Achtergrondartikel


Paul Derksen, senior securityconsultant bij Motiv:

‘SIEM raakt alles binnen je organisatie’

Security Information and Event Management (SIEM) geniet een steeds grotere populariteit, ook onder bedrijven uit het ‘middensegment’. De invoering van SIEM is echter een ingrijpend proces. “Het raakt alles binnen je organisatie, alle ITIL-processen”, waarschuwt Paul Derksen, senior securityconsultant bij Motiv. SecurityVandaag sprak met Derksen over hoe Motiv een SIEM-traject stap voor stap aanpakt.

De huidige populariteit van SIEM heeft volgens Derksen meerdere oorzaken. Zo is Security Information and Event Management in de dagelijkse praktijk een stuk ‘eenvoudiger’ geworden. “De SIEM-technologie heeft de afgelopen jaren niet stilgestaan. Door visualisatie en analytische tools is het efficiënter geworden om door grote hoeveelheden logmeldingen te struinen. Het zijn geen platte teksten meer.”

“Ook wet- en regelgeving vereist dat je aantoonbaar in control bent, en voor die aantoonbaarheid heb je SIEM nodig”, vervolgt Derksen. “Daarnaast neemt het aantal incidenten nog altijd schrikbarend toe. Daardoor is er een groeiende behoefte aan inzicht; wie heeft wanneer waar aangezeten en waarom? Dan heb je niet genoeg aan een Next-Generation Firewall of inbraakdetectiesysteem. Je hebt context nodig, een totaalplaatje, en dat is precies wat SIEM biedt.”

Helder totaalplaatje
De SIEM-dienstverlening van Motiv bestaat uit twee componenten, zo begrijpen we van Derksen. “Op de eerste plaats bieden we Log Management, oftewel de ‘langetermijnopslag’ van logdata zodat je data goed kunt doorzoeken. Daarbovenop bieden we Security Monitoring, waarbij we zaken waarnemen op basis van dashboards, rapportages en alarmeringen.”

Om een helder ‘totaalplaatje’ te krijgen, is het echter cruciaal dat de implementatie van de SIEM-tooling goed wordt voorbereid. Ook moet het voor de organisatie helder zijn waar men precies inzicht in wil hebben.

Stap 1: Pre-assessment
Voor een optimale voorbereiding start Motiv een SIEM-traject met een pre-assessment die enkele dagdelen in beslag neemt. De exacte duur is echter afhankelijk van het gekozen scenario: gaat de organisatie zelf voor Security Monitoring zorgen, of komt er een koppeling met het Security Operations Center (SOC) van Motiv? “Bij het eerste scenario neemt de pre-assessment meer tijd in beslag, omdat dan ook de processen en procedures van de organisatie moeten worden geëvalueerd”, aldus Derksen.

“Tijdens de pre-assessment stoppen we als het ware een thermometer in de organisatie”, vervolgt Derksen. “We willen te weten komen wat de status is van processen en componenten, wat de bedrijfskritische applicaties zijn, hoe de algehele infrastructuur eruitziet, wat de visie is van de organisatie en wat de uitdagingen zijn in de nabije toekomst. Als je niet weet wie je zelf bent, kun je jezelf ook niet verdedigen.”

Stap 2: Use cases bepalen
Tijdens een ‘pre-SIEM-workshop’ gaat Motiv samen met de klant op zoek naar de use cases die relevant zijn. Derksen: “We gaan met security-officers en business users in gesprek om erachter te komen waar die ‘stakeholder’ wakker van liggen en wat ze met SIEM willen bereiken. Binnen de zorg kunnen bijvoorbeeld ongeautoriseerde toegang tot medische gegevens, privileges die worden opgerekt en verdachte handelingen binnen gebruikersaccounts met hoge privileges punten van zorg zijn. Het doel kan dan zijn dat je meer inzicht krijgt in accounts met hoge privileges en de toegang tot medische gegevens wilt kunnen monitoren.”

