Modern SIEM
Security Information and Event Management bestaat al enkele decennia. Grote bedrijven implementeren SIEM om gevoelige data te beschermen en omdat ze bewijs willen (of moeten) leveren van die bescherming maatregelen en daarmee te voldoen aan regelgeving en certificering. De implementatie is vaak een langdurig en complex proces dat bestaat uit 4 onderdelen:
Log management
Event Correlation and Analytics
Incident monitoring and security alerts
Compliance management and Reporting
Je verzamelt logs, normaliseert deze, bepaalt de correlatie welke je publiceert.
Implementatie van SIEM is echter een heel ander verhaal. In praktijk kost het veel arbeid, veel geld en veel tijd.
Het is een groei proces en daarmee vergelijkbaar met hoe bijvoorbeeld mensen leren lopen. Dat gaat ook niet vanzelf of zonder begeleiding.
Als je de Gartner Adaptive Security Architecture bekijkt zie je dat SIEM een directe terugkoppeling is van wat je erin stopt. Stop je er geen nieuwe effort in dan stagneert het systeem. Het is een continue herhaling van Preventie, detectie, reactie en voorspellen, daarbij elke keer verbeteringen aanbrengen zodat het systeem actueel blijft. Daarom gaat de implementatie van een SIEM vrijwel altijd samen met de inrichting van een Security Operations Center (SOC).
Inmiddels beschikken we over de technieken waarmee we computers dingen kunnen leren. Herkennen van beelden, patronen, etc. Door het toepassen van Artificial Intelligence kan de computer het mensenwerk van een SOC grotendeels overnemen. Hierdoor wordt SIEM ineens veel meer bereikbaar en realistisch te implementeren, geldt het niet uitsluitend voor grote bedrijven, maar kan ook MKB de voordelen van SIEM benutten.
Weevil Secutiry heeft daarom het “Weevil Unified Thread Protection” ontwikkeld. Een platform waarop meerdere beveiliging producten samenkomen. Naast de security scans kan ook een SIEM worden ingericht voor het (middels AI) geautomatiseerd beoordelen van mogelijke dreigingen.
Hoe werkt dit systeem ? Implementatie kan in een paar stappen:
- Verzamelen van de logging in het “Weevil Unified Thread Protection” systeem.
- De AI enige tijd laten ontdekken (leren) wat de normale gang van zaken is binnen de organisatie.
- Inrichten van Dashboards en rapportages
- Reageren op Alarmeringen en regelmatig controleren of het systeem optimaal detecteert.
Tot slot is het natuurlijk belangrijk ook organisatorisch te verbeteren.