SIEM staat voor security information and event management. In de praktijk combineren SIEM-softwareoplossingen de voordelen van security information management (SIM) en security event management (SEM) in een alomvattende beveiligingsoplossing die in staat is om beveiligingswaarschuwingen die door uw apps en hardware worden gegenereerd, in realtime te analyseren.
SIEM verzamelt informatie uit log- en gebeurtenisgegevens die door een organisatie worden gegenereerd over haar toepassingen, beveiligingssystemen en hardware. Door gebeurtenissen te vergelijken met regels en analyse-engines kunnen SIEM-systemen beveiligingsbedreigingen in realtime opsporen en analyseren. Beter nog, alles wordt geïndexeerd voor zoekopdrachten om beveiligingsteams te helpen bij hun analyses, logbeheer en rapportage.
Ongeoorloofde toegang
Een handvol mislukte inlogpogingen is begrijpelijk. Draai dat nummer tot 100 en iemand voert waarschijnlijk een brute force-aanval uit. SIEM-software kan het gedrag van gebruikers bewaken en ongebruikelijke toegangspogingen identificeren.
Bedreigingen van binnenuit
Door het gedrag van werknemers voortdurend te volgen, kunnen SIEM-systemen zowel toevallige als kwaadaardige bedreigingen van binnenuit opsporen. Van voormalige werknemers, die hun toegangsrechten nog moeten laten intrekken, tot kwaadwillende insiders, die mogelijk proberen gevoelige informatie te stelen of te lekken, tot onopzettelijke beveiligingswijzigingen, kan SIEM-software afwijkend gedrag detecteren en dit voor analyse doorgeven aan een beveiligingsanalist.
Phishing
Phishing-aanvallen zijn bedoeld om mensen vrijwillig persoonlijke of gevoelige informatie te laten prijsgeven door zich voor te doen als een vertrouwde autoriteit. De meest voorkomende vorm van phishing zijn e-mails met schadelijke links of bijlagen van aanvallers die zich voordoen als verkopers, managers of personeel. Naast beveiligingstraining kan een SIEM-oplossing zaken detecteren als het inloggen van werknemers vanaf verdachte locaties op ongebruikelijke tijden, wat een teken kan zijn van een gecompromitteerde werknemersaccount. U kunt dat gebruikersprofiel dan vergrendelen om schade te voorkomen totdat de toegang door de werknemer kan worden bevestigd.
DoS- en DDoS-aanvallen
Denial-of-service-aanvallen (DoS) verstoren diensten door netwerken te overspoelen met voldoende verkeer om de systeembronnen vast te zetten en een crash te veroorzaken. De frequentie van dergelijke bedreigingen neemt toe vanwege het gemak waarmee botnets netwerkapparaten van onwetende gebruikers kunnen overnemen in hun eigen zwermen voor het uitvoeren van distributed denial-of-service-aanvallen (DDoS). Door de logbestanden van uw webserver te controleren, kan SIEM-software afwijkende verkeersgebeurtenissen signaleren die kunnen wijzen op een DoS- of DDoS-aanval. Als u dergelijke aanvallen in een vroeg stadium opmerkt, heeft uw beveiligingsteam tijd om zich te verdedigen en het herstel van de diensten te plannen.
Code-injectie
Code-injectie is het injecteren van kwaadaardige code in invoerkanalen aan de klantzijde, zoals online formulieren, om toegang te krijgen tot de database of systemen van een toepassing. Het meest voorkomende voorbeeld hiervan is SQL-injectie, waarbij SQL-commando's worden ingevoegd in niet-gesanitiseerde invoer, waardoor de aanvaller data rechtstreeks uit de database kan wijzigen of verwijderen. Door activiteit van webapplicaties te bewaken, is het mogelijk om afwijkende gebeurtenissen te markeren en event correlatie te gebruiken om te zien of er wijzigingen in uw systeem zijn opgetreden.
Ransomware en andere malware
Ransomware, virussen, wormen, trojans en andere soorten malware zijn software die is ontworpen om computersystemen te infiltreren en kwaadaardige programma's uit te voeren. De beste verdediging tegen dergelijke aanvallen is preventie, en SIEM-systemen bieden u de bewakingsmogelijkheden die u nodig hebt om beveiligingslogs te begrijpen, aanvalsvectoren te identificeren en afwijkend gedrag op te sporen dat tot een aanval kan leiden. Eenmaal gecompromitteerd kan SIEM u ook helpen de omvang van de schade van een malware-aanval vast te stellen, waardoor uw beveiligingsteam de informatie krijgt die het nodig heeft om het probleem op te lossen.
