SIEM is dashboard voor real-time managen van security en compliancy

Om op een succesvolle manier IT-omgevingen te beveiligen, moeten Informatiebeveiliging en cybersecurity geïntegreerd worden in één platform, stellen Rhett Oudkerk Pool en Erik de Bueger van Kahuna. Door real-time informatie te verzamelen uit logfiles van netwerkcomponenten, tools, security-componenten, servers, laptops, desktops, applicaties en databases en deze vervolgens te correleren en te analyseren, geeft SIEM een overzichtelijk beeld van de actuele status van de security van een organisatie en maakt het bestuur- en controleerbaar.

Het verschil tussen informatiebeveiliging en cybersecurity zit 'm in twee aspecten. Informatiebeveiliging gaat voor 80 procent om interne incidenten (bewust of soms gewone fouten en sloridigheden), bij cybersecurity is er altijd sprake van een externe aanval met een kwaadaardige intentie. “Informatiebeveiliging gaat over gedrag, over cultuur en de inrichting van bedrijfsprocessen. De betrokkene kan door een fout per ongeluk slachtoffer zijn. Bij cybersecurity kan de getroffene zelf het doelwit zijn, maar in toenemende mate worden de slachtoffers gebruikt als een middel, een stepping stone”, zegt Rhett Oudkerk Pool, oprichter en directeur van Kahuna. “Dat is een heel indirecte methode, bijvoorbeeld de zogenaamde drinkplaats-aanpak. Cybercriminelen hacken Nu.nl om de bezoekers van de nieuwssite te pakken te nemen, RSA wordt gehackt om iedereen die een RSA-token gebruikt te kunnen hacken en ze infiltreren duizenden werkplekken met als doel een botnet naar onze banken op te bouwen.”
Volgens Oudkerk Pool vereisen informatiebeveiliging en cybersecurity één geïntegreerde aanpak. “Veel organisaties vragen zich af of ze voldoende maatregelen genomen hebben en of hun maateregelen wel werken. Draait er wel iedere nacht een backup en wordt het back gebruikers account niet misbruikt? Wij hebben daar een geïntegreerde oplossing voor in de vorm van ons SIEM-platform.”

Geïntegreerde monitoring
Vijftien jaar geleden wist eigenlijk elke beveiliger wel wat hem te doen stond en was de business case snel gemaakt. “Maakt de organisatie gebruik van internet, dan moet er een firewall op de voordeur.
Van de daarop volgende Intrusion Prevention Systemen was de business case al een stuk lastiger rond te krijgen, want het is een preventieve oplossing. Als men zich op het standpunt stelt dat de kans om gehackt te worden heel klein is, wordt vaak afgezien van maatregelen, ook al zou de impact van een hack groot zijn. Daar is een kentering in gekomen: de meeste organisaties willen minstens weten wat er in en om de infrastructuur gebeurt.”
Het kan zelfs een verplichting zijn: DNB vraagt financiële instellingen aan te tonen dat ze afdoende antivirus-maatregelen hebben genomen. Een lastige kwestie volgens Oudkerk Pool. “Antivirus-tools hebben de eigenschap trots te melden hoeveel virussen ze buiten de deur hebben gehouden – maar zullen nooit aangeven hoeveel virussen er tussendoor geslipt zijn. Er moeten dus andere maatregelen worden genomen om compliant te zijn. Monitor het hele netwerk, detecteer het bijvoorbeeld als vanaf een bepaalde werkplek plotseling veel uitgaande verbindingen worden geopend. Dat is bovendien allemaal visueel te maken. Het zichtbaar maken wat van wat zich in de infrastructuur afspeelt is de basis van een plan-do-check-act cirkel.”
Het is uiterst belangrijk om die eerste stap naar volledig inzicht in de gebeurtenissen in de infrastructuur te zetten, omdat alleen dan afwijkingen kunnen worden waargenomen.Dat vraagt ook om een tevoren afgesproken werkwijze. “Op een gegeven moment komt zo'n virus in actie en probeert ergens toegang toe te krijgen, bijvoorbeeld door een nieuw account aan te maken of een bestaand te misbruiken. Dan probeert het virus zich te nestelen in zijn doelsysteem. Dat gedrag kun je alleen maar waarnemen, als de infrastructuur redelijk schoon is,” voegt Erik de Bueger, directeur Operations van Kahuna daar aan toe.
“Als er afgesproken is dat er service accounts in het netwerk worden gebruikt is het van belang die op vooraf vastgestelde tijden automatisch te laten draaien, met bijvoorbeeld als regel dat een service account niet inactief mag worden gebruikt – het is immers ongewenst dat een backup-account gebruikt wordt om toegang tot een systeem of database te krijgen. Dit soort zaken kunnen allemaal worden ingeregeld in ons SIEM-platform.” De eerste belangrijke stap die gezet wordt is dus het opschonen van de infrastructuur, pas dan wordt het SIEM-platform geïmplementeerd.
De tweede stap is de nacontrole op activiteiten. “Bij remote access wordt in eerste instantie van alles gecheckt, maar als de verbinding eenmaal tot stand gebracht is vindt meestal geen controle meer plaats,” constateert Oudkerk Pool. “De beheerder van de telefooncentrale kan na authenticatie gewoon inloggen. Maar het is juist van belang te weten wat er daarna gebeurt: misschien gebruikt de zogenaamde beheerder de centrale wel als springplank naar de rest van de infrastructuur. Dat geldt ook voor servers die met andere servers communiceren: hoort de informatie die ze uitwisselen wel tot hun taak? Is het wel de bedoeling dat die twee servers of systemen informatie uitwisselen?”

