Security Information and Event Management (SIEM)

Beveiliging is de laatste jaren een essentieel onderdeel geworden van automatiseringsprojecten Ė zodanig dat firewalls en paswoorden niet meer weg te denken zijn. Maar dat betekent nog niet dat de installatie ook effectief bewaakt wordt tegen mogelijke indringers met kwade bedoelingen. Dat soort bewaking is het vakgebied van Security Information and Event Management (SIEM).

Het installeren van een firewall is zoals het plaatsen van een hoog hek rond het perceel waarop uw woning staat. In principe mag u er van uitgaan dat het ongenodigde gasten zal buitenhouden maar of het dat ook effectief doet, weet u eigenlijk niet.

De situatie wordt nog moeilijker wanneer er in dat hek Ė zoals in een firewall Ė een poortje is met een code om bevoegde personen toch toegang te geven. In veel gevallen weet u dan niet eens hoe het slot op dat poortje werkt en kan u dus ook niet inschatten wie het eventueel kan omzeilen.

Een mogelijke oplossing hiervoor is een bijkomende bewaking, bijvoorbeeld door een camera te plaatsen die gericht is op het poortje. U zou dan permanent de videobeelden in de gaten kunnen houden, of, wat allicht eenvoudiger is, het systeem zo instellen dat u een signaal krijgt wanneer de camera aan het poortje beweging detecteert. En zelfs als u de beveiliging niet in real-time wil opvolgen zouden de opnames alvast kunnen helpen om nadien de snoodaard te vatten indien op zeker moment een inbraak wordt vastgesteld.

Verzamelen en analyseren van data

Dit alles om maar te schetsen waar het om gaat bij Security Information and Event Management (SIEM). De term op zich bestaat in de IT-wereld al meer dan tien jaar en ook daarvoor bestonden Security Information Management (SIM) en Security Event Management (SEM) al als aparte oplossingen.

Maar de laatste tijd wordt de term ook steeds meer aangehaald in het kader van beveiliging van industriŽle IT. Al was het maar omdat de grote aanbieders van dergelijke oplossingen, zoals Splunk, LogRhythm en IBM, dankzij de digitalisering in de industrie een nieuwe markt zien. Op vakbeurzen zoals de Hannover Messe zie je dan ook dat ze steeds nadrukkelijker aanwezig zijn.

Waar het bij SIEM voornamelijk om gaat is het verzamelen en analyseren van alle aan security gerelateerde data die zowel door de hardware als de software in een netwerk gegenereerd wordt. In het geval van SIM gaat het dan vooral om logbestanden met historische data terwijl SEM focust op real-time alerts.

Zoals de combinatie van SEM en SIM in SIEM doet vermoeden is het onderscheid tussen beide in wezen steeds minder relevant. Waar het vooral om gaat is het verzamelen van de relevante data. Of die dan in real-time of achteraf geanalyseerd wordt, is meer een kwestie van het vereiste beveiligingsniveau dan van de technologie op zich.

Logbestanden van firewalls en paswoordbeveiligingen

Om dit alles wat concreter te maken: in de analogie met het hek en het poortje zouden de beelden van de camera en het signaal van de bewegingsdetectie beheerd worden in het SIEM. Net als het logbestand van de codelezer aan het poortje.

In IT-netwerken gaat het typisch om de logbestanden van firewalls en de paswoordbeveiligingen. Het SIEM kan deze Ė al dan niet in real-time Ė analyseren om ongeoorloofde toegang of pogingen daartoe te analyseren.

Dat is een belangrijke aanvulling op de beveiliging Ė deels omdat de doeltreffendheid ervan bewaakt kan worden maar ook omdat die verhoogd kan worden.

Wanneer een SIEM bijvoorbeeld een abnormaal aantal mislukte login pogingen zou detecteren, kan het systeem ook nagaan of die poging uiteindelijk toch gelukt is. Een real-time toepassing van SIEM zou het bijhorende IP-adres meteen ook kunnen blokkeren in de firewall zodat het de indringer een stuk lastiger gemaakt wordt.

Softwarepakket en service

De echte kracht van SIEM zit echter niet in het beheren van de typische security aspecten alleen, maar in het analyseren van bijkomende gegevens die relevant kunnen zijn voor de beveiliging. Een toename in de belasting van CPUís in een netwerk zou bijvoorbeeld kunnen wijzen op de aanwezigheid van malware.

Op een netwerk kan zowel de hoeveelheid data als de aard van de communicatie bewaakt worden. Zodra er dan communicatie plaatsvindt die niet overeenkomt met het verwachtingspatroon kan dit verder geanalyseerd worden.

Een SIEM kan ook de configuratie van het beveiligingssysteem zelf bewaken. Wijzigingen in die configuratie zouden immers grote consequenties kunnen hebben voor de doeltreffendheid van de beveiliging en zouden wel eens met die reden aangebracht kunnen zijn.

In de praktijk bestaat SIEM dus uit een hele reeks tools om data te analyseren en dashboards om de conclusies al dan niet in real-time te visualiseren. De aangeboden oplossingen kunnen zowel een softwarepakket zijn als een service.

© Productivity.be


Feel free to share


Productivity.be

is een publicatie van
Redactiebureau ConScript

Contact

Erwin Vanvuchelen
+32 (0)475 64 99 34
erwin@conscript.be
erwinvanvuchelen