In deze blogpost bespreken we een uitdaging waar veel organisaties vandaag de dag mee te maken hebben: het verzamelen en opslaan van logbestanden. We leggen uit waarom het noodzakelijk is en hoe jouw organisatie de uitdaging aan kan gaan met behulp van log management en SIEM. Je leert wat de systemen kunnen doen en hoe ze jouw organisatie kunnen helpen om een beter overzicht over je IT systemen te behouden.
Je organisatie kan een beveiligingsinbreuk hebben gehad, zelfs zonder dat je het wist
Het kan moeilijk zijn voor bedrijven om te beoordelen of ze zijn blootgesteld aan een gegevenslek of beveiligingsincident omdat ze niet goed weten waar ze moeten kijken. Firewalls, antivirus en back-up procedures zijn goede maatregelen, maar ervaring leert ons dat dit niet genoeg is.
Als er een beveiligingsinbreuk in je organisatie plaatsvindt, heb je nauwelijks mogelijkheden om deze te detecteren en erop te reageren. De incidenten kunnen ofwel te wijten zijn aan externe partijen die binnendringen in de systemen van het bedrijf, ofwel aan ongepast gedrag binnen het bedrijf zelf.
Je servers loggen niet alles
De reden voor deze onzekerheid is dat de meeste organisaties geen controle hebben over hoe ze hun logbestanden verzamelen en opslaan. Een veelvoorkomend misverstand dat we bij veel organisaties horen is dat ze geloven dat hun servers alles registreren, zodat ze zo nodig gewoon terug kunnen gaan en de logs kunnen bekijken. Dit is echter niet het geval. Sommige organisaties denken misschien zelfs dat ze geen behoefte hebben aan deze inzichten omdat ze nog nooit problemen hebben gehad.
Minimaliseer het risico op een inbreuk
Er zijn voortdurend nieuwe manieren waarop iemand of iets toegang kan krijgen tot je gegevens buiten al je beveiligingsperimeters. Daarom moeten de kwetsbaarheden/methoden die worden gebruikt om gegevens te aantasten voortdurend worden onderzocht, zodat je precies weet waar je op moet letten.
De analyse van log bestanden met een focus op beveiliging zal elke organisatie veel opleveren op het gebied van beveiliging, bewustzijn en begrip van het netwerk. Maar het vraagt veel tijd en onderhoud. Voor implementatie is veel input van specialisten nodig, zowel technisch als niet-technisch. Daarom is het waardevol om hulp te krijgen van experts.
Log management toepassen om alle communicatie in kaart te brengen
Vanuit IT perspectief is een log een bestand dat automatisch wordt aangemaakt als een tijdsgebonden documentatie van gebeurtenissen (events) die plaatsvinden in een systeem, applicatie of andere assets (bijv. een server). Bijna elk IT systeem produceert logbestanden.
Logbestanden zijn waardevol voor organisaties omdat het een gedocumenteerd spoor van acties, communicatie en gedrag in een systeem, applicatie of asset creëert.
“Als er een cyberaanval plaatsvindt, kunnen logs worden gebruikt bij het onderzoeken en analyseren van de herkomst van de aanval en het effect ervan op de IT infrastructuur”.
Log management gaat over het verzamelen van relevante logs van de belangrijkste systemen en assets in de organisatie. Daarna slaat het die logs op een enkele locatie op. Vanaf deze locatie kunnen de gegevens door de IT afdeling onderzocht worden. Door het verzamelen en het lezen van de logs weten ze hoe het systeem normaal gesproken hoort te werken, wat betekent dat ze kunnen reageren als ze ongewone activiteit opmerken.
Zorg voor een log management beleid
De sleutel tot het kunnen analyseren van log bestanden met een focus op beveiliging is om alles te begrijpen wat zich buiten een SIEM-product bevindt. Dit omvat vragen als:
-
Welke audits moeten er gebeuren?
-
Hoe bouwen we een PowerShell-logboekfunctie?
-
Welke evenementen kunnen worden geregeld?
-
Welk beleid en welke normen heeft het bedrijf?
-
Wie moet reageren op de alarmen?
-
Wie moet de evaluatie van het personeel afhandelen?
-
Hoe moet het team geïnformeerd worden?
-
Wie is verantwoordelijk voor het vinden van de beste oplossingen?
