Als winkeldeuren goed beveiligd zijn, de kledingstukken allemaal aan het rek vastzitten of achter slot en grendel van de vitrinekast worden bewaard, wordt er niks gestolen. Zo zijn veel security specialisten van mening dat preventieve maatregelen afdoende zijn om cybercriminelen buiten de deur te houden. Kort door de bocht gezegd, als een document of andere bron van informatie versleuteld is en enkel toegankelijk is voor de gewenste gebruikers, dan zou er niks mis kunnen gaan. In theorie ongetwijfeld waar. Helaas is de praktijk weerbarstiger.
Diezelfde praktijk wordt nog complexer met alle technologische veranderingen in ons vooruitzicht. Onze wens om informatie met alles en iedereen te delen groeit alleen maar. Bring your own Device en Internet of Things maken het er ook niet makkelijker op. Risico-analyses in deze nieuwe omgevingen laten zien dat er steeds nieuwe dreigingsactoren bijkomen. Deze actoren genereren dus weer andere veiligheidsrisico’s.
In de goed beveiligde winkel kan het zomaar gebeuren dat de dreiging van binnen komt. Een kwaadwillende medewerker kent ongetwijfeld allerlei listige manieren om te stelen. Mede om die reden kiest de winkelier dus niet alleen voor preventieve maatregelen, maar ook voor acties om criminaliteit op te sporen. Denk aan camera’s, bewakers, kledingbeveiliging en detectiepoortjes. Kortom, preventie is niet genoeg. Dat gaat hand in hand met detectie.
Security Information and Event Management (SIEM) lijkt de uitkomst. Deze monitoring software helpt cyberaanvallen te detecteren en de aanvallen vervolgens af te slaan. Veel security experts positioneren SIEM als het walhalla. Ofwel de ‘holy grail’ voor optimale detectie. Tegelijkertijd gaan er stemmen op die zeggen dat SIEM implementaties falen of uiteindelijk veel te duur zijn. De waarheid is sterk afhankelijk van het gebruik en aansluiting bij de organisatie.
Zo blijkt dat organisaties vaak weinig geduld hebben bij de implementatie van SIEM en moeite hebben met het beheer ervan. Op zich begrijpelijk want de urgentie om op te sporen is hoog. Alle aandacht gaat uit naar de SIEM applicatie en niet naar het doel van detectie en monitoren. Er worden geen incident response processen bepaald. Dus een incident wordt opgemerkt, maar men weet niet hoe onderzoek te doen. En het is veelal onbekend wie vanuit de business eindverantwoordelijk is voor de applicaties.
Een aanvaller heeft wel veel geduld. Soms blijkt dat hackers al vijf jaar rondneuzen in een bepaald computersysteem van een organisatie. Dat betekent dat de organisatie en haar Security Operations Center (SOC) zelf ook het geduld zou moeten hebben om beleid en maatregelen op het gebied van detectie, monitoringtools, processen en personeel te ontwikkelen. En voortdurend bij te sturen. Het continue blijven verbeteren is echter alleen mogelijk in een volwassen organisatie die hun security intelligentie toepassen als een soort vaccinatie. Eerst ent je de organisatie in met een kleine gecontroleerde injectie van ‘ziektes’ zoals red teaming en responsible disclosure. Vervolgens bouw je de weerstand verder op tegen de ongecontroleerde aanvallen van buitenaf.
Kortom, geduld is een schone zaak! Er is nog meer dat bijdraagt aan een succesvolle inzet van SIEM. Zorg voor de uitvoering van een gedegen risico-analyse. Het incident respons proces wordt vastgelegd waarbij helder is wie verantwoordelijk is voor welke applicaties en bedrijfsprocessen. Uiteraard met toevoeging van externe betrokkenen zoals technologieleveranciers en serviceproviders.
Zorg vervolgens ook voor de bouw van een Security Intelligence database en het toepassen van Security Intelligence. Dat kan met eigen onderzoek van beheerders en analisten of pentesters die detectieve maatregelen testen (red & blue teaming). Hun Modus Operandi kan verwerkt worden in een Security Intelligence database. Tenslotte dragen ‘Indicators of Compromise’ en dreigings-informatie van derde partijen ook bij. Dit alles in combinatie met eindeloos geduld helpt je goed op weg voor zowel een preventief als detectief security beleid!
Door Ilse van Werkhoven, security specialist bij Sogeti