De Bueger stelt dat elk security-incident een aantal stappen doorloopt, waarvan een beschrijving gemaakt kan worden. “Vrijwel altijd zie je dan dat de eerste stap weliswaar sterk afwijkend, dus abnormaal was, maar dat niets of niemand dat binnen de context heeft waargenomen. Datzelfde geldt voor stap 2 en volgende: elke stap in het besmettingsproces had feitelijk voorkomen kunnen worden. Met SIEM kunnen dit soort stappen worden ingeprogrammeerd en automatische worden gedetecteerd. Maar ik benadruk nogmaals: eerst moet de infrastructuur schoon zijn, wat je natuurlijk met de SIEM tool tot stand brengt.”
Ook nadat geautoriseerde medewerkers hebben ingelogd op een applicatie is het belangrijk te weten wat er daarna gebeurt. “Je wilt niet dat medewerkers inloggen op het systeem, een SSH-shell openen en vervolgens gaan rondstruinen in de database. Dat is echter vaak lastig in te regelen, maar SIEM voorziet daarin en biedt rapportages waarop te zien is wie wanneer toegang tot de database heeft gehad zonder gebruik te maken van de applicatie.”

Ook uit de cloud
Oudkerk Pool vindt investeringen in awareness-trainingen vrij zinloos. Volgens hem is het veel effectiever om gedrag te monitoren en de mensen aan te spreken op overtredingen. “Je laat dan weten dat deze manier van werken niet geaccepteerd wordt. Het bedrijf heeft een clean desk policy en daar valt ook de computer onder: we eisen dat iedereen die zijn werkplek verlaat zijn screensaver opstart en zijn werkstation lockt. Monitor of dat gebeurt. Er zijn ook medewerkers die maandenlang hetzelfde password gebruiken – tegen de afspraken in. Maak het zichtbaar, hang die statistieken op. Spreek de mensen erop aan. Het is veel nuttiger mensen gericht te sturen.”
Hij beschouwt SIEM als het security dashboard van de infrastructuur, die verschillende databronnen bij elkaar brengt. “Ik kan pas zien dat er iemand inlogt en vervolgens doorlogt, als we de systemen koppelen. In onze strategie hebben wij allerlei oplossingen die ons verschillende inzichten geven: Palo Alto Networks firewalls geven ons inzicht in de infrastructuur, TrendMicro Deep Security geeft inzicht in de virtuele laag, TripWire vertelt of een bestand is aangepast, Qualys vertelt ons de vulnerabilities. Het is een combinatie van verschillende tools en systemen.”
Is de situatie van vandaag wel veilig? Zijn de wachtwoorden die gebruikt worden lang genoeg? SIEM met state monitoring biedt de technologie die dat soort zaken checkt, op basis van best practices.

“Het SIEM-platform is onze expertise, ons unieke aanbod. Dat kan op locatie bij de klant maar we leveren het ook vanuit de cloud,” aldus Oudkerk Pool. “Kahuna is gecertificeerd Managed Security Service Provider met een licentie voor HP ArcSight. Dat maakt SIEM ook zeker bereikbaar voor kleinere bedrijven.”

