Security Information and Event Management (SIEM) is een benadering van beveiligingsbeheer die SIM (Security Information Management) en SEM (Security Event Management) functies combineert in één beveiligingsbeheersysteem. De afkorting SIEM wordt uitgesproken als “sim” met een stille e.

De onderliggende principes van elk SIEM-systeem zijn om relevante gegevens uit meerdere bronnen samen te voegen, afwijkingen van de norm te identificeren en gepaste actie te ondernemen. Als er bijvoorbeeld een mogelijk probleem wordt gedetecteerd, kan een SIEM-systeem aanvullende informatie registreren, een waarschuwing genereren en andere beveiligingscontroles instrueren om de voortgang van een activiteit te stoppen.

Op het meest basale niveau kan een SIEM-systeem kan op regels gebaseerd zijn of een statistische correlatie-engine gebruiken om relaties tussen eventlogboekvermeldingen tot stand te brengen. Geavanceerde SIEM-systemen zijn geëvolueerd met gebruikers- en entiteitsgedragsanalyses (UEBA) en beveiligingsorkestratie, automatisering en respons (SOAR).

Naleving van de Payment Card Industry Data Security Standard (PCI DSS) zorgde oorspronkelijk voor de acceptatie van SIEM in grote ondernemingen, maar zorgen over geavanceerde persistente bedreigingen (APT’s) hebben ertoe geleid dat kleinere organisaties kijken naar de voordelen die SIEM managed security service providers (MSSP’s) kunnen bieden. Door alle beveiligingsgerelateerde gegevens vanuit één oogpunt te kunnen bekijken, wordt het voor organisaties van elke omvang gemakkelijker om afwijkende patronen te ontdekken.

SIEM-systemen werken door meerdere verzamel agenten op een hiërarchische manier om beveiligingsgerelateerde gebeurtenissen te verzamelen van apparaten, servers en netwerkapparatuur van eindgebruikers, evenals gespecialiseerde beveiligingsapparatuur, zoals firewalls, antivirus- of inbraakpreventiesystemen (IPS’en). De verzamelaars sturen gebeurtenissen door naar een gecentraliseerde beheerconsole, waar beveiligingsanalisten het lawaai doorzoeken, de punten met elkaar verbinden en prioriteit geven aan beveiligingsincidenten.

In sommige systemen kan voorverwerking plaatsvinden bij edge-verzamelaars , waarbij alleen bepaalde gebeurtenissen worden doorgegeven aan een gecentraliseerd beheerknooppunt. Op deze manier kan de hoeveelheid informatie die wordt gecommuniceerd en opgeslagen worden verminderd. Hoewel vooruitgang in machine learning systemen helpt om afwijkingen nauwkeuriger te signaleren, moeten analisten nog steeds feedback geven en het systeem voortdurend informeren over de omgeving.

Hier zijn enkele van de belangrijkste functies die moeten worden bekeken bij het evalueren van SIEM-producten:

• Integratie met andere besturingselementen. Kan het systeem commando’s geven aan andere bedrijfsbeveiligingscontroles om lopende aanvallen te voorkomen of te stoppen?
• Kunstmatige intelligentie (AI). Kan het systeem zijn eigen nauwkeurigheid verbeteren door machine learning en deep learning?
• Feeds voor bedreigingsinformatie. Kan het systeem feeds met informatie over bedreigingen naar keuze van de organisatie ondersteunen, of is het verplicht om een bepaalde feed te gebruiken?
• Uitgebreide nalevingsrapportage. Bevat het systeem ingebouwde rapporten voor algemene nalevingsbehoeften en biedt het de organisatie met de mogelijkheid om nieuwe compliancerapporten aan te passen of te maken?
• Forensische mogelijkheden. Kan het systeem aanvullende informatie over beveiligingsgebeurtenissen vastleggen door de headers en inhoud van pakketten van belang op te nemen?

Hoe werkt SIEM?

SIEM-tools werken door gebeurtenis- en logboekgegevens te verzamelen die zijn gemaakt door hostsystemen, applicaties en beveiligingsapparatuur, zoals antivirusfilters en firewalls, in de infrastructuur van een bedrijf en gegevens samen op een gecentraliseerd platform. De SIEM-tools identificeren en sorteren de gegevens in categorieën zoals geslaagde en mislukte aanmeldingen, malwareactiviteit en andere waarschijnlijke kwaadaardige activiteiten.

De SIEM-software genereert vervolgens beveiligingswaarschuwingen wanneer deze potentiële beveiligingsproblemen identificeert. Met behulp van een reeks vooraf gedefinieerde regels kunnen organisaties deze waarschuwingen met een lage of hoge prioriteit instellen.

Een gebruikersaccount dat in 25 minuten 25 mislukte inlogpogingen genereert, kan bijvoorbeeld worden gemarkeerd als verdacht, maar nog steeds worden ingesteld op een lagere prioriteit omdat de inlogpogingen waarschijnlijk zijn gedaan door de gebruiker die waarschijnlijk zijn inloggegevens was vergeten.

