Security Information Event Management (SIEM) was lange tijd de best mogelijke oplossing voor het bestrijden van cybergevaren. Met de komst van complexere architecturen, door gaandeweg ontoereikende functionaliteit, en omdat bedreigingen steeds sneller en geavanceerder worden, staan security teams voor totaal nieuwe uitdagingen.
Het LogRhythm’s NextGen SIEM Platform werd gebouwd door security professionals voor security professionals. Dankzij jarenlange innovatie kan LogRhythm nu een end-to-end oplossing aanbieden waarmee uw team de risico’s kan inperken. Ons platform helpt uw team bij het bereiken van hun doelstellingen, het realiseren van een snel rendement (ROI), en de uitbouw van uw beveiliging voor de toekomst.
Hieronder worden twee vragen beantwoord waardoor u een beter inzicht krijgt in de behoefte aan een SIEM-oplossing van de volgende generatie.
1. Hoe is SIEM het voorbije decennium geëvolueerd, en hoe passen technologieën als SOAR en SOAPA in het totale security-plaatje?
“Net zoals de gevaren waartegen het ons moet beschermen is ook SIEM zelf voortdurend aan het evolueren. Cybersecurity-technologie die werd ontworpen om een specifiek probleem op te lossen op een welbepaald moment en nadien niet meer evolueert, zal snel verouderd zijn aangezien de gevaren en de cybercriminelen steeds geraffineerder te werk gaan. Ook SIEM zou al een stille dood gestorven zijn als het nooit was aangepast. Maar het is wel degelijk mee geëvolueerd met zijn tijd, en uitgegroeid tot het ‘NextGen SIEM’ (SIEM van de volgende generatie) van vandaag.
“Aan de basis van NextGen SIEM ligt nu een big data storage-architectuur. Hiermee kan het beter om met de toenemende instroom van security-informatie: in de aanzienlijk grotere repository worden data geanalyseerd met geavanceerde technologie – zoals complex scenario detection en behavioural modelling – zodat het bekende en onbekende bedreigingen kan identificeren en de juiste prioriteit kan toepassen. Verder zorgt de functie genaamd ‘advanced incident response’ voor een automatisering van het inperken en onderzoeken van bedreigingen, sneller en preciezer dan ooit.
“De technologieën SOAPA en SOAR staan nog in hun kinderschoenen: de beveiligingssector is het er nog niet over eens hoe deze termen precies moeten worden gedefinieerd. Maar wat nu al duidelijk is: beide technologieën kunnen gebruikmaken van SIEM. Traditionele SIEM-oplossingen, bijvoorbeeld, focussen meestal op slechts enkele data points, maar met SOAPA kunnen gebruikers SIEM integreren met API’s van andere leveranciers in één enkel platform. Dit betekent dat data van andere tools, zoals network security analytics, incident response platforms, endpoint detection, anti-malware enz. , in één omgeving worden gecombineerd tot een omvattender beeld, waarmee de security teams een nog beter overzicht krijgen.
“SOAR is een door Gartner bedachte term die verwijst naar een efficiënter en doeltreffender antwoord op bedreigingen, vaak met behulp van automatisering. Door het steeds toenemend aantal te verwerken cybersecurity data, is een manuele verwerking veel te tijdrovend, waardoor vroeg of laat een echt gevaar over het hoofd wordt gezien. Als de SIEM-installatie en de overkoepelende cybersecurity-infrastructuur van een bedrijf automatisering ingebouwd krijgt, dan is dat bedrijf beter voorzien om adequaat te reageren op potentiële gevaren.”
2. Welke impact heeft AI (of ML, als u dit verkiest) op het SIEM-model vandaag? En zal het model hierdoor volledig veranderen in de komende jaren?
“Security teams kampen vaak met een tijdstekort, een beperkt budget en te weinig mankracht. Bedrijven kunnen dus niet verwachten dat hun digitaal kapitaal afdoend wordt beveiligd als alle taken en verantwoordelijkheden manueel worden uitgevoerd. Met de tijd en energie die men nodig heeft om die massa aan alerts te onderzoeken, nieuwe aanvalstrends te identificeren, netwerken te testen op eventuele kwetsbaarheden en tegelijk een groeiend aantal cybersecurity tools te beheren staan de dun bevolkte security teams onder steeds grotere druk. Zo wordt de kans steeds groter dat een verdachte activiteit onopgemerkt blijft en dat er zo echte schade ontstaat door een geslaagde inbreuk.
“Door machine learning (ML) toe te voegen aan SIEM kan de vereiste menselijke inbreng in het beveiligen van netwerken drastisch worden verlaagd. Groeiende datasets kunnen snel worden onderzocht en rode vlaggen kunnen automatisch worden aangebracht om de security teams te tonen waar ze best hun aandacht op richten. Bovendien kunnen zulke technologieën de typische ‘rules-based’ aanpak overstijgen zodat bedreigingen die totaal nieuwe patronen gebruiken, toch worden ontdekt en nadien worden toegevoegd aan de lijst van gekende gevaren. De aanvalstactieken evolueren maar NextGen SIEM evolueert zeker even snel.
“Anderzijds moeten organisaties niet denken dat ML de zaligmakende oplossing is voor al hun problemen: ze zouden snel terug met beide voeten op de grond staan. ML kan inderdaad razendsnel data analyseren, maar het is maar zo goed als de data die worden aangereikt. Foute of onvoldoende data kunnen dus leiden tot erg ongewenste gevolgen. Bovendien heeft niet elke ML-oplossing dezelfde manier van rapporteren. Voorts moet elke onderneming voor zichzelf berekenen wat het beste evenwicht is tussen ‘false positives’ en ‘false negatives’: elke verbetering in de ene richting betekent een verslechtering aan de andere zijde. Dit betekent dat elk alarm nog steeds moet worden gecontroleerd, ook al is het enkel om te bevestigen dat alles OK is en niet per se om elke bedreiging grondig te onderzoeken en analyseren.”
