een SIEM als instrument te denken. En misschien zelfs wel aan een actieve security operations (SOC).

Vraag vrijblijvend de security poster aan op deze pagina!

Security inzicht

Axians heeft hier 1,5 jaar geleden al eens een stuk over geschreven. Recent heeft het NCSC, het National Cyber Security Centrum, een soortgelijk document beschikbaar gesteld over de wijze waarop je gecontroleerd om kunt gaan met dit complexe onderwerp: het verkrijgen van inzicht en het verwerken van security informatie op het gebied van infrastructuur en applicaties.

Het advies is kleine stapjes te nemen, informatie over de as van 4 invalshoeken te verzamelen en vervolgens te verwerken tot een waardevol inzicht. We hebben aan onze SOC analisten gevraagd uitleg te geven over deze vier gebieden: Assets, Vulnerabilities, Intrusion Detection en Logging/Auditting.

Assets

In de kern begint het verkrijgen van inzicht bij weten welke objecten er allemaal verbonden zijn met de infrastructuur en uiteraard het in kaart brengen van de gerelateerde context informatie. Is het een switch, router, server, firewall etc. Kunnen we ook iets te weten komen over het Operating Systeem en verschillende applicaties die op de systemen draaien? Uiteraard kun je statisch ingeven welke assets je denkt te hebben. Maar als het systeem ook nog eens kan detecteren dat er onbekende of missende systemen zijn, dan is dat wel zo handig. De detectie die je kan zien is gebaseerd op NMAP, host discovery, service discover, OS en service fingerprinting.

Als dit inzicht er is, kun je eventueel per object een risicofactor toekennen, zodat als er op een later tijdstip een detectie plaatsvindt op zo’n system, dit in de weging meegenomen kan worden. Lopen er vitale bedrijfsprocessen over het systeem? Staat er misschien belangrijke informatie op?

Vulnerabilities

Als we weten welke systemen er zijn, kunnen we ook bepalen of er kwetsbaarheden te vinden zijn op deze systemen. Zijn ze gepatched? Worden en applicaties gebruikt die wellicht kwetsbaar zijn? Bij een geautomatiseerde PENtest komen kwetsbaarheden maar ook gebruikte (openstaande) poorten en instellingen (registry) boven water. Hier kan op gecontroleerd worden en dit kan als bron van informatie dienen om deze zwakheden weg te nemen. De informatie over actuele kwetsbaarheden wordt gebruikt bij het detecteren van aanvallen. Heeft een aanval kans op succes? Wordt een actieve exploit gebruikt? Dit alles wordt meegenomen in de beoordeling van Security Alarmen.

Intrusion Detection

Als derde onderwerp koppelen we een IDS (Intrusion Detection Systeem) aan een span poort op het netwerk om een kopie van een datastroom te kunnen onderzoeken. De IDS checkt het verkeer op bekende verdachte patronen, exploits, malware, unencrypted traffic, vulnerable protocollen en vulnerable software. De database wordt steeds up-to-date gehouden door een actieve koppeling met diverse threat bronnen op het internet. Zo kan er snel op nieuwe vormen van bedreigingen gereageerd worden.

De combinatie tussen een patroon en bedreiging zien en die kunnen koppelen aan een object (asset) dat er ook nog eens kwetsbaar voor is levert veel waarde op voor de Analyst die moet bepalen of iets een echt alarm is, of loos alarm (False Positive).

Logging & audit

Uiteindelijk willen we alle relevante security gebeurtenissen in de IT omgeving gaan vastleggen en archiveren binnen de gestelde bewaartermijnen. Enerzijds voor compliancy doeleinden, anderzijds om te kunnen worden gecorreleerd met incidenten die in een bepaald tijdsframe gebeuren zoals in dagen of weken. Daarnaast uiteraard voor het verstrekken van voldoende detail informatie voor forensische doeleinden. De log informatie wordt op een veilige manier, voorzien van een ‘timestamp’, gearchiveerd zodat men later kan aantonen dat met deze informatie niet geknoeid is.

In de basis hebben we over deze vier invalshoeken een systeem waaruit een Security Baseline gegenereerd kan worden. Weten welke assets er zijn, en wat de gedragingen van de gebruikers en applicaties zijn, geeft inzicht in wat ‘normaal’ zou moeten zijn. Afwijkingen in gedrag zijn dan ook triggers om verder onderzoek te verrichten op vermoedelijke security incidenten.

Deze baseline zal dus continu onderhouden moeten worden, waarbij je ondersteund door een actief operationeel security process streeft naar het verkleinen van je exposure voor cybersecurity incidenten: Plan-Do-Check-Act. Daarbij wordt het aantoonbaar dat je als organisatie goed omgaat met de dagelijkse security informatie om de controls verder te tunen, optimaliseren en je risico’s onder een acceptabel niveau te krijgen.

Van deze informatie hebben we een mooi praatposter ontwikkeld die je aan de muur kan hangen op je IT afdeling. Wil je de poster ontvangen? Vul dan het formulier in en we sturen hem zo snel mogelijk naar je op.