Wat is SIEM (Security Information & Event Management)?
Bedrijven worden geconfronteerd met zowel bekende als onbekende cyberdreigingen als gevolg van toenemende digitalisering, hybride werkmodellen en een verscheidenheid aan eindapparaten. Daarom zijn beveiligingsconcepten zoals SIEM (Security Information & Event Management) belangrijker dan ooit. Door systeem- en netwerkgegevens te loggen, analyseren en verwerken, kunnen beveiligingsrisico’s snel worden geïdentificeerd, opgespoord en beperkt.
Wat is SIEM?
De afkorting SIEM staat voor Security Information & Event Management, wat bedrijven meer transparantie en controle over hun eigen gegevens geeft. Een gestandaardiseerd beveiligings- en beschermingsconcept maakt het mogelijk om verdachte beveiligingsincidenten, aanvalstrends en dreigingspatronen in een vroeg stadium te identificeren. Dit wordt mogelijk gemaakt door tools die verschillende gebeurtenis- en procesgegevens registreren en analyseren in alle lagen van het bedrijf, van eindapparaten via firewalls en IPS (Intrusion Prevention Systems) tot het netwerk-, cloud- en serverniveau.
SIEM integreert zowel SIM (Security Information Management) als SEM (Security Event Management) om beveiligingsinformatie en incidenten contextueel en correlatief in realtime te beoordelen, waarschuwingen te genereren en beveiligingsmaatregelen te activeren. Deze aanpak maakt het mogelijk om potentiële kwetsbaarheden en beveiligingsinbreuken vroegtijdig op te sporen en te beperken, en om pogingen tot aanvallen snel te voorkomen. Het concept van SIEM werd in 2005 door Gartner geïntroduceerd. Essentiële elementen van hedendaagse SIEM-oplossingen zijn onder meer UBA (User Behavior Analytics), UEBA (User and Entity Behavior Analytics) en SOAR (Security Orchestration, Automation, and Response).
Waarom is Security Information & Event Management belangrijk?
Tegenwoordig bestaat de IT-infrastructuur van een bedrijf niet meer alleen uit een server en een paar eindapparaten. Zelfs middelgrote bedrijven maken gebruik van min of meer complexe bedrijfsnetwerken die bestaan uit een groot aantal eindapparaten met internetverbinding, hun eigen softwarelandschap en verschillende servers en clouddiensten. Daar komen nog nieuwe werkmodellen bij, zoals thuiswerken of Bring Your Own Device (BYOD).
Hoe complexer de IT-infrastructuur, hoe meer kwetsbaarheden er kunnen ontstaan als de cyberbeveiliging ontoereikend is. Steeds meer bedrijven vertrouwen daarom op holistische bescherming tegen ransomware, spyware en scareware, maar ook tegen nieuwe vormen van cyberaanvallen en zero-day exploits.
Het belang van beveiligingsoplossingen zoals SIEM neemt voor bedrijven toe, en niet alleen vanwege acute bedreigingen. Strenge eisen op het gebied van gegevensbescherming onder de AVG of certificeringen zoals BASE II, ISO of SOX vereisen nu zelfs een concept voor gegevens- en systeembescherming. Dit kan vaak alleen worden bereikt door middel van SIEM of vergelijkbare strategieën zoals EDR en XDR.
Door beveiligingsrelevante log- en rapportgegevens samen te brengen, te evalueren en te koppelen in een centraal platform, maakt SIEM het mogelijk om gegevens uit alle applicaties en netwerkniveaus op een beveiligingsgerichte manier te analyseren. Hoe eerder u op deze manier bedreigingen of beveiligingslekken detecteert, hoe sneller u risico’s voor uw bedrijfsprocessen kunt verminderen en bedrijfsgegevens kunt beschermen**. SIEM biedt daarom een aanzienlijke efficiëntieverhoging als het gaat om compliance en realtime bescherming tegen bedreigingen zoals ransomware, malware of gegevensdiefstal.
Hoe werkt SIEM?
