De hoeveelheid voor beveiliging vastgelegde data loopt bij organisaties zo hoog op dat analyse ervan vaak niet meer mogelijk is. Selectief vastleggen lijkt onontkoombaar.
De logfiles van een firewall of ander netwerkapparaat geven een beeld van alle gebeurtenissen. Volgens een studie van het recent door IBM overgenomen Micromuse levert de analyse van die informatie meer werk op dan men aankan. Gemiddeld ontvangt de helft van de ondervraagde Europese it-managers een kleine vierduizend incidentmeldingen per seconde. Financiële organisaties en de overheid spannen de kroon met ruim zesduizend geregistreerde incidenten per seconde. Het analyseren van deze data kost te veel tijd. Een op de tien ondervraagden zegt drie dagen per week kwijt te zijn aan het bekijken van de logfiles.
Explosief
Automatiseren is een deel van de oplossing. Daarnaast moet worden nagedacht over wat we allemaal niet loggen. “Het is een probleem dat al lang bestaat, maar elk jaar weer explosief toeneemt”, zegt Rob Greuter van NedSecure. “Er zijn helaas maar weinig mensen die de bestanden kunnen duiden in relatie tot de bijzonderheden van het eigen netwerk. Er ontstaat ook op een ander vlak een probleem. Vanuit wet- en regelgeving moeten organisaties deze logfiles opslaan. Dat gebeurt vaak in een relationele database, waardoor een logfile van een terabyte kan oplopen tot wel tien terabyte.”
Martin Kersten, directeur van Crypsys en voorzitter van het Genootschap van Beveiligingsexperts, stelt dat we serieus moeten afwegen wat we bewaren. “Juist omdat bijna elk apparaat en elke applicatie een logfile produceert, is de hoeveelheid enorm. Dat kunnen we alleen indammen door selectief te zijn.”
“Het is bijvoorbeeld onzinnig om van iedere gebruiker steeds te loggen wanneer hij een bepaalde applicatie start. Dat geldt ook voor de apparaten in het netwerk. Het is dus zaak goed te analyseren welke gebeurtenissen belangrijk zijn voor het bedrijfsproces. Als we dat niet doen, wordt een belangrijk deel van onze middelen straks besteed aan zaken waar we nooit wat mee doen.”