Een gebruikersaccount dat in vijf minuten 130 mislukte inlogpogingen genereert, zou echter worden gemarkeerd als een hoge prioriteit gebeurtenis omdat het hoogstwaarschijnlijk een brute-force aanval is die aan de gang is.

Waarom is SIEM belangrijk?

SIEM is belangrijk omdat het het voor ondernemingen gemakkelijker maakt om de beveiliging te beheren door massale hoeveelheden beveiligingsgegevens en prioriteit geven aan de beveiligingswaarschuwingen die de software genereert.

SIEM-software stelt organisaties in staat om incidenten te detecteren die anders onopgemerkt zouden blijven. De software analyseert de logboekvermeldingen om tekenen van kwaadaardige activiteit te identificeren.Aangezien het systeem gebeurtenissen uit verschillende bronnen in het netwerk verzamelt, kan het bovendien de tijdlijn van een aanval nabootsen, zodat een bedrijf de aard van de aanval en de impact ervan op het bedrijf kan bepalen.

Een SIEM systeem kan een organisatie ook helpen aan de nalevingsvereisten te voldoen door automatisch rapporten te genereren die alle geregistreerde beveiligingsgebeurtenissen uit deze bronnen bevatten. Zonder SIEM-software zou het bedrijf logboekgegevens moeten verzamelen en de rapporten handmatig moeten samenstellen.

Een SIEM-systeem verbetert ook het incidentbeheer door het beveiligingsteam van het bedrijf in staat te stellen de route te achterhalen die een aanval over het netwerk aflegt , identificeer de bronnen die zijn gecompromitteerd en bied de geautomatiseerde tools om de lopende aanvallen te voorkomen.

Voordelen van SIEM

Enkele van de voordelen van SIEM zijn onder meer:

• verkort de tijd die nodig is om bedreigingen aanzienlijk te identificeren, waardoor de schade als gevolg van die bedreigingen wordt geminimaliseerd;
• biedt een holistisch beeld van de informatiebeveiligingsomgeving van een organisatie, waardoor het gemakkelijker te verzamelen en te analyseren is beveiligingsinformatie om systemen veilig te houden – alle gegevens van een organisatie gaan naar een gecentraliseerde opslagplaats waar ze worden opgeslagen en gemakkelijk toegankelijk zijn;
• kan door bedrijven worden gebruikt voor een verscheidenheid aan gebruiksscenario’s die om gegevens draaien of logboeken, inclusief beveiligingsprogramma’s, audit- en nalevingsrapportage, hij lp-desk en netwerkproblemen oplossen;
• ondersteunt grote hoeveelheden gegevens zodat organisaties kunnen blijven opschalen en hun gegevens kunnen uitbreiden;
• biedt detectie van bedreigingen en beveiligingswaarschuwingen; en
• kan gedetailleerde forensische analyses uitvoeren in het geval van grote inbreuken op de beveiliging.

Beperkingen van SIEM

Ondanks de voordelen zijn er nog steeds enkele beperkingen van SIEM, waaronder de volgende:

• Gewoonlijk duurt het lang om het te implementeren omdat het ondersteuning nodig heeft om een succesvolle integratie met de beveiligingscontroles van een organisatie en de vele hosts in haar infrastructuur te garanderen. Het duurt doorgaans 90 dagen of langer om SIEM te installeren voordat het begint te werken.
• Het is duur. De initiële investering in SIEM kan oplopen tot honderdduizenden dollars. En de bijbehorende kosten kunnen ook oplopen, inclusief de personeelskosten voor het beheren en bewaken van een SIEM-implementatie, jaarlijkse ondersteuning en software of agenten om gegevens te verzamelen.
• Het analyseren, configureren en integreren van rapporten vereist het talent van experts. Daarom worden sommige SIEM-systemen rechtstreeks beheerd binnen een Security Operations Center (SOC), een gecentraliseerde eenheid die bemand wordt door een informatiebeveiligingsteam dat zich bezighoudt met de beveiligingskwesties van een organisatie.
• SIEM-tools zijn meestal afhankelijk van regels om alle geregistreerde gegevens te analyseren. Het probleem is dat het netwerk van een bedrijf een groot aantal waarschuwingen genereert – gewoonlijk 10.000 per dag – die al dan niet positief kunnen zijn. Daarom is het moeilijk om potentiële aanvallen te identificeren vanwege het aantal irrelevante logboeken.
• Een verkeerd geconfigureerde SIEM-tool kan belangrijke beveiligingsgebeurtenissen missen, waardoor informatierisicobeheer minder effectief wordt.

