Security Monitoring: Licht in de duisternis!

Security Monitoring

Het doel van security monitoring is. Het creëren van inzicht en de mogelijkheid om te sturen op basis van deze informatie. Een andere motivatie kan zijn, om de tijd tussen een aanval en het detecteren hiervan te reduceren.

Wat een organisatie zich altijd moet afvragen is willen wij iets bouwen of kopen? Een mogelijke gewetensvraag daarna is. Zijn wij in staat om iets zelf te bouwen en te onderhouden? De meeste organisaties in Nederland zijn uniek in wat ze doen. Maar hun infrastructuur is dat meestal niet.

Complexiteit

Veel organisaties zijn al eens in aanraking geweest met het onderwerp security monitoring. Vaak als verbeterpunt na een incident. Maar ook regelmatig als logische vervolgstap. In de reis naar een volwassen aanpak omtrent informatiebeveiliging. Meestal begint dit met het uitzoeken van een SIEM (security information and event management) systeem. Een oplossing die data van verschillende platformen en componenten bij elkaar kan brengen. Zodat hier intelligente “Use Cases” mee bedacht kunnen worden. Die u alarmeren bij overschrijden drempelwaarden. Veel organisaties lopen hierbij echter vast. Omdat het merendeel van de SIEM-systemen een complexe infrastructuur vereisen met vaak één of meerdere (virtuele) servers.

Het Kasteel

Heeft een organisatie eenmaal een keuze gemaakt voor een platform. Dan begint de implementatie. De benodigde servers zijn opgeleverd en de installatie begint. De SIEM is vaak binnen een aantal uur operationeel. Waarna gestart kan worden met het aansluiten van de databronnen. In de meeste gevallen wordt er vanuit de techniek gestart. Firewalls, domain controllers, DNS & DHCP servers worden aangesloten. Alles wat zich binnen de spreekwoordelijke kasteelmuren bevindt. Andere vestigingen, generieke servers en werkplekken worden vaak overgeslagen. Omdat het complex en kostbaar is om deze allemaal aan te sluiten. Zeker de werkplekken want deze kunnen zich overal bevinden zowel binnen het kasteel als daarbuiten.  Daardoor dient er nagedacht te worden over ontsluiting via het internet met mogelijk alle risico’s van dien.

Use Cases

Nu alles is aangesloten en de data in het platform zit, kunnen de use cases worden ingericht de daadwerkelijke output van security monitoring. Hier begint vaak het moeilijkste traject voor organisaties. Waar gaan we naar kijken? Wat vinden we nu echt belangrijk? De meeste organisaties weten het zelf niet zo goed. Om organisaties op weg te helpen hebben SIEM systemen vaak voor gedefinieerde use cases. Deze dienen echter wel op de organisatie te worden afgestemd. Dit is vaak tijdrovend en introduceert de kans op fouten. Een foutje in de zogeheten search query zorgt er regelmatig voor dat de use case niet werkt en u terug bij af bent. Kortom een intensief en tijdrovend proces.

Wat doen wij anders?

Bij ons heeft u als organisatie altijd de keuze tussen een product of een dienstverlening. Wij nemen de operationele verantwoordelijkheid van het platform op ons. Maar voeren ook de analyse uit van de gerapporteerde incidenten en sturen uw organisatie aan voor de benodigde opvolging.

Wij gebruiken een cloud platform dat ondergebracht is bij Amazon (Frankfurt). Hierdoor reduceren wij de complexiteit drastisch. Wij hebben normaliter aan één virtuele server voldoende, om de lokale databronnen en de gehele infrastructuur inclusief buitenlocaties, generieke servers en werkplekken te monitoren. Dankzij het cloud platform en de bijbehorende software agent ontvangen wij ook data van de werkplekken, indien deze zich buiten uw spreekwoordelijke kasteel bevinden.

We starten altijd met een standaard set aan use cases. Dankzij de opzet van het platform kunnen wij de kwaliteit borgen ook indien aanpassingen noodzakelijk zijn. Dit komt doordat wij niet de use case modificeren maar de melding onderdrukken. Dit geeft ons de ruimte, om gezamenlijk te bepalen of er nog additionele use cases wenselijk zijn.

Ook de implementatie tijd van onze oplossing is significant korter. Normaliter sluiten wij een volledige omgeving binnen een week aan en zijn we binnen een week of twee volledig operationeel. Inclusief de benodigde aanpassingen op de use cases.

Meer weten over security monitoring?

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Auteur:Maikel Roolvink

Manager Security Operations