In de afgelopen jaren nam het aantal cyber attacks sterk toe. Dagelijks vinden we tientallen nieuwe kwetsbaarheden die criminele organisaties gebruiken om schade toe te brengen aan organisaties. Dit doen ze door organisaties af te persen, binnen te dringen of data te lekken.
Terwijl de dreiging steeds sterker wordt en schade per incident steeds groter, neemt de complexiteit van het IT-landschap ook toe. Net als het aantal beveiligingsmeldingen. Het managen van de risico’s van informatiebeveiliging wordt steeds belangrijker én onoverzichtelijker. Door deze ontwikkelingen staan IT-managers en Cybersecurity Officers voor twee belangrijke uitdagingen:
Hoe ga je met deze uitdagingen om? Ontdek hoe SIEM en SOC functioneren en hoe je risico’s van informatiebeveiliging ermee beperkt.
Inhoud
Het Security Information and Event Management SIEM geeft een efficiënt overzicht van meldingen over security issues. SIEM verzamelt logbestanden, maar het systeem is veel complexer dan dat. Het systeem verzamelt data van verschillende interne IT-bronnen. Denk hierbij aan laptops van medewerkers, servers, firewalls en netwerkapparaten.
Vervolgens analyseert het de verzamelde log-informatie om ongewone activiteiten te detecteren en patronen te identificeren die mogelijk een veiligheidsrisico vormen. Op die manier identificeert het security issues vroegtijdig, zodat je proactief handelt, voordat er een crisis ontstaat.
Het Security Operations Center (SOC) is de operationele eenheid. De SOC-analisten maken gebruik van SIEM-systemen voor de continue monitoring van informatieveiligheid. De SOC-teams zijn de analisten en bewakers van je IT-omgeving. Ze filteren de enorme hoeveelheid data uit en focussen op wat echt belangrijk is.
Het Cyber Security Operations Center gebruikt gestandaardiseerde processen om meldingen te prioriteren en acties uit te zetten. Zo reageren zij sneller en efficiënter op incidenten.
Om risico’s op het gebied van informatiebeveiliging gericht te beperken, is het aan te raden om deze 3 stappen te volgen:
Begin met het identificeren van alle kritieke assets en gegevens binnen de organisatie. Classificeer deze assets op basis van hun belangrijkheid en gevoeligheid. Bepaal welke systemen, applicaties en netwerkcomponenten het meest kritisch zijn voor de bedrijfsvoering.
Een Cyber Security Framework helpt organisaties om cruciale assets zoals hardware, software en data te identificeren en prioriteren.
Parallel hieraan helpt een Risk Assessment Analyse bij het identificeren en beoordelen van risico's verbonden aan deze assets. Op basis hiervan wordt het SIEM-systeem geconfigureerd om deze risico’s te monitoren en hierop te reageren.
Door je 'attack surface' te bepalen krijg je als organisatie inzicht in het totaal aantal punten waarop een aanvaller kan binnendringen. Deze helpt je om SIEM nog effectiever configureren.
Dit houdt in dat alle relevante systemen, applicaties en netwerkcomponenten hun logboeken naar het SIEM-systeem sturen. Vervolgens wordt het systeem zo geconfigureerd dat het deze logboeken verzamelt, normaliseert en analyseert.
Onderdeel van de implementatie is dat je Security Controls instelt. Dit zijn regels, ‘drempels’ en instellingen die bepalen hoe de data wordt geanalyseerd om aan de behoeften van je organisatie te voldoen. Zo kan het systeem verdachte of ongeautoriseerde activiteiten kan detecteren.
Voor het beveiligen van informatie kan je ook gebruikmaken van een gedegen Gebruikers- en Entiteitsgedrag Analyse.
Deze geavanceerde functie gebruikt machine learning om het gedrag van gebruikers of medewerkers en netwerkentiteiten te analyseren. Hiermee spoor je afwijkende activiteiten op.
Een keuze hierin kan bijvoorbeeld zijn om het gedrag van een groep hackers te volgen, die een dreiging vormen binnen jouw specifieke sector.
Wanneer de logboekregistratie op orde is, is de volgende stap om real-time alarmen en notificaties in te stellen.
De notificaties en alerts stel je in voor specifieke gebeurtenissen en patronen. Deze waarschuwingen wijzen het SOC-team direct op beveiligingsincidenten. Door deze goed in te stellen verkort je de reactietijd op potentiële incidenten.
Het Incident Response team reageert op door SOC gegenereerde meldingen volgens incident respons afspraken. Dit is een gestandaardiseerd proces waarbij zij volgens protocollen acties uit zetten.
Het incident respons proces beheert de volledige levenscyclus van incidenten en is uitgewerkt van detectie tot herstel.
Daarnaast kan het ook verstandig zijn om geautomatiseerde reacties te overwegen. Bijvoorbeeld door een IP-adres automatisch te blokkeren bij herhaaldelijk mislukte inlogpogingen.
Tot slot helpt het inrichten van dashboards bij het geven van visueel inzicht. Dat maakt het voor SOC-teams makkelijker om inzicht te verkrijgen en adequaat beslissingen te nemen.
Voer periodieke trendanalyses en evaluatie uit op het SIEM optimaal te gebruiken.
Het is raadzaam om regelmatig analyses uit te voeren om trends, patronen en nieuwe bedreigingen te identificeren. Evalueer ook periodiek de effectiviteit van het SIEM-systeem om eventuele configuratiewijzigingen of updates door te voeren.
Bij de inrichting van het SIEM met SOC komt veel kijken en is veel specifieke expertise nodig. Voor kleinere en middelgrote organisaties is het vaak niet efficiënt om zelf een SOC op te zetten en SIEM in te richten.
Het opzetten van een eigen SOC en het implementeren van een SIEM, kan een uitdaging zijn. De uitdaging zit in de diepgaande expertise die nodig is, maar ook in de kosten, tijd en middelen.
Het beheren van een SOC vereist veel specialistische kennis van cyberbeveiliging, incidentrespons en 24/7 monitoring.
24/7 monitoring maakt dat het arbeidsintensief is. Er moet behoorlijk geïnvesteerd worden in personeel, opleiding en training. Daarnaast moet een SOC aan veel wet- en regelgeving voldoen en lopen de kosten voor infrastructuur, softwarelicenties en hardware snel op.
Zolang er nog geen SIEM met SOC is ingericht voor jouw organisatie, betekent dit dat de organisatie kwetsbaar is voor cyberaanvallen. Het operationeel krijgen van een SOC en implementeren van een SIEM kan maanden tot jaren duren.
Het uitbesteden van de inrichting van een SIEM-SOC is afhankelijk van de behoeften en middelen van de organisatie. Voor de meeste middelgrote organisaties is het een strategische en kostenefficiënte optie om het uit te besteden.
Dit biedt directe bescherming, kostenbeheersing, schaalbaarheid en diepgaande expertise. Door de inrichting uit te besteden, maak je op kostenefficiënte manier gebruik van geavanceerde beveiligingstechnieken.
Voor organisaties die ervoor kiezen om het uit te besteden, bieden wij geavanceerde Managed Detection & Response diensten aan. Deze waarborgt de bedrijfscontinuïteit, door systemen en netwerken te monitoren.
Lees meer over SIEM SOC en het verhogen van je digitale weerbaarheid
Wil je een veilige en betrouwbare IT-omgeving? Neem contact op voor meer informatie. We staan klaar om je te helpen!
Security specialist