Next Gen SIEM: definitie en best practices

Beveiligingsinformatie- en gebeurtenissenbeheertechnologie (SIEM) heeft moeite om bedreigingen in het huidige ecosysteem te beheren. Traditionele SIEM-oplossingen zijn traag, beperkt in schaalbaarheid, inefficiënt in de cloud, vereisen een langdurige implementatietijd en hebben hoge operationele overheadkosten. Ze zijn geen partij voor het groeiende aantal aanvalsoppervlakken, snel veranderende regelgeving, data-explosies en toenemende budgettaire druk. De focus verschuift daarom naar next-gen SIEM-oplossingen die data sneller kunnen verwerken en flexibeler, betaalbaarder, schaalbaarder en beter implementeerbaar zijn.

In dit bericht definiëren we de volgende generatie SIEM en de componenten en functies ervan, en laten we zien hoe deze verschilt van traditionele SIEM. We gaan ook in op de uitdagingen die u kunt verwachten bij de implementatie ervan. Het belangrijkste is dat we u enkele best practices aanreiken.

Wat is Next-Gen SIEM?

Next-gen SIEM maakt gebruik van gedragsanalyse en automatisering om ongebruikelijke activiteitspatronen, niet-conforme systeemactiviteiten, beveiligingsproblemen en afwijkingen te detecteren en hier snel op te reageren. Het vormt het hart van een modern Security Operations Center (SOC) en stelt teams in staat om de enorme hoeveelheden gegevens te verwerken die worden gegenereerd door het internet der dingen, de cloud, kunstmatige intelligentie en analytics.

De mogelijkheden van traditionele SIEM zijn voornamelijk statistische analyse, logboekbeheer, waarschuwingen en rapportage. Vaak moet u dit aanvullen met technologieën voor beveiligingsorkestratie, automatisering en respons (SOAR). Next-gen SIEM bouwt voort op de basis van deze mogelijkheden en neemt bovendien gegevens op, ongeacht de bron, en verbetert deze met geavanceerde gedragsregels, workflowautomatisering en kunstmatige intelligentie.

Belangrijkste componenten van Next-Gen SIEM

Next-gen SIEM bestaat uit unieke componenten die het onderscheiden van traditionele SIEM.

1. Geavanceerde analyse en machine learning

Machine learning (ML) en analytics stellen next-gen SIEM in staat om gedragsprofielen te gebruiken om ongebruikelijk gedrag in realtime te detecteren. Het gebruikt ML-modellen om aan elke gebeurtenis een score toe te kennen om te bepalen of deze een bedreiging vormt of niet. Alle scores die vooraf gedefinieerde drempels overschrijden, worden doorgestuurd naar een analist voor verder onderzoek.

2. Integratie van dreigingsinformatie

Next-gen SIEM's worden geleverd met geïntegreerde dreigingsinformatieplatforms als onderdeel van hun kernaanbod. Ze vragen automatisch beveiligingsgegevens op en voeren kwetsbaarheidsscans en penetratietests uit om verdachte activiteiten te detecteren. Next-gen SIEM correleert interne gebeurtenissen met bedreigingsinformatie van derden om een nog breder inzicht te krijgen in potentiële bedreigingen.

3. User and Entity Behavior Analytics (UEBA)

Next-gen SIEM past UEBA toe om het aangeleerde gedrag van gebruikers te analyseren en aanvallen te identificeren die niet gebaseerd zijn op bekende handtekeningen of regels. UEBA maakt gebruik van deep learning, reinforcement learning, Bayesiaanse netwerken en begeleid en onbegeleid leren om menselijke gedragspatronen te leren. Wanneer een marketingmedewerker bijvoorbeeld op zaterdag om 1:00 uur 's nachts bestanden begint te downloaden uit een financiële database waarmee hij buiten werktijd zelden werkt, zal het systeem dit als verdacht markeren, wat mogelijk wijst op bedreigingen van binnenuit of gecompromitteerde inloggegevens.