“Op die manier bepaal je de behoefte van de klant”, aldus Derksen. “Die behoefte moet je vervolgens matchen met de juiste logbronnen en met de auditpolicy, want je wilt niet te veel loggen maar ook zeker niet te weinig. De verhouding tussen use case en logging moet ideaal zijn. Je komt weleens situaties tegen dat een organisatie een hele batterij Windows-servers aan het SIEM-systeem koppelt om vervolgens het netwerk te monitoren. Dan verhoudt de maatregel zich niet tot de ‘use case’. Voor netwerkmonitoring ligt een koppeling van netwerk- en firewallcomponenten meer voor de hand.”

Stap 3: Opstellen functioneel ontwerp
“Als het contract voor de implementatie van een SIEM-systeem is getekend, vertalen we de offerte naar een functioneel ontwerp. Hierbij proberen we een overzicht te krijgen van het netwerk en ‘mappen’ daarop de logbronnen.”

“Parallel hieraan proberen we de lijst met logbronnen, de ‘nodelijst’, zo helder mogelijk te krijgen”, stelt Derksen. “In deze lijst staat exact aangegeven welke componenten we gaan koppelen, inclusief zaken als IP-adressen, DNS-namen en de softwareversies die op de componenten draaien. Ook de koppelinstructies worden alvast opgesteld, zodat zaken als gebruikersaccounts en privileges voor toegang tot de logdata kunnen worden geregeld. Een kenmerk van SIEM is dat het vaak grensoverschrijdend is en er veel communicatie nodig is. Dan is het belangrijk om een aantal zaken al vroegtijdig op de rit te zetten.”

Stap 4: Opstellen technisch ontwerp
Als het functioneel ontwerp na review akkoord is bevonden, wordt bepaald wat er technisch allemaal nodig is. De ‘nodelijst’ wordt definitief gemaakt en er wordt een test- en acceptatieplan opgesteld. “Als Motiv de monitoring verzorgt, lopen we ook onze interne controlelijst nog na”, vult Derksen aan. “We controleren of alles naar behoren is gedocumenteerd, zodat de monitoring netjes kan worden overgedragen.”

Stap 5: De implementatie
Na het technisch ontwerp volgt het inrichten van de dashboards, rapportages en alarmeringen en worden de laatste puntjes op de i gezet. “We bespreken een eerste concept-maandrapportage met de klant om te kijken of er zaken naar voren komen die bijzondere aandacht verdienen of juist niet zo spannend zijn”, legt Derksen uit. “Op basis van die gesprekken kun je de rapportages verfijnen, waarmee je tegelijk ook de dashboards en alarmen verfijnt. Je scheidt het kaf van het koren.”

Na een laatste test- en acceptatiefase – waarin ook de documentatie nog een keer wordt gecontroleerd – vindt de overdracht plaats naar de serviceorganisatie van de klant of van Motiv. “Als de overdracht naar het SOC van Motiv plaatsvindt, dan vindt daar ook nog een interne acceptatie plaats”, besluit Derksen. “Daarna is het SIEM-systeem officieel in productie genomen.”

Snelle successen
De fase van offerte tot oplevering neemt bij een organisatie met een gemiddelde omvang doorgaans zo’n twee à drie maanden in beslag. “Maar dan moet er wel druk op staan.” Een langere looptijd is volgens Derksen niet uitzonderlijk. “SIEM raakt alles binnen je organisatie, alle ITIL-processen.”

Na oplevering van een SIEM-systeem weten organisaties doorgaans echter al snel successen te boeken als het gaat om het aanscherpen van de security. “Je ziet dan bijvoorbeeld dat service-accounts niet meer worden gebruikt door de beheerders, naamgevingsconventies op gebruikersaccounts strikter worden toegepast en de zaken op netwerkgebied netter worden opgelost. SIEM drukt je dan ook meteen met de neus op de feiten.”


Lees meer over