What is SIEM | UEBA?

Wat is een
SIEM?

Security Information and Event Management (SIEM)

Security Monitoring is een samenspel van mensen, processen en techniek. In een Security Operations Center hebben we techniek nodig om zichtbaar te maken wat er in een IT-security omgeving gebeurt. Daarna hebben we security analisten nodig om gebeurtenissen te analyseren en om indien noodzakelijk eventueel onmiddelijk actie te ondernemen. De meest gebruikte techniek hiervoor is een Security Information and Event Management (SIEM) hetgeen tegenwoordig vaak in combinatie met en als de basis van geavanceerde User Entity and Behavior Analytics (UEBA) software wordt gebruikt.

SIEM oplossingen

Security Information and Event Management (SIEM) helpt u om de gebeurtenissen die uw aandacht vereisen te vinden en brengt de informatiebeveiliging van uw organisatie naar een hoger niveau.

Door data (log-bestanden) van meerdere bronnen, waaronder bijvoorbeeld firewalls, servers, PC’s, switches en antivirus-systemen met elkaar te correleren, brengt een SIEM-systeem incidenten aan het licht die door afzonderlijke securityoplossingen, of het menselijk oog, al snel over het hoofd worden gezien. SIEM helpt u om de maximale capaciteit uit uw beveiliging te halen en de kans op een incident significant te verkleinen.

SIEM maakt het proces van opsporen vele malen efficiënter. Met SIEM detecteert en analyseert u incidenten in een zeer kort tijdsbestek en ziet u direct waar de grootste risico’s voor uw organisatie liggen. Hierdoor kunt u tijd en aandacht van u en uw teamleden investeren in het verhelpen en voorkomen van incidenten, in plaats van het opsporen ervan.

Met een goede SIEM-oplossing bent u bovendien in staat om snel en adequaat te voldoen aan alle vereisten op het gebied van wet- en regelgeving. Op basis van de verzamelde en gecorreleerde data indiceert SIEM op welke punten uw beveiliging afwijkt van de gestelde standaarden en normen en hoe u dit kunt verhelpen. De dashboards en rapportages tonen dit eenvoudig en snel aan voor auditors, toezichthouders en andere belanghebbenden.

Next-Gen SIEM

Een Next Gen SIEM-platform versterkt top-down monitoring van netwerk- en cloud applicatie-activiteiten met toegepaste analysetechnieken die beveiligingsincidenten herkennen op het moment dat ze zich voordoen. Deze nieuwe technieken zijn ontstaan als gevolg van beschikbare betere beveiligingsanalysetechnieken en de verzameling van steeds grotere en gevarieerdere soorten activiteitsgegevens, waardoor SIEM-leveranciers nieuwe methodologieën voor bedrijfsgegevensanalyse kunnen toepassen. Als gevolg hiervan zijn Managed Security Service Providers (MSSP's) en eindgebruikersorganisaties beter in staat om afwijkend gedrag te identificeren - en dienovereenkomstig te handelen - zodra het zich voordoet.

Een van de belangrijkste onderdelen van een dergelijk systeem wordt steeds vaker aangeduid als User and Entity Behavior Analytics (UEBA) - en dit blijkt onmisbaar te zijn bij het snel identificeren van kwaadaardige activiteiten voordat deze leiden tot de feitelijke diefstal van gevoelige gegevens uit bedrijfsnetwerken of -servers.

De 5 belangrijkste eigenschappen van een Next-Gen SIEM

1. Machine Learning benadering
• Ingebouwde UEBA voor geavanceerde bedreigingsdetectie
• Online levering van content met Threat Model Exchange

2. Big data-architectuur
• Schaalbaar platform voor gegevensverzameling
• Open datamodel om gegevensuitwisseling mogelijk te maken

3. Threat Hunting Framework
• Razendsnel en schaalbaar zoeken ten behoeve van snelle opsporing
• Linkanalyse om acties van gebruikers te herleiden

4. Geautomatiseerde incidentrespons
• Ingebouwde playbooks voor geautomatiseerde respons
• API-framework voor integratie met beveiligingsoplossingen

5. Eenvoudig te implementeren
• Volledig geautomatiseerde connector en inzet van content
• SaaS en ons beheerde dienstenaanbod in combinatie met onze state-of-the-art Data Lake oplossingen of oplossingen van derde partijen.

Onze SIEM diensten

Custodian biedt een breed scala aan SIEM diensten dat varieert van Co-Managed SIEM, Managed SIEM en Hybride SIEM tot Next-Gen SIEM as a Service. In de meeste gevallen blijft u eigenaar van uw SIEM oplossing leveren wij diensten hier bovenop met uitzondering van ‘Next-Gen SIEM as a Service.

Bij ‘Next-Gen SIEM as a Service’ neemt Custodian alle zorgen op het gebied van Security Monitoring | SIEM uit handen.

Wat is een
UEBA?

User and Entity Behavior Analytics (UEBA)

User and Entity Behavior Analytics (UEBA) – of in goed Nederlands – ‘Gebruikers- en Entiteits Gedrags Analyses bieden u een meer uitgebreide manier om ervoor te zorgen dat uw organisatie de allerbeste IT-beveiliging heeft, terwijl ze u ook helpen gebruikers en entiteiten te detecteren die uw hele systeem kunnen schaden. UEBA kan worden gedefinieerd als een beveiligingsoplossing die het gedrag van gebruikers analyseert dat is verbonden met het netwerk van een organisatie en entiteiten of eindpunten zoals servers, applicaties, en dergelijke om de anomalieën te achterhalen. Het houdt bij waar gewoonlijk mensen inloggen en welke applicaties of bestandsservers ze gebruiken, wat hun toegangsniveau is, et cetera. UEBA correleert deze informatie vervolgens om te peilen of een bepaalde activiteit die door de gebruikers wordt uitgevoerd anders is dan hun dagelijkse taken en stelt een baseline vast van wat ‘normaal’ gedrag is. Als er iets ongewoons gebeurt dat niet voldoet aan de baseline, detecteert UEBA het en stuurt waarschuwingen over de waarschijnlijke dreiging.

