Cyberaanvallen worden alsmaar complexer en talrijker. Het is daarom bijna onmogelijk te voorspellen uit welke hoek jouw IT-omgeving eerst zal aangevallen worden. Om jouw IT zo goed mogelijk te beschermen, bouw je dus best jouw securitystrategie op met verschillende bouwblokken die elk een deel van jouw beveiliging voor hun rekening nemen. Al die tools staan echter op zichzelf en overstelpen je één voor één met informatie, waardoor je als beheerder vaak het bos (of de cyberaanval) door de bomen niet meer ziet. Een SIEM-systeem kan je helpen om jouw IT-beveiliging naar een hoger niveau te tillen door informatie uit al die security-oplossingen te bundelen en zo nieuwe inzichten te verschaffen. Wat SIEM is, waarom je het zou gebruiken en voor wie SIEM geschikt is, vertelt expert Manu je graag.
Waarom SIEM?
Het grote voordeel van SIEM-oplossingen is dat ze inzichten bieden doorheen jouw volledige security-infrastructuur. Zonder SIEM-systeem ben je gelimiteerd tot de informatie die aparte oplossingen, zoals jouw endpoints, jouw gateway of mobile threat protectors bieden.
SIEM is dus geen extra security-tool die je nieuwe informatie over de status van jouw IT-beveiliging kan verschaffen. Maar de combinatie van gegevens uit verschillende bronnen die een SIEM-systeem verzamelt, maakt jouw volledige security-oplossing wel slimmer. Gebeurtenissen die je in de log van één oplossing misschien niet als ongewoon opmerkt, zullen veel sneller opvallen als je ze ziet in combinatie met een andere subtiele ongeregeldheid in een tweede log. Dankzij dit “single-pane-of-glass”-concept kan je dan ook veel sneller ingrijpen.
Een voorbeeld: De account van de directeur logt in vanuit België via het mailsysteem, en enkele seconden later logt de account van de directeur in vanuit Rusland via webmail. Zowel het mailsysteem als webmail geven apart deze informatie weer in hun logs. Op zich zijn beide gebeurtenissen niet noodzakelijk verdacht, beide systemen zien ze dus als legitiem. Maar als je ze samen bekijkt en ziet dat de directeur in een tijdspanne van enkele seconden vanuit twee werelddelen inlogt, merk je meteen dat er iets niet pluis is en kan je snel ingrijpen.
Een SIEM-systeem kan bovendien een stap verder gaan en ook verbanden leggen tussen alle binnenkomende data. Op die manier kan het actief op zoek gaan naar zwaktes in jouw IT-omgeving en zelf inbreuken en ander verdacht gedrag detecteren. Bij een aanval zullen er dus sneller alarmbellen afgaan en kan je de schade en de impact beperken. Daarnaast creëert een SIEM-systeem ook automatisch rapporten die handig van pas komen om compliance te garanderen (bij audits en certificaties). SIEM maakt je het leven als beheerder dus makkelijker en voegt intelligentie toe aan jouw IT-security.
Handige features in een SIEM-systeem
- Asset discovery & inventory
- Vulnerability Assessment
- Intrusion detection
- SIEM event correlation
- Incident response
- Endpoint detection & response
- Log management
- Compliance reports
Voor wie is SIEM geschikt?
Is SIEM nu iets voor u? Dat hangt af van hoe jouw IT-security vandaag is opgebouwd. SIEM-tools zijn een essentiële tool in moderne omgevingen waar automatisatie en efficiëntie prioritair zijn. Maar, om optimaal gebruik te kunnen maken van SIEM, is het noodzakelijk dat het systeem gevoed wordt met correcte informatie uit verschillende bronnen. Die combinatie van data is immers net de sterkte van het systeem. Een omgeving die bijvoorbeeld uitgerust is met een geavanceerde firewall, maar geen endpointbescherming voorziet, zal weinig voordeel halen uit een SIEM-systeem.
SIEM bouwt verder op de bestaande bouwblokken van jouw IT-security. Heb je op vandaag al een doordachte securitystrategie die jouw IT-omgeving en jouw data vanop verschillende fronten beveiligt? Dan heeft een SIEM-systeem zeker en vast een grote meerwaarde voor u. Voel je echter dat jouw IT-security nog niet van alle noodzakelijke bouwblokken voorzien is, dan wacht je beter even met investeren in een SIEM-systeem en bepaal je best eerst welke security-oplossingen je eerder nodig heeft
Breng jouw IT-security in kaart
Wil je graag weten of een SIEM-oplossing jouw IT-security naar een hoger niveau kan tillen? Savaco’s security-experts brengen jouw beveiliging graag in kaart en kunnen je adviseren omtrent de volgende stappen in jouw IT-securitystrategie. Vraag een Savaco Security Scan aan.