Cyberaanvallen worden alsmaar complexer en talrijker. Het is daarom bijna onmogelijk te voorspellen uit welke hoek jouw IT-omgeving eerst zal aangevallen worden. Om jouw IT zo goed mogelijk te beschermen, bouw je dus best jouw securitystrategie op met verschillende bouwblokken die elk een deel van jouw beveiliging voor hun rekening nemen. Al die tools staan echter op zichzelf en overstelpen je één voor één met informatie, waardoor je als beheerder vaak het bos (of de cyberaanval) door de bomen niet meer ziet. Een SIEM-systeem kan je helpen om jouw IT-beveiliging naar een hoger niveau te tillen door informatie uit al die security-oplossingen te bundelen en zo nieuwe inzichten te verschaffen. Wat SIEM is, waarom je het zou gebruiken en voor wie SIEM geschikt is, vertelt expert Manu je graag.

Wat is SIEM?

Een doordachte beveiliging van jouw IT-infrastructuur bestaat idealiter uit heel wat verschillende componenten (een firewall, endpoint protection, een sandboxing-oplossing, …). Elk van deze bouwblokken kan log-informatie verzamelen over de eigen activiteit. Het is echter onbegonnen werk om alle logs en rapporten van deze verschillende componenten van nabij te volgen, ook al heeft zowat elke oplossing vandaag wel eigen managementtools om aan opvolging te doen. Als je de informatie uit al deze logs echter kan combineren, dan hebt je een schat aan informatie in handen.

Dat is precies wat een Security Incident & Event Management (kortweg SIEM-) tool doet. Het combineert de data van allerlei logbestanden en geeft een overzichtelijk “single-pane-of-glass” overzicht van alle security-informatie en -events. Als er iets ongewoons aan de hand is, geeft het SIEM-systeem daar ook melding van. Zo kan je vroegtijdig ingrijpen en eventuele inbreuken in de kiem smoren.

Waarom SIEM?

Het grote voordeel van SIEM-oplossingen is dat ze inzichten bieden doorheen jouw volledige security-infrastructuur. Zonder SIEM-systeem ben je gelimiteerd tot de informatie die aparte oplossingen, zoals jouw endpoints, jouw gateway of mobile threat protectors bieden.

SIEM is dus geen extra security-tool die je nieuwe informatie over de status van jouw IT-beveiliging kan verschaffen. Maar de combinatie van gegevens uit verschillende bronnen die een SIEM-systeem verzamelt, maakt jouw volledige security-oplossing wel slimmer. Gebeurtenissen die je in de log van één oplossing misschien niet als ongewoon opmerkt, zullen veel sneller opvallen als je ze ziet in combinatie met een andere subtiele ongeregeldheid in een tweede log. Dankzij dit “single-pane-of-glass”-concept kan je dan ook veel sneller ingrijpen.

Een voorbeeld: De account van de directeur logt in vanuit België via het mailsysteem, en enkele seconden later logt de account van de directeur in vanuit Rusland via webmail. Zowel het mailsysteem als webmail geven apart deze informatie weer in hun logs. Op zich zijn beide gebeurtenissen niet noodzakelijk verdacht, beide systemen zien ze dus als legitiem. Maar als je ze samen bekijkt en ziet dat de directeur in een tijdspanne van enkele seconden vanuit twee werelddelen inlogt, merk je meteen dat er iets niet pluis is en kan je snel ingrijpen.

Een SIEM-systeem kan bovendien een stap verder gaan en ook verbanden leggen tussen alle binnenkomende data. Op die manier kan het actief op zoek gaan naar zwaktes in jouw IT-omgeving en zelf inbreuken en ander verdacht gedrag detecteren. Bij een aanval zullen er dus sneller alarmbellen afgaan en kan je de schade en de impact beperken. Daarnaast creëert een SIEM-systeem ook automatisch rapporten die handig van pas komen om compliance te garanderen (bij audits en certificaties). SIEM maakt je het leven als beheerder dus makkelijker en voegt intelligentie toe aan jouw IT-security.

Handige features in een SIEM-systeem

  • Asset discovery & inventory
  • Vulnerability Assessment
  • Intrusion detection
  • SIEM event correlation
  • Incident response
  • Endpoint detection & response
  • Log management
  • Compliance reports
Vraag een SIEM demo aan

Voor wie is SIEM geschikt?

Is SIEM nu iets voor u? Dat hangt af van hoe jouw IT-security vandaag is opgebouwd. SIEM-tools zijn een essentiële tool in moderne omgevingen waar automatisatie en efficiëntie prioritair zijn. Maar, om optimaal gebruik te kunnen maken van SIEM, is het noodzakelijk dat het systeem gevoed wordt met correcte informatie uit verschillende bronnen. Die combinatie van data is immers net de sterkte van het systeem. Een omgeving die bijvoorbeeld uitgerust is met een geavanceerde firewall, maar geen endpointbescherming voorziet, zal weinig voordeel halen uit een SIEM-systeem.

SIEM bouwt verder op de bestaande bouwblokken van jouw IT-security. Heb je op vandaag al een doordachte securitystrategie die jouw IT-omgeving en jouw data vanop verschillende fronten beveiligt? Dan heeft een SIEM-systeem zeker en vast een grote meerwaarde voor u. Voel je echter dat jouw IT-security nog niet van alle noodzakelijke bouwblokken voorzien is, dan wacht je beter even met investeren in een SIEM-systeem en bepaal je best eerst welke security-oplossingen je eerder nodig heeft

Breng jouw IT-security in kaart

Wil je graag weten of een SIEM-oplossing jouw IT-security naar een hoger niveau kan tillen? Savaco’s security-experts brengen jouw beveiliging graag in kaart en kunnen je adviseren omtrent de volgende stappen in jouw IT-securitystrategie. Vraag een Savaco Security Scan aan.