SIEM is oud nieuws: Lang leve de Next-Generation SIEM

SIEM (Security Information and Event Management) beloofde voor veel bedrijven de ultieme oplossing te zijn. Een alarmsysteem dat alleen logs hoefde te verzamelen en, met een kleine configuratie, alarm zou slaan zodra een aanvaller probeerde met de gegevens te knoeien. Hoe meer logs verzameld, hoe duidelijker het beeld zou zijn, aldus de belofte. We joegen dit idee achterna, verzamelden steeds meer logs, maar belandden in een spiraal van meer logs, meer human resources, meer applicatiemonitoring, nieuwe zogenaamde use cases, met als eindresultaat: Chaos.

Als u tevreden bent met uw SIEM, voert u het niet goed uit. Dat is de waarheid. Niet alleen zijn de toenemende kosten van steeds meer extra logbronnen een aanhoudende aanslag op de budgetten, maar de werking is niet langer bevredigend. Rick Ferguson, een erkende beveiligingsspecialist, daagde 1.736 SOC-analisten uit om alle waarschuwingen van een bedrijf af te handelen. Het is een eenvoudige berekening: Laten we aannemen dat er slechts 100 alarmen per dag plaatsvinden in een SIEM. De meeste hiervan zijn valse positieven. Dat laat misschien 20 over die moeten worden onderzocht. Elk duurt dan tussen de uren en soms zelfs dagen om volledig te worden geanalyseerd. Een SIEM zoals we die kennen is dus niet effectief. Zelfs een managed service verandert daar niets aan. SIEM is oud nieuws.

Dus, wat hebben we verkeerd gedaan? Veel! Zo probeerden we een technologie uit de millenniumwisseling toe te passen op moderne dynamische IT-processen. Dat is net zoiets als met pijl en boog een auto proberen te stoppen bij 200 km/u. Ten tweede hebben we te weinig nagedacht over wat het doel van een SIEM zou moeten zijn, en dat terwijl de processen altijd maar bleven doordraaien.

Dus wat te doen? We moeten heroverwegen. Welke use cases zijn er echt nodig? Meer dan 90% van de succesvolle inbraken gebruiken geldige gebruikersnamen en wachtwoorden. Deze aanvallen kunnen alleen worden tegengegaan met anomaliedetectie die automatisch en dynamisch leert. We moeten ons dus afvragen hoe geschikt onze SIEM is tegen Insider Threats en Compromised Credentials. Verder zijn er goed geoefende workflows nodig die pas beginnen wanneer traditionele SIEM-oplossingen denken dat ze hun werk hebben gedaan. Welke context is er nodig, hoe krijgen we snel informatie over de omvang van de aanval, welke tegenmaatregelen, etc.? We hebben dus use cases nodig die van begin tot eind worden gedefinieerd en niet de SOC-analist voorafgaand in het proces al in de steek laten.

Nu is het de vraag of een bestaande SIEM nog relevant is, en aan vervanging toe is. Het hangt af van welke taken de bestaande SIEM heeft. Als daar alle compliance regels in kaart worden gebracht, als IT-operationsprocessen erdoor worden ondersteund, dan zou u de geïnstalleerde SIEM kunnen laten staan, maar aanvullen met moderne technologieën die precies gespecialiseerd zijn in de hierboven beschreven voordelen. Modernisering is in ieder geval nodig om de dynamische IT-processen bij te benen. Met vervanging of modernisering is uw SIEM dan weer geschikt voor het heden en de toekomst. Lang leve de next-generation SIEM!

Dus, wat wilt u bereiken? U wilt aanvallen op data en infrastructuur automatisch detecteren, analyseren en ook direct tegenmaatregelen nemen. Volgens de definitie van Gartner is dit een XDR-oplossing (Extended Detection and Response). Maar kijk uit! Slechts een paar leveranciers, zoals Exabeam, kunnen loggegevens van andere vendor oplossingen op dezelfde manier verwerken en deze automatisch analyseren. Een zogenaamde ‘vendor lock-in’ moet daarom koste wat kost worden vermeden. Dus SIEM is Open-XDR geworden, net zoals Anti-Virus EDR is geworden. SIEM is dood!

Lees hier meer over hoe Exabeam beveiligingsteams helpt de kansen te slim af te zijn door intelligentie toe te voegen aan hun bestaande beveiligingstools met analyse en automatisering, of neem contact op met onze Exclusive Networks accountmanager.

Exabeam