Oudkerk Pool gelooft in het uitwisselen van kennis; hij maakt deel uit van de werkgroep Cyber Security van Nederland ICT. “We hebben verscheidene suggesties gedaan wat de politiek of wat het Nationaal Cyber Security Centrum zouden kunnen doen. Bijvoorbeeld het bouwen van een Clearing House voor kennis. Ik vind het bijzonder interessant om te weten welk IP-adres gebruikt is bij het DigiNotar-incident, om te weten hoe de DDoS-aanval op Ideal technisch in elkaar zit. Ik zie dat wij daar wel een rol in kunnen hebben. Dat is een aardige uitdaging; het zou hier en daar immers kunnen botsen met privacywetgeving. Aan de andere kant moeten we gezamenlijk een bepaalde kant opgaan met cybersecurity. Je ziet ook al wat proefballonnetjes in de politiek. Het belangrijkste is het delen van informatie. Daarmee kunnen we de strijd straks winnen.”
Het terughacken van hackers vindt Oudkerk Pool een begrijpelijke gedachte, maar erg risicovol, omdat er nooit volledige zekerheid is omtrent de bron van de aanval. “Degenedie de hacker lijkt te zijn kan immers zelf slachtoffer zijn en als stepping stone worden gebruikt. En het is moeilijk met regels te omkleden. Het is en blijft risicovol; voor je het weet breng je een kettingreactie op gang.”

Registreren
De eerste generatie SIEM-implementaties monitorde de output van de firewall en het Intrusion Prevention Systeem op basis van IP-adressen. De tweede generatie SIEM kijkt ook naar menselijk gedrag binnen applicaties. De derde generatie biedt response scenario’s die in werking worden gezet als zich een incident voordoet. “Dat kan zijn de response die klaarstaat en door een mens in werking moet worden gezet. Maar het is ook mogelijk de scenario’s automatisch uit te laten voeren. We hebben klanten die dat willen op het moment dat een patroon van identiteitsfraude wordt gedetecteerd. Er is zo'n lange voorgeschiedenis, dat we toch wel met zekerheid kunnen stellen dat hier iets gebeurt wat niet door de beugel kan. Ook is de impact van de maatregelen nog te overzien: is het na vijf uur? Blokkeren. De volgende ochtend kan iemand uitzoeken hoe de vork in de steel zit.”

Erik de Bueger noemt het 'lage ambitie SIEM'. “Gewoon registreren wat er allemaal gebeurt, dat is belangrijk, vooral als een organisatie niet beschikt over mensen die dat 24/7 kunnen doen. Als zich een incident voordoet ben je in staat de ‘tape terug te spoelen’ en te beschrijven en bepalen wat zich precies heeft voorgedaan: hoe lang heeft het geduurd, welke records zijn aangetast, hoe groot is de impact op klanten. Gewapend met die kennis kan een negatief scenario ten goede worden gekeerd.”
Rhett Oudkerk Pool ziet ook veel laaghangend fruit: “Bij vrijwel alle security-incidenten is sprake van misbruik van privileged accounts. Zorg dus dat je het beheer van die accounts en de bijbehorende rechten zeer goed op orde hebt. Kahuna biedt daarvoor een digitale kluis, weinig sexy maar een absolute must. Dit soort tools kan de infrastructuur al een stuk robuuster maken. Bovendien heeft Kahuna vaak twee oplossingen voor hetzelfde probleem: een detectie- en responseoplossing, en een preventieve oplossing. Eén van onze klanten heeft beide oplossingen geïntegreerd en maakt daarmee de cirkel rond. Er is een preventieve maatregel neergezet op het gebied van wachtwoordenmanagement, en daarnaast is er de detectie om te controleren of de hele keten correct functioneert. Dat hoeft allemaal niet zo vreselijk veel te kosten, omdat we dat natuurlijk uit de cloud kunnen aanbieden. Prettig in een tijd waarin niet veel CapEx voorhanden is. ”

Besparingen
Is het eigenlijk wel mogelijk om de Return on Investment (ROI) van het SIEM-platform te berekenen?
“Natuurlijk wel,” meent Oudkerk Pool. “De meeste van onze klanten hebben te maken met compliancy. Het automatiseren daarvan heeft gewoon een ROI en levert een simpele business case op in termen van besparing op handmatig werk. SIEM levert ook besparingen op voor licentiekosten: SIEM registreert alles wat gebruikt wordt, hoe vaak bijvoorbeeld de log-tool is gebruikt, en wat het maximale aantal concurrend users was over een bepaalde periode. Maar ook welke afdelingen nu wel en geen gebruik maken van bepaalde tools. Voor heel veel software kan zowel een named licentie als een concurrend user licentiemodel worden afgesloten. Bij 1000 gebruikers wordt meestal geraamd hoe groot het aantal concurrend users zal zijn, meestal de helft. Uit SIEM blijkt dan dat het werkelijke aantal maar 100 is. Dat kan veel kosten besparen, dus.”

Hans Lamboo is freelance journalist