Wat is SIEM? Definitie en hoe het werkt

SIEM staat voor security information and event management. In de praktijk combineren SIEM-softwareoplossingen de voordelen van security information management (SIM) en security event management (SEM) in een alomvattende beveiligingsoplossing die in staat is om beveiligingswaarschuwingen die door uw apps en hardware worden gegenereerd, in realtime te analyseren.

Hoe werkt SIEM?

SIEM verzamelt informatie uit log- en gebeurtenisgegevens die door een organisatie worden gegenereerd over haar toepassingen, beveiligingssystemen en hardware. Door gebeurtenissen te vergelijken met regels en analyse-engines kunnen SIEM-systemen beveiligingsbedreigingen in realtime opsporen en analyseren. Beter nog, alles wordt geïndexeerd voor zoekopdrachten om beveiligingsteams te helpen bij hun analyses, logbeheer en rapportage.

Voorbeelden van bedreigingen die een SIEM-oplossing kan detecteren

Ongeoorloofde toegang

Een handvol mislukte inlogpogingen is begrijpelijk. Draai dat nummer tot 100 en iemand voert waarschijnlijk een brute force-aanval uit. SIEM-software kan het gedrag van gebruikers bewaken en ongebruikelijke toegangspogingen identificeren.

Bedreigingen van binnenuit

Door het gedrag van werknemers voortdurend te volgen, kunnen SIEM-systemen zowel toevallige als kwaadaardige bedreigingen van binnenuit opsporen. Van voormalige werknemers, die hun toegangsrechten nog moeten laten intrekken, tot kwaadwillende insiders, die mogelijk proberen gevoelige informatie te stelen of te lekken, tot onopzettelijke beveiligingswijzigingen, kan SIEM-software afwijkend gedrag detecteren en dit voor analyse doorgeven aan een beveiligingsanalist.

Phishing

Phishing-aanvallen zijn bedoeld om mensen vrijwillig persoonlijke of gevoelige informatie te laten prijsgeven door zich voor te doen als een vertrouwde autoriteit. De meest voorkomende vorm van phishing zijn e-mails met schadelijke links of bijlagen van aanvallers die zich voordoen als verkopers, managers of personeel. Naast beveiligingstraining kan een SIEM-oplossing zaken detecteren als het inloggen van werknemers vanaf verdachte locaties op ongebruikelijke tijden, wat een teken kan zijn van een gecompromitteerde werknemersaccount. U kunt dat gebruikersprofiel dan vergrendelen om schade te voorkomen totdat de toegang door de werknemer kan worden bevestigd.

DoS- en DDoS-aanvallen

Denial-of-service-aanvallen (DoS) verstoren diensten door netwerken te overspoelen met voldoende verkeer om de systeembronnen vast te zetten en een crash te veroorzaken. De frequentie van dergelijke bedreigingen neemt toe vanwege het gemak waarmee botnets netwerkapparaten van onwetende gebruikers kunnen overnemen in hun eigen zwermen voor het uitvoeren van distributed denial-of-service-aanvallen (DDoS). Door de logbestanden van uw webserver te controleren, kan SIEM-software afwijkende verkeersgebeurtenissen signaleren die kunnen wijzen op een DoS- of DDoS-aanval. Als u dergelijke aanvallen in een vroeg stadium opmerkt, heeft uw beveiligingsteam tijd om zich te verdedigen en het herstel van de diensten te plannen.

Code-injectie

Code-injectie is het injecteren van kwaadaardige code in invoerkanalen aan de klantzijde, zoals online formulieren, om toegang te krijgen tot de database of systemen van een toepassing. Het meest voorkomende voorbeeld hiervan is SQL-injectie, waarbij SQL-commando's worden ingevoegd in niet-gesanitiseerde invoer, waardoor de aanvaller data rechtstreeks uit de database kan wijzigen of verwijderen. Door activiteit van webapplicaties te bewaken, is het mogelijk om afwijkende gebeurtenissen te markeren en event correlatie te gebruiken om te zien of er wijzigingen in uw systeem zijn opgetreden.

Ransomware en andere malware

Ransomware, virussen, wormen, trojans en andere soorten malware zijn software die is ontworpen om computersystemen te infiltreren en kwaadaardige programma's uit te voeren. De beste verdediging tegen dergelijke aanvallen is preventie, en SIEM-systemen bieden u de bewakingsmogelijkheden die u nodig hebt om beveiligingslogs te begrijpen, aanvalsvectoren te identificeren en afwijkend gedrag op te sporen dat tot een aanval kan leiden. Eenmaal gecompromitteerd kan SIEM u ook helpen de omvang van de schade van een malware-aanval vast te stellen, waardoor uw beveiligingsteam de informatie krijgt die het nodig heeft om het probleem op te lossen.

