Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Australische Cyber Security Centre (ACSC) publiceerden deze week nieuwe richtlijnen voor de aanschaf, implementatie en het beheer van SIEM- en SOAR-platforms.
Deze technologieën helpen organisaties bij het verzamelen en analyseren van gegevens van onder andere firewalls, eindpunten en applicaties om cyberaanvallen beter te detecteren en hierop te reageren. In de praktijk blijken veel organisaties echter op grote uitdagingen te stuiten bij de implementatie en uitrol. Denk aan hoge kosten en het doorlopende onderhoud. Volgens de richtlijn zijn dit geen systemen die je eenmalig installeert en daarna kunt vergeten.
Het gebruik van deze platforms wordt steeds belangrijker omdat organisaties steeds meer waardevolle data opslaan en beheren. Daarbij gaat het om persoonlijke identificeerbare informatie en gezondheidsgegevens. Bovendien zorgt toenemende infrastructuurcomplexiteit voor blinde vlekken. Dit maakt het detecteren van dreigingen lastiger. Er zijn simpelweg meer eindpunten, meer applicaties, meer externe leveranciers en meer thuiswerkers die potentieel misbruikt kunnen worden.
Aanbevolen werkwijzen
De richtlijn benadrukt dat implementatie een intensief en doorlopend proces is dat veel expertise vereist. Een belangrijk technisch aandachtspunt is dat de systemen alleen waarschuwingen mogen geven bij daadwerkelijke beveiligingsincidenten. Dit omdat snelle reactie cruciaal is. Daarnaast moet een SIEM-systeem correct functioneren voordat een organisatie kan nadenken over het inzetten van een SOAR-platform. Dit betekent dat de SIEM nauwkeurige meldingen moet genereren.
Bij het inschatten van de implementatiekosten moeten organisaties rekening houden met verborgen kosten. Deze hangen vaak samen met de hoeveelheid data die in het systeem worden ingevoerd, aangezien veel leveranciers hun prijzen hierop baseren. Ook trainingen en doorlopende ondersteuning brengen kosten met zich mee.
Het testen van de prestaties van de systemen is essentieel. Daarnaast hebben organisaties mogelijk meer grip op het hele proces wanneer de implementatie intern plaatsvindt. In dat geval hebben de platforms een beter begrip van het netwerk en de bedrijfsvoering. Wordt dit uitbesteed, dan ontstaan er mogelijk hiaten in zichtbaarheid, overlappende werkzaamheden en communicatieproblemen.
Het belang van baselines
De richtlijnen bevatten ook specifieke aanbevelingen voor beveiligingsprofessionals. Een belangrijke stap is het vaststellen van een referentieniveau voor normaal netwerkverkeer. Zo leren de systemen wat normaal is binnen de organisatie en kunnen ze afwijkingen beter detecteren. Hierbij hoort ook het analyseren van geïnstalleerde tools, gebruikersgedrag, netwerkverkeer en communicatie tussen systemen.
Dit geldt ook voor het loggen van activiteiten en het instellen van standaarden voor applicaties. Het is daarbij van belang dat organisaties goed bepalen welke onderdelen als eerste aangepakt moeten worden, met de focus op gebieden met het hoogste risico.