SIEM-tools en -software

Enkele van de tools in de SIEM-ruimte bevatten het volgende:

• Splunk. Splunk is een volledig on-premise SIEM-systeem. Splunk ondersteunt beveiligingsmonitoring en biedt geavanceerde mogelijkheden voor bedreigingsdetectie.
• IBM QRadar. QRadar kan worden ingezet als hardwareapparaat, virtueel apparaat of softwareapparaat, afhankelijk van de behoeften en capaciteit van een bedrijf. QRadar on Cloud is een cloudservice die wordt geleverd vanuit IBM Cloud op basis van het QRadar SIEM-product.
• LogRhythm. LogRhythm, een goed SIEM-systeem voor kleinere organisaties, verenigt SIEM, logbeheer, netwerk- en eindpuntbewaking en forensisch onderzoek, en beveiligingsanalyses.
• Exabeam. Het SIEM-product van Exabeam biedt verschillende mogelijkheden, waaronder UEBA, een datameer, geavanceerde analyses en een bedreigingsjager.
• RSA. RSA NetWitness Platform is een tool voor het detecteren en reageren van bedreigingen die het verzamelen, doorsturen, opslaan en analyseren van gegevens omvat. RSA biedt ook SOAR.

Hoe u het juiste SIEM-product kiest

Het selecteren van de juiste SIEM-tool varieert op basis van een aantal factoren, waaronder het budget van een organisatie en beveiligingshouding.

Bedrijven zouden echter moeten zoeken naar SIEM-tools die de volgende mogelijkheden bieden:

• nalevingsrapportage;
• incidentrespons en forensisch onderzoek;
• monitoring van database- en servertoegang;
• interne en externe detectie van bedreigingen;
• real-time bewaking, correlatie en analyse van bedreigingen voor een verscheidenheid aan toepassingen en systemen;
• inbraakdetectiesysteem (IDS), IPS, firewall, gebeurtenislogboek en andere applicatie- en systeemintegraties;
• informatie over bedreigingen; en
• monitoring van gebruikersactiviteiten ( UAM).

Geschiedenis van SIEM

SIEM-technologie, die bestaat sinds het midden van de jaren 2000, evolueerde aanvankelijk vanuit de logboekbeheerdiscipline, de collectieve processen en beleidsregels die werden gebruikt om te beheren en het genereren, verzenden, analyseren, opslaan, archiveren en uiteindelijk verwijderen van de grote hoeveelheden loggegevens die in een informatiesysteem zijn gemaakt, vergemakkelijken.

Analisten van Gartner Inc. bedachten de term SIEM in het Gartner-rapport van 2005: “Improve IT-beveiliging met kwetsbaarheidsbeheer. ” In het rapport stelden de analisten een nieuw beveiligingsinformatiesysteem voor op basis van SIM en SEM.

Gebaseerd op oude beheersystemen voor het verzamelen van logboeken, introduceerde SIM langdurige opslaganalyse en rapportage over loggegevens. SIM integreerde ook logboeken met informatie over bedreigingen. SEM richtte zich op het identificeren, verzamelen, bewaken en rapporteren van beveiligingsgerelateerde gebeurtenissen in software, systemen of IT-infrastructuur.

Vervolgens creëerden leveranciers SIEM door SEM te combineren, dat log- en gebeurtenisgegevens in realtime analyseert en dreigingsmonitoring biedt , gebeurteniscorrelatie en incidentrespons, met SIM, dat loggegevens verzamelt, analyseert en rapporteert.

De toekomst van SIEM

De toekomstige trends van SIEM omvatten het volgende:

• Verbeterde orkestratie. Momenteel biedt SIEM bedrijven alleen basisworkflowautomatisering. Aangezien organisaties echter blijven groeien, zal SIEM aanvullende mogelijkheden moeten bieden. Door de toegenomen commercialisering van AI en machine learning zullen SIEM-tools bijvoorbeeld snellere orkestratie moeten bieden om de verschillende afdelingen binnen een bedrijf hetzelfde beschermingsniveau te bieden. Bovendien zullen de beveiligingsprotocollen en de uitvoering van die protocollen sneller, maar ook effectiever en efficiënter zijn.
• Betere samenwerking met beheerde detectie- en responstools (MDR). Aangezien het gevaar van hacking en ongeautoriseerde toegang blijft toenemen, is het belangrijk dat organisaties een tweeledige aanpak implementeren om beveiligingsbedreigingen te detecteren en analyseren. Het IT-team van een bedrijf kan SIEM intern implementeren, terwijl een managed service provider (MSP ) kan de MDR-tool implementeren.
• Verbeterd cloudbeheer en monitoring. SIEM-leveranciers zullen het cloudbeheer en de bewakingsmogelijkheden van hun tools verbeteren om beter te voldoen aan de beveiligingsbehoeften van organisaties die de cloud gebruiken.
• SIEM en SOAR zullen evolueren naar één tool. Zoek naar traditionele SIEM-producten om de voordelen van SOAR te benutten; SOAR-leveranciers zullen echter waarschijnlijk reageren door de mogelijkheden van hun producten uit te breiden.