MITM-aanvallen

Een man-in-the-middle-aanval (MITM) is een aanval waarbij een kwaadwillende derde partij de communicatie tussen twee hosts afluistert om informatie te stelen of te manipuleren. Zodra de communicatie is onderschept, kan de aanvaller een aantal technieken toepassen, van het kapen van gebruikerssessies door het afluisteren van wachtwoordinvoer tot het injecteren van kwaadaardige pakketten in datacommunicatiestromen. Frequente verbindingen of verbroken verbindingen met onbekende locaties kunnen wijzen op een MITM-aanval, en daarom kan SIEM een hulpmiddel van onschatbare waarde zijn om afluisteraars te pakken voordat het te laat is.

Wanneer SIEM te gebruiken met voorbeelden

SIEM-systemen vormen een kernonderdeel van de beveiligingsinfrastructuur van elke onderneming. Laten we eens kijken naar enkele voorbeelden van SIEM-use cases.

Naleving van datanormen

SIEM-systemen verzamelen data uit eventlogs, beveiligingsinstrumenten en apparaten in de hele onderneming. Het is het perfecte hulpmiddel bij het genereren van rapporten over naleving en regelgeving.

Hier zijn enkele voorbeelden:

• AVG: De Algemene Verordening Gegevensbescherming (AVG) is door de Europese Unie (EU) uitgevaardigd om de persoonsgegevens van EU-burgers te beschermen.
• HIPAA: De Health Insurance Portability and Accountability Act (HIPAA) werd door de Amerikaanse wetgever uitgevaardigd om gevoelige gezondheidsinformatie van patiënten te beschermen.
• PCI: Payment Card Industry Data Security Standard (PCI DSS) is een norm voor informatiebeveiliging die door de grote kredietkaartmaatschappijen is opgelegd om hun klanten te beschermen.
• SOX-naleving: De Sarbanes-Oxley Act (SOX) is een Amerikaanse verordening die fraude met bedrijfsboekhouding aanpakt. Hij is van toepassing op directies van overheidsbedrijven, het management en accountantskantoren en vereist nauwkeurige rapportage over waar gevoelige informatie is opgeslagen, wie er toegang toe heeft en hoe deze wordt gebruikt.

Omdat SIEM gestructureerde toegang biedt tot loginformatie en beveiligingsgegevens in uw hele onderneming, is het mogelijk gedetailleerde rapporten op te stellen voor zowel regelgevende instanties als individuele gegevenseigenaren.

Detectie van geavanceerde beveiligingsrisico's

Zoals meer in detail besproken in de vorige paragraaf "Voorbeelden van bedreigingen die een SIEM-oplossing kan detecteren", zijn SIEM-systemen gemaakt voor het detecteren van geavanceerde beveiligingsbedreigingen. Laten we eens kijken naar enkele meer algemene voorbeelden van hoe SIEM-systemen de jacht op actieve bedreigingen ondersteunen.

• Het identificeren van anomalieën: Gedragsanalyses en eventcorrelatie kunnen anomalieën signaleren voor nader onderzoek door beveiligingsteams.
• Exfiltratie van data: Als u in vogelvlucht kunt zien hoe uw data worden gebruikt, kunt u gewaarschuwd worden voor bedreigingen van binnenuit en andere ongeoorloofde pogingen om gevoelige informatie zonder toestemming buiten uw organisatie te brengen.
• Reactie op nieuwe kwetsbaarheden: Als een nieuwe zero-day exploit of een kwetsbaarheid in een systeem wordt ontdekt, kan een SIEM-oplossing u helpen de omvang van de kwetsbaarheid snel vast te stellen, zodat u deze kunt verhelpen.
• Leren van incidenten uit het verleden: Wanneer zich een incident voordoet, kunt u snel nagaan of het al eerder is gebeurd. Ervaring uit het verleden met het probleem kan u helpen toekomstige voorvallen te voorkomen of herhaalde incidenten sneller aan te pakken.
• Informatie over bedreigingen: Intelligente detectie van aanvallen in IT-systemen door AI toe te passen op beveiligingsgegevens en logs. Patroonvergelijking van bekende aanvalshandtekeningen met historische data.
• Onderzoeken leiden: Analisten in staat stellen hypotheses te testen via dataverkenning via een SIEM-platform.