MITM-aanvallen
Een man-in-the-middle-aanval (MITM) is een aanval waarbij een kwaadwillende derde partij de communicatie tussen twee hosts afluistert om informatie te stelen of te manipuleren. Zodra de communicatie is onderschept, kan de aanvaller een aantal technieken toepassen, van het kapen van gebruikerssessies door het afluisteren van wachtwoordinvoer tot het injecteren van kwaadaardige pakketten in datacommunicatiestromen. Frequente verbindingen of verbroken verbindingen met onbekende locaties kunnen wijzen op een MITM-aanval, en daarom kan SIEM een hulpmiddel van onschatbare waarde zijn om afluisteraars te pakken voordat het te laat is.
SIEM-systemen vormen een kernonderdeel van de beveiligingsinfrastructuur van elke onderneming. Laten we eens kijken naar enkele voorbeelden van SIEM-use cases.
Naleving van datanormen
SIEM-systemen verzamelen data uit eventlogs, beveiligingsinstrumenten en apparaten in de hele onderneming. Het is het perfecte hulpmiddel bij het genereren van rapporten over naleving en regelgeving.
Hier zijn enkele voorbeelden:
Omdat SIEM gestructureerde toegang biedt tot loginformatie en beveiligingsgegevens in uw hele onderneming, is het mogelijk gedetailleerde rapporten op te stellen voor zowel regelgevende instanties als individuele gegevenseigenaren.
Detectie van geavanceerde beveiligingsrisico's
Zoals meer in detail besproken in de vorige paragraaf "Voorbeelden van bedreigingen die een SIEM-oplossing kan detecteren", zijn SIEM-systemen gemaakt voor het detecteren van geavanceerde beveiligingsbedreigingen. Laten we eens kijken naar enkele meer algemene voorbeelden van hoe SIEM-systemen de jacht op actieve bedreigingen ondersteunen.
Beveiliging van IoT-implementaties
Het internet of things (IoT) bestaat als een vloot van gedistribueerde netwerkapparaten die elk hun eigen event logs in realtime doorsturen. SIEM-systemen zijn ideaal voor de beveiliging van IoT-implementaties.
Het belangrijkste verschil tussen een SIEM-systeem en een inbraakdetectiesysteem (IDS) is dat SIEM preventief is, terwijl een IDS is geoptimaliseerd om bedreigende gebeurtenissen te detecteren en te rapporteren wanneer deze zich voordoen. Hoewel beide tools waarschuwingen creëren en logs genereren, kan alleen het SIEM-systeem die logboekinformatie centraliseren en correleren over verschillende apparaten en systemen om een overzicht te krijgen van de beveiliging van uw onderneming.
Organisaties gebruiken vaak zowel SIEM als IDS samen. Het IDS zal helpen tijdens een aanval. De SIEM-oplossing neemt deze IDS-logs en maakt ze beschikbaar naast andere systeeminformatie, zodat beveiligingsteams nalevingsrapporten kunnen genereren en toekomstige aanvallen kunnen voorkomen.
Security orchestration, automation, and response (SOAR) is de relatieve nieuwkomer. Het breidt de mogelijkheden van SIEM uit door u ook in staat te stellen workflows voor onderzoekstrajecten te automatiseren. Dit vermindert de tijd die nodig is om waarschuwingen af te handelen.
SIEM identificeert bedreigingen door informatie uit verschillende bronnen, waaronder firewalls, toepassingen, servers en apparaten, met elkaar in verband te brengen. De SIEM-oplossing zal proberen het beveiligingsteam de meest relevante informatie te verstrekken met suggesties voor herstel, maar het is aan het beveiligingsteam om de bron van een potentiële bedreiging op te sporen en te herstellen.
Het SOAR-platform doet dat allemaal en meer door de extra stap te nemen om het onderzoekstraject te automatiseren. Het gaat verder dan het simpelweg waarschuwen van het beveiligingsteam voor een potentiële bedreiging door AI te gebruiken om patroongedrag te leren en bedreigingen automatisch aan te pakken via orkestratie.
Enkele populaire SIEM-tools op de markt zijn:
Kortom, SIEM staat voor security information and event management. SIEM-tools kunnen worden gebruikt om uiteenlopende bedreigingen te detecteren en te voorkomen, waaronder code-injectie, ransomware-aanvallen en DDoS-aanvallen. Ze zijn vooral nuttig voor het opsporen van anomalieën, zoals onbevoegde toegang, verdachte inlogpogingen en ongebruikelijke datastromen. Als u een beveiligingsplatform nodig hebt dat logs uit meerdere bronnen kan verzamelen op één centrale locatie voor beveiligingsanalyse, kan een SIEM-oplossing helpen.
Hebt u een vraag of opmerking over Pure-producten of certificeringen? Wij zijn er om te helpen.
Plan een livedemo in en zie zelf hoe Pure kan helpen om jouw data in krachtige resultaten om te zetten.
Bel ons: 31 (0) 20-201-49-65
Media: pr@purestorage.com
Pure Storage
Herikerbergweg 292
1101 CT . Amsterdam Zuidoost
The Netherlands