Effectief incidentmanagement SIEM en SOMM van LogRhythm

Opschalen naar meer logdatasources zonder meerkosten binnen driejarig abonnement

Een kwart eeuw geleden maakte vooral de jeugd zich schuldig aan het inbreken op simpele websites. De gevolgen van hun daden waren soms hinderlijk, maar zelden dramatisch. Sander Bakker startte zijn IT-loopbaan in de bloeitijd van de ’scriptkiddies’. Inmiddels wordt hij als Sales Manager Northern Europe van LogRhythm dagelijks geconfronteerd met voorbeelden van inbraken in IT-systemen met een volstrekt onwenselijke impact op ons economisch en maatschappelijk bestel. SIEM en SOMM zijn de instrumenten die hij te bieden heeft om incidenten rond de IT-infrastructuur sneller en beter inzichtelijk te maken.

Terwijl het installeren van een SIEM (Security Information en Event Management-tool) voornamelijk bestaat uit een technische handeling, ligt bij SOMM de focus op organisatorische inspanningen. ”De techniek alleen volstaat niet langer in cybersecurity. De situatie is te complex geworden”, zegt Sander Bakker. ”Wij krijgen vaak vragen van bedrijven die een SIEM hebben laten inrichten. Eenmaal operationeel hebben ze het idee er niet alles uit te halen; ze gebruiken maar een beperkt deel van de functionaliteit. SOMM staat voor Security Operations Maturity Model. Samen met de klant stellen we vast waar ze nu op securitygebied staan en waar ze naartoe willen. Het model biedt een roadmap die inzichtelijk maakt in welke stadia je welke stappen moet ondernemen. Soms is een SIEM niet direct nodig, maar kan men beter eerst aan de gang gaan met bijvoorbeeld patchmanagement of vulnerability management.” 

Tarief na drie jaar omhoog of omlaag

De ervaring met de organisatorische aspecten bracht LogRhythm tot een andere oplossing voor de tariefstelling van de SIEM-functies. Bakker spreekt van een ’game changer’. Met behulp van SOMM wordt snel duidelijk hoeveel en welke logsources een organisatie moet raadplegen om voldoende data binnen te halen om analyses te kunnen doen voor de gewenste SIEM-functionaliteit. Voorheen ging de rekening omhoog naarmate operationeel meer logsources werden raad gepleegd en dus meer data werd verzameld. Nu wordt een abonnement afgesloten met een vast tarief voor een periode van drie jaar voor het binnenhalen van een onbeperkte hoeveelheid data. Gedurende die periode kan een SIEM-gebruiker dus eenvoudig opschalen zonder daarvoor nog een keer de portemonnee te moeten trekken. Na afloop van de abonnementsperiode volgt een evaluatie. Aan de hand daarvan wordt bepaald of bij het vernieuwen van het abonnement de prijs omhoog dan wel omlaag wordt bijgesteld.    

Vaststellen van prioriteit aan de hand van risicoscore

LogRhythm is in 2003 opgericht in Boulder in de Amerikaanse staat Colorado. Oplossingen voor eventmanagement en logmanagement vormden in eerste instantie de belangrijkste inkomstenbron van het bedrijf. Met betere workflows moest het mogelijk zijn om het beveiligingspersoneel in een Security Operating Center (SOC) sneller en alerter te laten reageren. Bovenop die kernapplicatie is later de analyse-oplossing geplaatst en zijn de manuele taken rondom het bijhouden en reageren op alerts in hoge mate geautomatiseerd.  Bakker: “Niet alle meldingen duiden op bedreigingen. Je moet de prioriteiten bij het reageren op de bedreiging bepalen aan de hand van een score op een schaal van 0 tot 100 voor wat betreft de risico’s. Als iemand veel pagina’s print, hoeft dat niet direct verdacht te zijn. Maar bij het veelvuldig raadplegen van vertrouwelijke data ligt de risicoscore beduidend hoger. De IT-infrastructuur van een bedrijf omvat uiteenlopende systemen met verschillende management-interfaces die een overvloed aan informatie leveren. In de SIEM-oplossing wordt die informatie geclassificeerd en wordt er context aan toegevoegd zoals gegevens van gebruikers met diverse identiteiten op het netwerk of geodata met locatiegegevens.

Aan de hand van een set van regels stel je vast hoe een bedreiging eruitziet. Op die manier ontstaat een use case met een gedragsprofiel van een gebruiker en weet je wat normaal is en wat niet. Aan de hand van de loggegevens verifieer je het gedrag. Bijvoorbeeld: iemand komt met een toegangspas een gebouw binnen en logt in op het systeem. Tot dusver misschien heel normaal. Maar dan zet deze persoon tegelijkertijd een VPN-verbinding op vanuit China naar het interne netwerk. Door het leggen van de correlaties, constateer je dat dit gedrag vreemd is.”    

False positives versus false negatives

Het analyseren van netwerkverkeer is ook een belangrijke functie van een SIEM-voorziening. Network Sensors – genaamd Netmon – sturen netwerkverkeer-analyses naar het centrale SIEM. Gecombineerd met data van endpoints, eindgebruikers en de cloud onstaat een compleet beeld voor security-analisten. De rapporterende data van 850 verschillende IT-vendoren resulteren in 600.000 te classificeren logberichten. Het overgrote deel bestaat uit ’false positives’ – het lijken dreigingen, maar dat zijn het niet. Toch moet je daarvan volgens Bakker zoveel mogelijk onder ogen krijgen om ’false negatives’ uit te kunnen sluiten. Het gaat om meldingen over bedreigingen die als zodanig niet zijn herkend – ze zijn over het hoofd gezien. Automatisering van het filterproces en machine learning-technologie, aangevuld met onder andere statistische analyse, histogrammen, trending en black- en whitelisting, zijn onmisbaar om binnen een acceptabele doorlooptijd uit de overdosis data de relevante gegevens over zwakheden en bedreigingen te halen. Het SIEM-platform van LogRhythm heeft een filtercapaciteit van meer dan 300.000 berichten per seconde. Bovendien functioneert het platform prima in een OT-omgeving, waar de logdata van Scada en andere ICS-oplossingen via de gangbare industriële protocollen naar binnen worden gehaald.

Signaleren is één ding, reageren iets geheel anders. Ook daarvoor bevat SIEM de nodige scenario’s, die zijn samengevoegd in een draaiboek met procedures, afgestemd op de bedrijfssituatie bij de klant. In een OT-omgeving zal het systeembeheer eerst de plantmanager raadplegen alvorens het netwerk uit de lucht te halen. Indien ransomware wordt waargenomen, gaan direct alle alarmbellen af om de schade zoveel mogelijk te beperken. Voor elke dreigingsvorm is casemanagement opgesteld die beschrijft hoe te reageren onder welke omstandigheden. Audit trails en compliancy checks vullen de veelzijdige SIEM-functionaliteit aan. De security-oplossing is af te nemen als een on-premise geleverde appliance, als managed service via partnerbedrijven, of uit de cloud, bijvoorbeeld via Amazone. De bedrijfseigen LogRhythm Cloud is ondergebracht bij Google via datacenters in Duitsland, het Verenigd Koninkrijk en de Verenigde Staten.  Ondanks de intensieve contacten die het bedrijf uit Colorado heeft met eindafnemers, gaat de levering van alle producten en diensten altijd via het distributiepartnerkanaal.