De term ‘SIEM’ werd in 2005 geïntroduceerd door Amrit Williams en Mark Nicolett van Gartner. Volgens de officiële definitie van het National Institute of Standards and Technology is SIEM een applicatie die beveiligingsgegevens van de verschillende elementen van een informatiesysteem verzamelt en deze op een georganiseerde en actiegerichte manier weergeeft op een centraal dashboard. Dit vat de functionaliteit al samen, want in tegenstelling tot een firewall, die bescherming biedt tegen acute cyberdreigingen, is SIEM gebaseerd op duurzame, proactieve gegevensverzameling en -analyse die ook verborgen aanvallen of dreigingstrends aan het licht kan brengen.
Een SIEM-systeem kan worden geïmplementeerd op locatie, als cloudoplossing of als hybride variant met lokale en cloudgebaseerde componenten. Het proces van gegevensverzameling tot beveiligingswaarschuwingen bestaat uit de volgende vier fasen:
Fase 1: Verzamel gegevens uit meerdere bronnen in het systeem
De SIEM-oplossing registreert en verzamelt gegevens van verschillende niveaus, lagen en componenten van uw IT-infrastructuur. Dit omvat servers, routers, firewalls, antivirusprogramma’s, switches, IP’s en IDS, evenals eindapparaten die zijn geïntegreerd met endpointbeveiliging of XDR (Extended Detection and Response). Hiervoor worden gekoppelde log-, rapportage- en beveiligingssystemen gebruikt.
Fase 2: Verzamelde gegevens samenvoegen
De verzamelde gegevens worden op een duidelijke en transparante manier samengevat op de centrale gebruikersinterface. Door de gegevens te verzamelen en te ordenen via een dashboard, is het niet langer nodig om tijdrovende analyses uit te voeren van verschillende logbestanden en rapporten van afzonderlijke applicaties.
Fase 3: Geaggregeerde gegevens analyseren en correleren
De applicatie analyseert de verzamelde en samengevatte gegevens op bekende virus- en malwaresignaturen, verdachte incidenten zoals aanmeldingen vanuit VPN-netwerken of onjuiste aanmeldingsgegevens. Ook worden abnormaal gebruik, verdachte bijlagen of andere opvallende activiteiten die iets met beveiliging te maken hebben, gemarkeerd. Door gegevens te koppelen, ordenen, correleren en classificeren, maakt de applicatie het mogelijk om infiltratiepaden snel op te sporen en te isoleren, waardoor bedreigingen kunnen worden beperkt of zelfs geneutraliseerd. Bovendien pakt het door het toekennen van beveiligingsniveaus zowel openlijke als verborgen aanvallen snel aan, terwijl onschuldige afwijkingen worden uitgesloten.
Fase 4: Detecteer bedreigingen, kwetsbaarheden of beveiligingsinbreuken
Als er een dreiging wordt gedetecteerd, zorgen geautomatiseerde waarschuwingen voor snellere reactietijden en onmiddellijke neutralisatie van de dreiging. In plaats van uitgebreid te zoeken naar de bron van het gevaar of de afwijkingen, kunt u deze snel opsporen via de waarschuwing en, indien nodig, in quarantaine plaatsen. Bovendien is het mogelijk om eerdere dreigingen te reconstrueren, zodat de beveiligingsprocedures kunnen worden verfijnd.
In combinatie met een XDR-oplossing met geïntegreerde AI kunnen verdedigingsmechanismen zoals quarantaine of het blokkeren van eindapparaten of IP’s bijzonder snel worden geïmplementeerd met behulp van vooraf gedefinieerde, geautomatiseerde workflows. Dankzij realtime dreigingsfeeds, die voortdurend bijgewerkte handtekeningen en beveiligingsgegevens invoeren, kunt u ook nieuwe soorten aanvallen en dreigingen in een vroeg stadium detecteren.