4. Automatisering en orkestratie

Next-gen SIEM maakt gebruik van playbooks om reacties te automatiseren en voert een reeks vooraf gedefinieerde mitigatie- en beheersingsmaatregelen uit voor elke verdachte beveiligingsgebeurtenis. Over het algemeen kan next-gen SIEM reacties op gedetecteerde bedreigingen automatiseren door getroffen systemen te isoleren, patches toe te passen en waarschuwingen te activeren.

5. Schaalbaarheid en cloudondersteuning

Next-gen SIEM's kunnen worden geïntegreerd met publieke en private cloudplatforms. Dit biedt inzicht in activiteiten op cloudplatforms, zoals logboeken van virtuele machines, containers, SaaS-applicaties en cloud-native beveiligingstools. Next-gen SIEM heeft vooraf gebouwde connectoren waarmee u toegang krijgt tot gebeurtenissen en logboekgegevens van SaaS-applicaties en cloudinfrastructuur, zoals IBM Cloud en Google Cloud Platform (GCP).

Traditionele SIEM vergeleken met de volgende generatie SIEM

Beperkingen van traditionele SIEM

• Traditionele SIEM is ontworpen voor on-premises omgevingen. Daarom wordt de schaalbaarheid beperkt door de reken-, opslag- en geheugenbronnen die de on-premises hardware kan bieden. Wanneer traditionele SIEM naar de cloud wordt verplaatst, leidt dit tot hoge cloudinfrastructuurkosten en trage prestaties als gevolg van inefficiënte architecturen.
• Traditionele SIEM kan de grote hoeveelheden hot data die tegenwoordig worden gegenereerd niet verwerken vanwege het gebrek aan rekenkracht en opslagcapaciteit. Data wordt opgeslagen in cold storage, waar het traag en omslachtig is om op te halen, waardoor het een uitdaging is om bedreigingen uit het verleden te onderzoeken.
• Traditionele SIEM heeft een gesloten ecosysteem dat goed integreert met andere beveiligingsplatforms van dezelfde leverancier, maar niet met die van andere leveranciers.

Voordelen van Next-Gen SIEM ten opzichte van traditionele SIEM

• Next-gen SIEM wordt geleverd via een SaaS-model en maakt gebruik van de elasticiteit van de cloud om onbeperkte rekenkracht, opslagruimte en geheugenbronnen te bieden.
• Met on-demand beschikbare bronnen kunt u grote hoeveelheden gegevens verzamelen, deze langer opslaan en meer gebruikers vaker toegang geven. Dit geeft u inzicht in meer gegevensbronnen, waardoor u uw beveiliging kunt verbeteren. Het neemt gegevens uit vele bronnen op en verstuurt deze via een open API.
• Next-gen SIEM correleert gegevens uit vele bronnen, waaronder beveiliging, netwerk, servers, applicaties en eindpunten, of deze nu worden gehost in een private cloud, on-premises of in een public cloud.
• De architectuur van next-gen SIEM maakt gebruik van open API's, waardoor u kunt integreren met oplossingen van verschillende leveranciers en minimale impact ondervindt wanneer u uw beveiligingsportfolio wijzigt.

Kernfuncties van next-gen SIEM-oplossingen

1. Realtime detectie van en reactie op bedreigingen

Next-gen SIEM maakt gebruik van gedragsanalyse om bekende aanvalssignaturen, correlaties en patronen in realtime te detecteren. Het verzamelt gegevens uit bronnen zoals IDS, antivirus en authenticatiesystemen, zodat u snel beveiligingsbedreigingen en incidenten kunt detecteren die individuele tools niet alleen kunnen identificeren. U kunt direct reageren op bedreigingen, waardoor de responstijd wordt verkort.

