SIEM

SIEM is globaal genomen techniek/methode/software om zinnige output te creeeren van allerhande gelogde data. Het probeert een inzage te geven wanneer er 'foute' dingen gebeuren in je netwerk, en dus de zinnige meldingen (vanuit security perspectief) te scheiden van de onzin. Een simpel voorbeeld: één keer verkeerd inloggen is een typo, tot 5 keer een vergeten wachtwoord, en daarna mogelijk een aanval. Vanuit (pro-actief) security-perspectief ben je alleen geintersseerd in dat laatste.

SIEM wordt steeds belangrijker nu bedrijven steeds meer gaan inzien dat security echt belangrijk is. Informatie is in toenemende mate het belangrijkste kapitaal wat bedrijven hebben, en er is noodzaak om dat steeds beter te gaan beschermen.Wat je wel vaak ziet met de meeste implementaties dat men eigenlijk geen idee heeft wat men inzichtelijk wil hebben, en daarom vaak zo breed mogelijk laten loggen, met name om in compliance te zijn (dus vanuit wetgeving).

Wil je als organisatie echt in controle komen, en dus echt vanuit een infosec perspectief zo'n systeem inzetten, dan moet je wel een heel duidelijk beeld hebben bij hetgeen wat je wilt loggen. En vooral welke acties op de radar moeten verschijnen als 'verdacht', en welke niet. En ook de bijkomende processen ingericht hebben wat te doen. En dan ga je inzien dat zo'n systeem alleen echt functioneel kan worden ingezet met voldoende personele capaciteit en het mandaat om ook daadwerkelijk te reageren.

Kies je dus voor SIEM, dan kies je eigenlijk ook voor een compleet nieuw proces, en (nieuwe) medewerkers die zich daarmee gaan bezig houden (al dan niet in de vorm van een SOC). Door alleen 'even' een SIEM aan te schaffen ben je er dus nog bij lange na niet. Niet elke organisatie heeft dat door. Sowieso gezien de investering (in het pakket, de benodige storage, en de organisatie erachter) zijn dergelijke systemen zeker niet voor elk bedrijf weggelegd.

Je kunt als je thuis wat wilt proberen er ook zelf mee aan de slag. Je kunt geloof ik een trial key krijgen van Arcsight voor 90 dagen, Splunk is gratis tot een bepaalde hoeveelheid meldingen of clients, en je hebt ook een complete open source SIEM genaamd OSSIM.

Nog even ter aanvulling... Er zijn in NL slechts een beperkte hoeveelheid bedrijven bezig met een SIEM, en er zijn ook maar een handjevol dienstverleners echt gespecialiseerd in de implementatie en beheer van deze systemen. Wat dat betreft vind je (helaas) maar weinig Nederlandstalige informatie over SIEMs.

Sowieso zijn er relatief weinig (onafhankelijke) bronnen of fora om meer informatie vandaan te halen. Het overgrote deel van deze systemen richten zich echt op de business markt, en daar kun je met je huidige status als 'hobbyist' lastig bij.

Dat je straks op stage mag werken met deze systemen is dus echt wel een mooie ervaring. Er is wel degelijk vraag uit de markt naar mensen met kennis van dergelijke producten, dus absoluut meegenomen op je c.v.

Ik voorzie dat in de toekomst dergelijke systemen steeds meer mainstream gaan worden, want ze bieden absolute meerwaarde ten opzichte van huidige loggingsystemen. Punt is nu nog, mede gelet de hoge totale kosten, dat een return on investment maar moeilijk te verdedigen valt in een tijdperk van bezuinigingen en handen op de knip. Maar als er investeringen in IT worden gedaan op het ogenblik dan is het wel in security, want geen enkel bedrijf wil met een kop op de voorpagina staan dat ie 'lek' is...

