SIEM-oplossingen leveren vaak niet de mate van extra bescherming op die wordt beloofd. De voornaamste oorzaken hiervan hebben we voor u op een rijtje gezet:

1.       IT-security is niet sexy
2.       SIEM-implementaties zijn complex
3.       (Bijna) alle IT-componenten zijn nodig
4.       Talent is schaars
5.       Alles is in beweging

1.       IT-security is niet sexy

Waar veel medewerkers IT over het algemeen al niet sexy vinden, geldt dit in overtreffende trap voor de beveiligingsaspecten van IT. Iedereen beschouwt veilige en betrouwbare IT als iets vanzelfsprekends, maar dat is het zeker niet. Bedrijven zien beveiliging van hun producten vaak als een sluitpost of hebben er helemaal geen budget en tijd voor ingeruimd. Pas wanneer misbruik van hun producten plaatsvindt en het mes hen op de keel wordt gezet, zijn ze bereid er iets aan te doen. Security by design is geen gemeengoed in een wereld waar een korte time-to-market meer winst betekent. Ook tijdens het implementeren van interne projecten bij onze klanten zien we vaak dat IT-beveiliging een ondergeschoven kindje is. Men is pas bereid tijd en moeite te spenderen wanneer dit hard wordt afgedwongen door beveiligingsbeleid en alerte security-officers.

2.       SIEM-implementaties zijn complex

Het implementeren van een Security Information & Event Management (SIEM)-oplossing is complex en kostbaar en vraagt een stevig doorzettingsvermogen van alle betrokkenen. Het traject vereist zeer specifieke expertise en een stevig mandaat vanuit het hogere management. Vaak zie je dat de implementatie van SIEM-oplossingen vanuit de IT-afdelingen zelf wordt geïnitieerd, wat meestal leidt tot onvoldoende mandaat, budget, tijd, en een tekort aan medewerking om dit op een zinvolle wijze te kunnen doen. Ook is er onvoldoende bereidheid om de uit de SIEM-oplossing voortvloeiende veiligheidsmeldingen op te volgen.

3.       (Bijna) alle IT-componenten zijn nodig

Waar je bij de implementatie van een bedrijfsapplicatie rekening dient te houden met één applicatie, een of enkele databases en een handje vol (virtuele) servers, moet bij een SIEM-implementatie bijna elke IT-component in de organisatie (en mogelijk daarbuiten)  worden betrokken. Signalen over potentieel misbruik van uw IT-middelen kunnen zich op allerlei niveaus in uw bedrijf manifesteren. Van diep in uw netwerk tot ergens verscholen in de miljoenen regels van uw applicatielogfiles. SOC-analisten zijn daarom op zoek naar die ene speld in honderden hooibergen om nu net die belangrijke logregel eruit te filteren die hen op het spoor kan zetten van de hacker die het op uw bedrijf heeft voorzien!

Daarnaast dient met een groot aantal mensen afstemming te worden bereikt over wat wordt aangesloten, hoe dit te realiseren en waarop – qua beveiligingssignalen – door het SOC moet worden gelet. Waar zitten de grootste risico’s in uw bedrijfsprocessen en hoe vertaalt dit zich naar meldingen, logbronnen en runbook? Wie is nodig voor het beperken van de gevolgschade als deze risico’s zich onverhoopt voordoen en welk mandaat hebben betrokkenen dan om deze taak effectief uit te kunnen voeren? Hoe werkt dit ’s nachts en in het weekend? Hebben zij dan de juiste informatie en middelen om de nodige maatregelen te kunnen treffen?

4.       Talent is schaars

IT-talent is schaars, maar IT-beveiligingstalent is nog veel schaarser! Wie heeft zijn zoon of dochter ooit enthousiast horen zeggen dat hij/zij later IT-beveiligingsspecialist wil worden? In een SOC zijn – mede dankzij de non-stop aard van het werk – veel hoogopgeleide IT-securityspecialisten nodig. Voor het implementeren van SIEM-oplossingen moeten zij diepgaande kennis van de geselecteerde SIEM-oplossing hebben, gecombineerd met goede vaardigheden om de broodnodige communicatie met alle belanghebbenden in goede banen te leiden; een schaarse combinatie van karaktereigenschappen in het IT-landschap!

Het vinden van goed SOC-personeel is een bijzonder grote uitdaging, hen blijven boeien en aan je organisatie binden vereist een zorgvuldig geplande en uiterst noodzakelijke aanpak. Deze specialisten verwachten uitstekende apparatuur en software, uitdaging in hun werk, excellente arbeidsvoorwaarden en voortdurende verrijking van hun kennis en kunde. Regelmatig bezoek aan seminars en beurzen en de mogelijkheid tot het volgen van specialistische trainingen en opleidingen horen daar vanzelfsprekend bij.

5.       Alles is in beweging

Kennis en kunde zijn snel achterhaald in de IT-beveiligingswereld. Medewerkers moeten zich voortdurend bijscholen. Voor SOC-analisten en SIEM-specialisten komt daar nog eens bij dat hackers hun werkwijze en manier van aanvallen continu aanpassen. Dagelijks worden nieuwe zero-days ontdekt waarvoor de SIEM-specialisten onmiddellijk nieuwe detectiefilters moeten ontwikkelen en toepassen.

Steeds meer buitenlandse mogendheden zien een cyberoorlog als een reële manier van aanvallen, cyberbedrijfsspionage neemt hand over hand toe, om van cybercriminaliteit nog maar te zwijgen. De af te weren aanvallen worden steeds serieuzer en de bedrijfsbelangen van de in IT-systemen opgeslagen informatie worden steeds groter.

Daarnaast is het beschermen van IT-systemen een bijzonder oneerlijke strijd: de IT-specialisten moeten een groot aantal verschillende typen informatiesystemen met honderdduizenden potentiële bugs veilig zien te houden, terwijl de hacker maar één of enkele kwetsbaarheden in uw IT-landschap hoeft te vinden om uw netwerk binnen te dringen om zijn doelen te verwezenlijken.

Conclusie

Al met al geen geruststellend verhaal. Uiteraard is Navaio graag bereid u bij deze uitdagingen bij te staan. Navaio implementeert Security Operation Centers (SOC’s) en helpt het rendement van bestaande SOC’s en de daarvoor geïmplementeerde SIEM-oplossingen te optimaliseren. Onze SOC/SIEM-specialisten hebben ruime ervaring bij het inrichten van SOC- en SIEM-omgevingen en kunnen u helpen de door hen geconstateerde valkuilen te vermijden.