2. Uitgebreide gegevensverzameling en normalisatie

Met de volgende generatie SIEM kunt u gegevens met betrekking tot gebeurtenislogboeken, netwerkstromen en Syslog-gegevens uit meerdere bronnen verzamelen en deze analyseren met behulp van analysesystemen. Het correleert gegevens en stuurt waarschuwingen als het niet-conforme activiteiten, beleidsschendingen of potentiële bedreigingen detecteert. Bovendien maakt het gebruik van schaalbare NOSQL-databases zoals Apache Spark, Hadoop en Elastic, waardoor parallelle verwerking mogelijk is en gegevensopname en analyse worden versneld. Dankzij de goedkope gedistribueerde opslag kunt u historische gegevens tegen lage kosten opslaan.

3. Verbeterde zichtbaarheid en onderzoek van incidenten

De volgende generatie SIEM's biedt continue realtime zichtbaarheid van beveiligingsgebeurtenissen. De functie voor visualisatie van het aanvalspad helpt u om te denken als een aanvaller en inzicht te krijgen in de routes die een aanvaller zou kunnen nemen om kwetsbaarheden te misbruiken.

4. Flexibele en schaalbare implementatieopties

Er zijn veel implementatieopties waaruit u kunt kiezen voor de volgende generatie SIEM, afhankelijk van uw zakelijke behoeften en de bestaande infrastructuur.

• Volledig beheerde SIEM (MSSP): een externe leverancier die alle beveiligingsdiensten levert.
• SaaS SIEM: speciaal ontwikkeld voor de cloud en ondersteunt cloud-native infrastructuren.
• Co-managed SIEM: sommige risicobeheertaken worden uitbesteed aan een SIEM-dienstverlener, terwijl het bestaande IT-beveiligingsteam de rest afhandelt.
• Hybride implementatie: combineert zowel on-premises als cloudimplementatie, waarbij een deel van de infrastructuur on-premises is en een deel in de cloud.

5. Compliance- en beveiligingsrapportage

De volgende generatie SIEM-oplossingen ondersteunen AI-gestuurde nalevingsrapportage. Ze controleren automatisch de naleving van regelgeving voor GDPR, SOX, HIPAA, PCI DSS, enz., genereren auditrapporten en beheren gegevensbeheer en privacy. Ze analyseren historische en actuele gegevens om naleving van regels en voorschriften te helpen handhaven. Bovendien bieden ze aanpasbare workflows voor compliance-rapportage.

Uitdagingen bij de implementatie van next-gen SIEM

Ondanks hun geavanceerde mogelijkheden hebben next-gen SIEM-oplossingen ook nadelen.

1. Overdaad aan gegevens en kwaliteitsproblemen: Een organisatie kan dagelijks miljarden gebeurtenissen registreren. Het opslaan, samenvoegen en analyseren van deze gegevens om informatie voor het beheer van bedreigingen op te halen, kan next-gen SIEM-systemen overbelasten en hun effectiviteit verminderen.
2. Tekort aan vaardigheden en beperkte middelen: De cyberbeveiligingssector kampt met een tekort aan talent. Wereldwijd zijn er ongeveer vier miljoen cybersecurityspecialisten nodig. U moet een evenwicht vinden tussen uw behoefte aan next-gen SIEM-talent en uw budgetbeperkingen.
3. Integratie met bestaande beveiligingsecosystemen: De integratie van next-gen SIEM met diverse bestaande technologieën en systemen kan complex zijn. Bovendien is next-gen SIEM gebouwd voor moderne architectuur, waardoor er incompatibiliteit kan ontstaan voor organisaties die traditionele infrastructuur gebruiken.

Best practices voor het implementeren van next-gen SIEM

#1. Beoordeel de behoeften en doelstellingen van uw organisatie

De eerste succesfactor voor de implementatie van next-gen SIEM is het definiëren van specifieke bedrijfsbeveiligingsdoelen. Misschien bent u geïnteresseerd in compliance monitoring, geavanceerde dreigingsdetectie, incidentrespons, enz. Op deze manier kunt u prioriteit geven aan kritieke processen en taken die de implementatie ondersteunen.

