Legacy SIEMs zitten vastgeroest in het verleden

Het vinden van een mechanisme om securitydata te verzamelen, op te slaan en te analyseren is relatief eenvoudig. En er is zéker geen gebrek aan mogelijkheden voor het opslaan van data. Maar het verzamelen van alle relevante securitydata en die omzetten in enige werkbare intelligentie is een heel ander verhaal.

Veel Security Operations Centers (SOC) die geïnvesteerd hebben in een Security Information & Event Management platform (SIEM), zijn op een harde manier achter deze waarheid gekomen. Er is vaak veel tijd en geld geïnvesteerd om security events in kaart te brengen. Het probleem is dat het niet alleen veel tijd kost om alle data te verwerken, maar ook dat het onderliggende data-systeem dat voor SIEM wordt gebruikt meestal niet flexibel genoeg is.

Erger nog, de beschikbare data om te analyseren is uitsluitend gebaseerd op security events. Dat maakt het erg moeilijk om een link te leggen tussen de security events en wat er zich in de rest van de IT-omgeving afspeelt. Als er een probleem is, vergt het onderzoeken van een security event kostbare tijd die de meeste SOCs zich niet kunnen veroorloven. Daarnaast kan het SIEM-systeem geen gelijke tred houden met de snelheid waarmee security events moeten worden onderzocht. Met het toenemende gebruik van clouddiensten, komt ook de dreiging van meer verschillende kanten. Hierdoor worden organisaties gedwongen om gebruikersactiviteit, gedrag, en toegang tot applicaties te monitoren, zowel in cloud-, SaaS-, als on-premisediensten, om volledig inzicht te krijgen in mogelijke bedreigingen en aanvallen.

Anticiperen

Wat een modern SOC nodig heeft, is een eenvoudige manier om informatie over alle relevante securitydata te correleren om zo het beveiligingsbeleid te managen. In plaats van alleen te kijken naar gebeurtenissen die al hebben plaats gevonden, moet een SOC anticiperen op de events en direct maatregelen nemen om risico’s te beperken. Om dit te kunnen bereiken hebben organisaties een analytics-driven SIEM platform nodig.

Een op analytics gebaseerde SIEM stelt het SOC in staat om bedreigingen real-time te kunnen monitoren en snel op incidenten te reageren zodat de schade wordt vermeden of beperkt. Maar niet alle aanvallen komen van buitenaf, het SOC moet ook gebruikersactiviteit kunnen monitoren, zodat het ook interne – al dan niet opzettelijke – bedreigingen kan minimaliseren. Threat intelligence is cruciaal om de aard van de totale dreiging te begrijpen en deze voor de organisatie in de juiste context te plaatsen. Een op analytics gebaseerde SIEM moet natuurlijk uitblinken in Security Analytics. Daarmee, geeft het het SOC de kracht om hoogstaande, kwantitatieve methoden te gebruiken om inzicht te krijgen en prioriteiten te stellen.  Tot slot moet een moderne SIEM ook gespecialiseerde tools omvatten die nodig zijn om geavanceerde bedreigingen te bestrijden als onderdeel van het kernplatform.

Bent u nieuwsgierig hoe andere organisaties de vervanging van hun SIEM hebben aangepakt? Lees dan de succesvolle verhalen van een aantal bedrijven die de overstap naar Splunk Enterprise Security al hebben gemaakt. Een retailer, een financiële dienstverlener en een energiemaatschappij leggen uit hoe zij profiteren van een analytics-driven SIEM.

 

Er zijn zes essentiële eigenschappen die een op analytics gebaseerde SIEM moet hebben.  Wilt u weten welke dat zijn? Download vandaag nog de whitepaper!

 

April 2018