-
En heel veel meer...
Het analyseren van de logbestanden is echter vaak een handmatige taak, wat veel tijd in beslag neemt of simpelweg over het hoofd wordt gezien. Bovendien gebeurt de analyse normaal gesproken pas achteraf, wat betekent dat de dreiging pas daarna kan worden opgelost. Een SIEM systeem kan de oplossing zijn voor dit probleem.
Je hebt log management nodig voordat je SIEM implementeert
Het is belangrijk om te benadrukken dat de behoefte aan log management of SIEM verschilt van organisatie tot organisatie. Als je organisatie alleen een systeem wil dat al je logboeken op één plek kan verzamelen, dan raden we het logboekbeheersysteem aan. Als je logboeken moet gebruiken om informatiebeveiliging te beheren, raden we ook SIEM aan. Een ding om in gedachten te houden is dat logbeheer moet worden geïmplementeerd voordat je een SIEM-systeem kunt implementeren.
Log management voor verzamelen - SIEM voor beveiliging
Er zijn twee belangrijke verschillen tussen de twee systemen. Log management wordt meestal gebruikt voor het verzamelen van gegevens terwijl SIEM vooral voor beveiliging dient. Een log-managementsysteem kan gebruikt worden als beveiliging, maar het is erg ingewikkeld en tijdrovend. Het voordeel van SIEM is dat het analyses in real-time doet, wat log-management niet doet. Dat betekent echter niet dat een SIEM systeem geen nadelen heeft. De IT systemen van een organisatie veranderen en worden vaak voortdurend bijgewerkt, wat voor veel valse alarmen kan zorgen in je SIEM systeem. Dit brengt een grote werklast met zich mee voor de mensen die aan het systeem werken, omdat het moeilijk kan zijn om te zien wat de werkelijke dreiging is als er een alarm afgaat.
Daarom moet de IT afdeling in staat zijn om via log management een normaal event van een ongewoon event te onderscheiden. Alleen als je weet hoe de reguliere activiteit eruitziet, kan je zien wanneer er sprake is van abnormale activiteit. Je zou kunnen zeggen dat log-management de taart is en SIEM is het glazuur.
SIEM is jouw geautomatiseerd alarmsysteem
Wanneer de gegevens in het log managementsysteem zijn verzameld, is het belangrijk om te weten hoe we inzichten en waarde uit de gegevens kunnen halen. Security Information and Event Management (SIEM) is een verdere evolutie van log management.
SIEM combineert de technologie in security event management en security information management. SIEM identificeert, categoriseert en analyseert de incidenten en events uit logbestanden.
De voordelen van SIEM
Een SIEM systeem voorziet de IT afdeling van rapporten over security events, zoals succesvolle en mislukte aanmeldingen. Het kan ook waarschuwingen versturen als uit de analyse blijkt dat er een event in het systeem aan de gang is dat tegen de vooraf vastgestelde regels ingaat, wat wijst op een potentieel veiligheidsprobleem.
Alle gegevens die op het netwerk worden gevonden en die zich buiten het kader bevinden, moeten worden geëlimineerd. Dit omvat alles, van systeemaccounts die worden gebombardeerd met AD (active directory), gebruikers die de Hola VPN hebben, apparaten die niet op het netwerk zouden moeten zijn, fouten en vertragingen die het Kerberos-verzoek niet succesvol maken.
Een van de nadelen van SIEM is dat het een zeer complex proces is. Vanwege de benodigde tijd en geld is SIEM voor veel organisaties ontoegankelijk. Daarnaast vereist SIEM dat organisaties in staat zijn om het SIEM systeem na de implementatie zelf te onderhouden en bedienen, waar meer middelen en een specifieke set vaardigheden voor nodig zijn.
Log management/SIEM toepassen om te voldoen aan de AVG
Als jouw organisatie beveiligingsincidenten wil voorkomen, opsporen en erop wil reageren, dan zijn log management en SIEM absolute aanraders.
Een goede reden om deze te implementeren is om je te helpen aan de AVG te voldoen. Omdat de twee systemen je informatie geven over hoe je IT systemen worden gebruikt, krijg je inzicht in wie toegang heeft tot welke persoonsgegevens in jouw organisatie. Dit monitoringsproces kan je helpen om de AVG naleving te bereiken.