Uw securitystrategie naar een hoger niveau tillen? Dan is een SIEM-systeem iets voor u

Uw securitystrategie naar een hoger niveau tillen? Dan is een SIEM-systeem iets voor u

Geschreven door Manu Fourneau, Product Advisor Security Solutions op

Cyberaanvallen worden alsmaar complexer en talrijker. Het is daarom bijna onmogelijk te voorspellen uit welke hoek uw IT-omgeving eerst zal aangevallen worden. Om uw IT zo goed mogelijk te beschermen, bouwt u dus best uw securitystrategie op met verschillende bouwblokken die elk een deel van uw beveiliging voor hun rekening nemen. Al die tools staan echter op zichzelf en overstelpen u één voor één met informatie, waardoor u als beheerder vaak het bos (of de cyberaanval) door de bomen niet meer ziet. Een SIEM-systeem kan u helpen om uw IT-beveiliging naar een hoger niveau te tillen door informatie uit al die security-oplossingen te bundelen en zo nieuwe inzichten te verschaffen. Wat SIEM is, waarom u het zou gebruiken en voor wie SIEM geschikt is, vertelt expert Manu u graag.

Wat is SIEM?

Een doordachte beveiliging van uw IT-infrastructuur bestaat idealiter uit heel wat verschillende componenten (een firewall, endpoint protection, een sandboxing-oplossing, …). Elk van deze bouwblokken kan log-informatie verzamelen over de eigen activiteit. Het is echter onbegonnen werk om alle logs en rapporten van deze verschillende componenten van nabij te volgen, ook al heeft zowat elke oplossing vandaag wel eigen managementtools om aan opvolging te doen. Als u de informatie uit al deze logs echter kan combineren, dan hebt u een schat aan informatie in handen.

Dat is precies wat een Security Incident & Event Management (kortweg SIEM-) tool doet. Het combineert de data van allerlei logbestanden en geeft een overzichtelijk “single-pane-of-glass” overzicht van alle security-informatie en -events. Als er iets ongewoons aan de hand is, geeft het SIEM-systeem daar ook melding van. Zo kan u vroegtijdig ingrijpen en eventuele inbreuken in de kiem smoren.

Waarom SIEM?

Het grote voordeel van SIEM-oplossingen is dat ze inzichten bieden doorheen uw volledige security-infrastructuur. Zonder SIEM-systeem bent u gelimiteerd tot de informatie die aparte oplossingen, zoals uw endpoints, uw gateway of mobile threat protectors bieden.

SIEM is dus geen extra security-tool die u nieuwe informatie over de status van uw IT-beveiliging kan verschaffen. Maar de combinatie van gegevens uit verschillende bronnen die een SIEM-systeem verzamelt, maakt uw volledige security-oplossing wel slimmer. Gebeurtenissen die u in de log van één oplossing misschien niet als ongewoon opmerkt, zullen veel sneller opvallen als u ze ziet in combinatie met een andere subtiele ongeregeldheid in een tweede log. Dankzij dit “single-pane-of-glass”-concept kan u dan ook veel sneller ingrijpen.

Een voorbeeld: De account van de directeur logt in vanuit België via het mailsysteem, en enkele seconden later logt de account van de directeur in vanuit Rusland via webmail. Zowel het mailsysteem als webmail geven apart deze informatie weer in hun logs. Op zich zijn beide gebeurtenissen niet noodzakelijk verdacht, beide systemen zien ze dus als legitiem. Maar als u ze samen bekijkt en ziet dat de directeur in een tijdspanne van enkele seconden vanuit twee werelddelen inlogt, merkt u meteen dat er iets niet pluis is en kan u snel ingrijpen.

Een SIEM-systeem kan bovendien een stap verder gaan en ook verbanden leggen tussen alle binnenkomende data. Op die manier kan het actief op zoek gaan naar zwaktes in uw IT-omgeving en zelf inbreuken en ander verdacht gedrag detecteren. Bij een aanval zullen er dus sneller alarmbellen afgaan en kan u de schade en de impact beperken. Daarnaast creëert een SIEM-systeem ook automatisch rapporten die handig van pas komen om compliance te garanderen (bij audits en certificaties). SIEM maakt u het leven als beheerder dus makkelijker en voegt intelligentie toe aan uw IT-security.

Handige features in een SIEM-systeem
Asset discovery & inventory
Vulnerability Assessment
Intrusion detection
SIEM event correlation
Incident response
Endpoint detection & response
Log management
Compliance reports

Bron: Alienvault

Vraag een SIEM demo aan

Voor wie is SIEM geschikt?

Is SIEM nu iets voor u? Dat hangt af van hoe uw IT-security vandaag is opgebouwd. SIEM-tools zijn een essentiële tool in moderne omgevingen waar automatisatie en efficiëntie prioritair zijn. Maar, om optimaal gebruik te kunnen maken van SIEM, is het noodzakelijk dat het systeem gevoed wordt met correcte informatie uit verschillende bronnen. Die combinatie van data is immers net de sterkte van het systeem. Een omgeving die bijvoorbeeld uitgerust is met een geavanceerde firewall, maar geen endpointbescherming voorziet, zal weinig voordeel halen uit een SIEM-systeem.

SIEM bouwt verder op de bestaande bouwblokken van uw IT-security. Hebt u op vandaag al een doordachte securitystrategie die uw IT-omgeving en uw data vanop verschillende fronten beveiligt? Dan heeft een SIEM-systeem zeker en vast een grote meerwaarde voor u. Voelt u echter dat uw IT-security nog niet van alle noodzakelijke bouwblokken voorzien is, dan wacht u beter even met investeren in een SIEM-systeem en bepaalt u best eerst welke security-oplossingen u eerder nodig heeft

Breng uw IT-security in kaart

Wil u graag weten of een SIEM-oplossing uw IT-security naar een hoger niveau kan tillen? Savaco’s security-experts brengen uw beveiliging graag in kaart en kunnen u adviseren omtrent de volgende stappen in uw IT-securitystrategie. Vraag een Savaco Security Scan aan.