Beveiliging van IoT-implementaties

Het internet of things (IoT) bestaat als een vloot van gedistribueerde netwerkapparaten die elk hun eigen event logs in realtime doorsturen. SIEM-systemen zijn ideaal voor de beveiliging van IoT-implementaties.

• Toezicht op IoT-apparaten: IoT-apparaten zijn uitstekende doelen voor het kapen in botnets voor het uitvoeren van DDoS-aanvallen. Constante bewaking door een SIEM-systeem kan u waarschuwen voor afwijkend gedrag dat wijst op een gecompromitteerd apparaat.
• Bewaking van datastromen: IoT-apparaten communiceren vaak met elkaar via onversleutelde protocollen. Een SIEM-oplossing kan ongebruikelijke verkeerspatronen tussen knooppunten in uw IoT-netwerk detecteren en beveiligingsteams waarschuwen wanneer gevoelige informatie is gecompromitteerd.
• Toegangscontrole: Door te controleren wie wanneer toegang heeft tot uw IoT-apparaten kunt u verdachte activiteiten of verbindingen opmerken.
• Kwetsbaarheidsmanagement: Een SIEM-oplossing kan u helpen oude besturingssystemen en ongepatchte kwetsbaarheden in de IoT-apparaten in uw wagenpark op te sporen. Het kan u ook helpen bij het isoleren van apparaten met de grootste kans op aanvallen, zoals apparaten met toegangspunten tot gevoelige data of kritieke functies.

Waarin verschilt SIEM van een IDS?

Het belangrijkste verschil tussen een SIEM-systeem en een inbraakdetectiesysteem (IDS) is dat SIEM preventief is, terwijl een IDS is geoptimaliseerd om bedreigende gebeurtenissen te detecteren en te rapporteren wanneer deze zich voordoen. Hoewel beide tools waarschuwingen creëren en logs genereren, kan alleen het SIEM-systeem die logboekinformatie centraliseren en correleren over verschillende apparaten en systemen om een overzicht te krijgen van de beveiliging van uw onderneming.

Organisaties gebruiken vaak zowel SIEM als IDS samen. Het IDS zal helpen tijdens een aanval. De SIEM-oplossing neemt deze IDS-logs en maakt ze beschikbaar naast andere systeeminformatie, zodat beveiligingsteams nalevingsrapporten kunnen genereren en toekomstige aanvallen kunnen voorkomen.

SIEM vs. SOAR: Wat is het verschil?

Security orchestration, automation, and response (SOAR) is de relatieve nieuwkomer. Het breidt de mogelijkheden van SIEM uit door u ook in staat te stellen workflows voor onderzoekstrajecten te automatiseren. Dit vermindert de tijd die nodig is om waarschuwingen af te handelen.

SIEM identificeert bedreigingen door informatie uit verschillende bronnen, waaronder firewalls, toepassingen, servers en apparaten, met elkaar in verband te brengen. De SIEM-oplossing zal proberen het beveiligingsteam de meest relevante informatie te verstrekken met suggesties voor herstel, maar het is aan het beveiligingsteam om de bron van een potentiële bedreiging op te sporen en te herstellen.

Het SOAR-platform doet dat allemaal en meer door de extra stap te nemen om het onderzoekstraject te automatiseren. Het gaat verder dan het simpelweg waarschuwen van het beveiligingsteam voor een potentiële bedreiging door AI te gebruiken om patroongedrag te leren en bedreigingen automatisch aan te pakken via orkestratie.

Gemeenschappelijke SIEM-leveranciers van cyberbeveiliging

Enkele populaire SIEM-tools op de markt zijn:

• Elastic SIEM
• SolarWinds SIEM
• Datadog
• Splunk Enterprise SIEM
• McAfee ESM
• Micro Focus ArcSight
• LogRhythm
• AT&T Cybersecurity SIEM (Formerly AlienVault USM)
• RSA NetWitness
• Netsurion EventTracker

Conclusie

Kortom, SIEM staat voor security information and event management. SIEM-tools kunnen worden gebruikt om uiteenlopende bedreigingen te detecteren en te voorkomen, waaronder code-injectie, ransomware-aanvallen en DDoS-aanvallen. Ze zijn vooral nuttig voor het opsporen van anomalieën, zoals onbevoegde toegang, verdachte inlogpogingen en ongebruikelijke datastromen. Als u een beveiligingsplatform nodig hebt dat logs uit meerdere bronnen kan verzamelen op één centrale locatie voor beveiligingsanalyse, kan een SIEM-oplossing helpen.