Een overzicht van de belangrijkste SIEM-elementen
Er worden verschillende gecoördineerde componenten gebruikt om een volledige gegevensverzameling en -analyse te garanderen als onderdeel van een SIEM-oplossing. Deze omvatten:
| Component | Functies |
|---|---|
| Centraal dashboard | ✓ Presenteert alle verzamelde gegevens op een actiegerichte manier ✓ Biedt datavisualisaties, realtime activiteitsmonitoring, dreigingsanalyse en opties voor actie ✓ Individueel definieerbare dreigingsindicatoren, correlatieregels en meldingen |
| Loggingdiensten en rapportage | ✓ Leg gebeurtenisgegevens vast en log deze in vanuit het hele netwerk, evenals op eindpunt- en serverniveau ✓ Real-time nalevingsrapportage voor normen zoals PCI-DSS, HIPPA, SOX of GDPR om te voldoen aan nalevings- en gegevensbeschermingsregels ✓ Real-time monitoring en logboekregistratie van gebruikersactiviteiten, waaronder interne en externe toegang, geprivilegieerde toegang tot databases, servers en databases, en gegevenslekken |
| Correlatie en analyse van dreigingsgegevens en beveiligingsincidenten | ✓ Gebeurteniscorrelatie en analyse van beveiligingsgegevens kunnen worden gebruikt om incidenten van verschillende niveaus aan elkaar te koppelen, bekende, complexe of nieuwe vormen van aanvallen te identificeren en de detectie- en responstijden te verkorten ✓ Forensisch onderzoek van beveiligingsincidenten |
De voordelen van Security Information & Event Management (SIEM)
Vanwege de toenemende cyberrisico’s voor bedrijven zijn eenvoudige firewalls of antivirusprogramma’s meestal niet meer voldoende om netwerken en systemen te beschermen. Met name bij hybride structuren met multiclouds en hybride clouds zijn geavanceerde oplossingen zoals EDR, XDR en SIEM of, idealiter, een combinatie van twee of meer diensten nodig. Alleen zo kunnen eindapparaten en clouddiensten veilig worden gebruikt en kunnen bedreigingen in een vroeg stadium worden gedetecteerd.
De voordelen die SIEM u kan bieden, zijn onder meer:
Realtime detectie van bedreigingen
Dankzij de holistische aanpak in de vorm van systeembrede gegevensverzameling en -evaluatie kunnen bedreigingen snel worden geïdentificeerd en voorkomen. Door de kortere gemiddelde detectietijd (MTTD) en gemiddelde responstijd (MTTR) kunnen gevoelige gegevens en bedrijfskritische processen betrouwbaar worden beschermd.
Naleving van compliance- en gegevensbeschermingsvereisten
SIEM-systemen zorgen voor een IT-infrastructuur die voldoet aan de compliance-eisen door middel van gedetailleerde logboekregistratie en dreigingsanalyse. Deze infrastructuur voldoet aan alle essentiële beveiligings- en rapportagestandaarden die vereist zijn voor het veilig opslaan en op een auditconforme manier verwerken van gegevens.
Tijd- en kostenbesparend beveiligingsconcept
Door alle veiligheidsrelevante gegevens centraal en overzichtelijk weer te geven, te visualiseren, te analyseren en te interpreteren in een gebruikersinterface, verhoogt SIEM de efficiëntie van uw IT-beveiliging. Dit vermindert de tijd en kosten die anders gepaard gaan met conventionele handmatige beveiligingsmaatregelen. Met name het gebruik van geautomatiseerde en, in sommige systemen, AI-verbeterde gegevensanalyse en -correlatie versnelt de preventie van bedreigingen. Hoge kosten voor het herstellen van geïnfecteerde systemen of het verwijderen van malware kunnen ook worden vermeden met preventieve SIEM-oplossingen.
De mogelijkheid om SIEM als SaaS (Software-as-a-Service) of via Managed Security Services te gebruiken, stelt ook kleinere bedrijven met beperkte middelen of zonder eigen IT-beveiliging in staat om hun bedrijfsnetwerk op betrouwbare wijze te beveiligen.
Automatisering met kunstmatige intelligentie en machine learning
SIEM-systemen maken een nog hoger niveau van automatisering en intelligente dreigingspreventie mogelijk door middel van kunstmatige intelligentie en machine learning. U kunt SIEM-oplossingen bijvoorbeeld ook gebruiken in SOAR-systemen (Security Orchestration, Automation and Response) of in combinatie met een bestaande endpointbeveiligings- of XDR-oplossing.