Waarom is UEBA belangrijk?

Cyberaanvallen zijn bezig met een hardnekkige opmars en hackers blijven de kwetsbaarheden in uw systeem aanvallen. Zelfs een minieme kwetsbaarheid in het systeem kan dienen als een toegangspunt voor de aanvallers. Organisaties van elke omvang besteden meer geld dan ooit om hun netwerk en activa te beschermen vanwege het toenemende dreigingslandschap. Volgens IDC zullen de beveiligingsbudgetten in 2020 met 40% toenemen. Hackers kunnen inbreken in uw firewalls, e-mails sturen met kwaadaardige bijlagen of toegang krijgen tot uw firewalls en daarmee uw systeem in gevaar brengen.

Waarom heb je UEBA in combinatie met SIEM nodig?

Traditionele cybersecuritysoftware zijn niet ontworpen om om te gaan met de geavanceerde, zorgvuldig ontworpen en gerichte aanvallen waarmee bedrijven nu worden geconfronteerd. Ze moeten nog steeds omgaan met uiterst gevaarlijke en ‘geavanceerde’ aanvallen die zonder waarschuwing aankomen en daarbij de perimeterverdediging ontwijken. Een SIEM-oplossing is een zeer geschikt platform voor beveiligingsbeheer, maar de meeste SIEM’s bieden meestal geen effectieve noch intelligente bedreigingsdetectie en reactie toepassing. De meeste SIEM’s kunnen met relatief gemak worden omzeild door geavanceerde aanvallers en focussen meer op real-time bedreigingen dan op uitgebreide aanvallen.

Enkele van de problemen die verband houden met het vertrouwen op SIEM-correlatieregels zijn onder andere:

Je kunt geen aanvallen vinden omdat de regels context missen of incidenten missen die nog nooit eerder zijn gezien
Regels vereisen te veel onderhoud
Onjuist gefilterde regels kunnen de uitvoering van incidentreacties langzaam maken

Met UEBA overwint u de beperkingen van SIEM-correlatieregels:

Vermindert valse positieven
Elimineert alarmmoeheid
Hiermee kunnen teams prioriteit geven aan meldingen
UEBA maakt het mogelijk voor uw beveiligingsexperts om zich te concentreren op de meest geloofwaardige waarschuwingen met hoog risico
Volgt afwijkend gebruikersgedrag niet alleen binnen uw organisatie/netwerk, maar het kan ook worden gekoppeld aan uw Cloud services, machines, mobiele apparaten en IoT-middelen
Analyse van gebruikersgedrag bespaart tijd omdat teams niet in logboeken hoeven te graven

Preventieve maatregelen volstaan niet langer. Uw firewalls zullen niet 100% onfeilbaar zijn en hackers en aanvallers zullen op een of ander moment in uw systeem terechtkomen. Daarom is detectie even belangrijk: wanneer hackers met succes in uw systeem terechtkomen, moet u hun aanwezigheid snel kunnen detecteren om de schade te minimaliseren.

De belangrijkste voordelen van UEBA

Hackers en cyberaanvallers kunnen nu de perimeterverdediging omzeilen die door de meeste bedrijven wordt gebruikt. Eerder kon je zeggen dat je veilig was zolang je maar voldoende web-gateways, firewalls en tools voor inbraakpreventie had. Dit is niet langer het geval in het complexe dreigingslandschap van vandaag, vooral wanneer u zeer poreuze IT-grenzen heeft die erg moeilijk te beheren en te overzien zijn.

Laten we eens kijken naar enkele voordelen van UEBA:

Combineert verschillende soorten risico-informatie om een eindscore voor risicorangschikking te vormen
Maakt prioriteiten stellen en effectieve reactie mogelijk
Biedt automatische reactie op incidenten, waardoor teams snel en met weinig moeite kunnen reageren op beveiligingsincidenten
Met UEBA kunt u het volgende modelleren:
- De normale processen, zodat je de afwijkende kunt vangen
- De tijd en de dag van de week dat een gebruiker elke activiteit op het systeem uitvoert
- Met welke IP-adressen specifieke apparaten verbinding maken op een regelmatige basis

Conclusie

UEBA versterkt de veiligheid door gebruikers en andere entiteiten te monitoren en afwijkingen in gedragspatronen te detecteren die een aanwijzing kunnen zijn voor een bedreiging. Het vereist een veel meer proactieve benadering van beveiliging en krijgt meer zichtbaarheid in gebruikers- en entiteitsgedrag. Vandaar dat de bedrijven die een UEBA-tool gebruiken in staat zijn om een sterkere algehele veiligheid op te bouwen, veel effectievere bedreigingen kunnen beperken en beveiligingsinbreuken kunnen voorkomen.

UEBA-oplossingen helpen op significante wijze door de dagelijkse druk op de beveiligingsteams te verminderen. In plaats van beveiligingsteams die potentieel honderdduizenden en soms miljoenen waarschuwingen per dag moeten doorzoeken, kan een UEBA-oplossing het zeefwerk voor hen doen. UEBA-tools identificeren kritieke inbreuken en stellen beveiligingsteams snel op de hoogte, zodat de teams zich kunnen richten op het reageren op de belangrijkste bedreigingen. Daarnaast bieden UEBA-tools onderliggende data voor de inbreuken, waardoor de impact van responsonderzoeken aanzienlijk kunnen worden verbeterd.

Wat is eenSIEM?