#2. Kies de juiste leverancier en oplossing

Zodra u uw beveiligingsdoelen volledig begrijpt, is het tijd om een next-gen SIEM-leverancier te zoeken die over de capaciteit en mogelijkheden beschikt om aan uw behoeften te voldoen. Zorg ervoor dat hun productaanbod aansluit bij het budget van het bedrijf.

#3. Train uw teams adequaat

Train next-gen SIEM-beheerders en beveiligingsanalisten om ervoor te zorgen dat ze kunnen reageren op waarschuwingen. Documenteer uw implementatieproces, inclusief configuratie-, onderhouds- en operationele concepten.

#4. Blijf continu monitoren en verbeteren

Blijf de prestaties van next-gen SIEM continu monitoren en update het naar de nieuwste versie om opkomende bedreigingen aan te pakken.

Casestudy's en succesverhalen over next-gen SIEM

Golomt Bank, een in Mongolië gevestigde stedelijke retailbank, gebruikte Securonix's next-gen SIEM om zijn cyberbeveiliging te verbeteren. De bank gebruikte voorheen een traditionele, op regels gebaseerde SIEM die niet beschikte over de geavanceerde gedragsanalyses die nodig zijn om complexe cyberdreigingen te detecteren. Het kon ook geen realtime inzicht bieden in beveiligingsgebeurtenissen of gebruikmaken van statistische correlatie die next-gen SIEM-platforms zoals Singularity AI SIEM gebruiken om gebeurtenissen te correleren. Daarom stapte de bank over op Securonix, waardoor het beveiligingsteam grote hoeveelheden gegevens uit verschillende bronnen in realtime kan monitoren. Met een next-gen SIEM konden ze ook gebruikmaken van UEBA-mogelijkheden om afwijkingen beter en sneller te detecteren.

Een andere casestudy is die van Ulta Beauty, een Amerikaanse beautyretailer die Sumo Logic's Cloud SIEM gebruikte om zijn grootschalige cloudmigratie te ondersteunen en zijn uitgebreide e-commerceplatform te beveiligen. Toen de e-commerce-omzet van de retailer steeg van 200 miljoen dollar naar meer dan 2 miljard dollar, nam ook de uitdaging op het gebied van beveiliging toe. Door gebruik te maken van een next-gen SIEM verbeterde het bedrijf de responstijden bij incidenten, waardoor beveiligingskwetsbaarheden snel konden worden geïdentificeerd en verholpen. De retailer automatiseerde het onderzoek naar en de reactie op bedreigingen, waardoor op arbeidskosten werd bespaard. Kostenbesparingen zijn echter niet het enige voordeel van automatisering. Door gebruik te maken van geautomatiseerde workflows die next-gen SIEM zoals Singularity AI SIEM mogelijk maken, kunt u zich concentreren op de kernactiviteiten.

Samenvatting

Het moderne SOC vereist flexibele, lichtgewicht tools met een moderne architectuur. Traditionele SIEM kan niet aan deze eisen voldoen. Ze kunnen niet efficiënt worden geschaald en bieden niet de realtime inzichten die nodig zijn voor een snelle respons op incidenten. Next-gen SIEM-oplossingen pakken deze tekortkomingen aan met hun AI-gestuurde analyses en cloud-native architectuur. Ze zijn zeer schaalbaar en bieden realtime zichtbaarheid, geautomatiseerde workflows en incidentresponsplaybooks tegen lage overheadkosten, waardoor bedrijven een evenwicht kunnen vinden tussen financiële en beveiligingsbehoeften.

SentinelOne’s Singularity AI SIEM biedt mogelijkheden van de volgende generatie. Het maakt gebruik van AI om bedreigingen te detecteren en in realtime te reageren op beveiligingsincidenten. Vraag een demo aan om te zien hoe Singularity uw autonome SOC kan versterken.

FAQs