Nou voorkom je dat laatste niet helemaal door de implementatie van een SIEM, maar als men daartoe overgaat geeft dat over het algemeen wel aan dat men security serieus neemt binnen de organisatie, en er dus tijd, geld en aandacht aan besteed. Wat wel weer goed is voor het algehele security proces, en daarmee mogelijk wel veel ellende kan voorkomen.

[ Voor 12% gewijzigd door ebia op 04-02-2013 19:28 ]

Misschien handig om te weten: ArcSight is overgenomen door HP.

Verder heeft RSA als ik me niet vergis ook een oplossing en zijn er nog wel meer spelers. Heb je via je onderwijsinstelling wellicht toegang tot Gartner rapporten?

En anders kan je eens googlen op "gartner magic quadrant siem 2012" en kijken of er toevallig ergens een uittreksel van dat rapport of zo te vinden is.

[ Voor 25% gewijzigd door Orion84 op 07-02-2013 15:45 ]

Nee, want die rapporten kosten duizenden dollars per stuk.

Je stage bedrijf heeft wellicht een abo.

[ Voor 27% gewijzigd door Rukapul op 07-02-2013 16:06 ]

Je kunt idd wel eens via een leverancier een gratis rapport krijgen, vooral als men zelf positief eruit komt!

Wat bij deze systemen in een enterprise omgeving ook meespeelt is compliancy: het aantoonbaar voldoen aan wet- en regelgeving. Denk aan banken, gezondheidszorg, etc. die allen wel 1 of meerdere normen moeten halen op het gebied van oa IT security. Voorbeelden zijn: hispaa, sox, eu data retentie etc. Dus behalve log managment ook het generen van rapporten hierover conform het gewenste (wettelijke) stramien.

Een voorbeeld van een dergelijke speler is Sensage welke enkele hele grote omgevingen operationeel hebben van Petabyte grootte (echte bytes, geen marketing natte droom) welke duizenden rapporten per dag genereren en binnen een acceptabele tijd (query tijd van enkele minuten op dit soort data sets).

Oftewel: het is maar net waar je het voor wilt gebruiken en welke omgeving je hebt. En zoals ook al aangegeven buiten de techniek is ook het proces en organisatie belangrijk: leuk zo'n rapport, maar wat betekent dat en wie zou dan iets moeten doen?

Verwijderd schreef op donderdag 07 februari 2013 @ 15:31:
Wat zijn volgens U dan de key-players hierin?
Elke vendor die ik opzoek, is volgens henzelf de beste.
Dus moeilijk om een objectief onderscheid te maken.

Hoe relevant is die informatie voor je?

Ga je echt een pakketselectie uitvoeren en wil je leveranciers met elkaar vergelijken? Dan moet je gewoon de leverancier aan z'n jasje trekken en vragen of ze informatie willen verstrekken over hun product.

Dit is datzelfde rapport uit 2010, geeft een beetje de namen van de bekendste spelers:
http://www.visiblerisk.co...-gartner-mq-for-siem.html

Het is erg gevaarlijk te varen op rapporten van marktonderzoeksbureaus zoals Gartner. Men praat toch vooral bepaalde partijen naar de mond en volgt de waan van de dag. Tevens zijn vendors niet zelden grote opdrachtgevers van dergelijke onderzoeksbureaus. Wat dan ook vaak opvalt is de beperkte en arbitraire selectie van vendors in zogenaamde magic quadrants en vendor rapporten.

Prima te gebruiken om een start te maken, maar als het gaat om echte kwalitatieve analyse dan zijn de rapporten typisch onvoldoende. Vaak begint het al met de selectie van criteria die zeer voor discussie open staat. Naast evt als startmateriaal kun je het ook gebruiken als cross-check met je eigen observaties en analyse.

Als je de kans hebt ooit met een van de analysten te praten dan kan dat wel een grote bron van informatie zijn afhankelijk van wie je treft

[ Voor 15% gewijzigd door Rukapul op 12-02-2013 14:26 ]