Next Generation SIEM: evolutie naar een geautomatiseerde beveiligingstoekomst
Cyberbeveiligingsafdelingen worstelen met toenemende datavolumes en complexe aanvallen. Waar tien jaar geleden een paar duizend logregels per dag normaal waren, verwerken moderne organisaties miljoenen events. Tegelijkertijd zijn aanvallers slimmer geworden – zij gebruiken legitieme tools, blijven maanden onopgemerkt en maken misbruik van normale bedrijfsprocessen.
De Next Gen SIEM lost deze problemen op door kunstmatige intelligentie en automatisering toe te voegen aan traditionele SIEM-functionaliteit. Maar elke leverancier claimt tegenwoordig de “volgende generatie” te bieden. De werkelijke vraag is of FortiSIEM daadwerkelijk meetbare verbeteringen levert of dat het vooral gaat om bekende functionaliteit met nieuwe etiketten.
Van logs naar correlatie
SIEM-systemen begonnen als simpele logverzamelaars. Een centrale server kreeg logs van firewalls, servers en applicaties binnen, zette deze in een database en genereerde alerts op basis van voorgedefinieerde regels. Dit werkte redelijk toen netwerken overzichtelijk waren en hackers voorspelbare patronen volgden.
Moderne aanvallen vereisen een andere aanpak. Een inbreker die legitieme inloggegevens steelt, genereert geen verdachte loginpatronen. Een malware die Windows PowerShell gebruikt, lijkt op normale systeembeheer. Traditionele regelgebaseerde SIEM-systemen falen bij dit soort scenario’s.
Next Gen SIEM’s proberen dit op te lossen door meer context toe te voegen. Het houdt bij welke systemen in gebruik zijn, wat hun normale gedrag is, en hoe zij met elkaar communiceren. In plaats van alleen naar individuele events te kijken, analyseert het patronen over tijd en tussen verschillende systemen.
De toevoeging van AI moet routine-analyses automatiseren en analisten helpen bij complexe onderzoeken. De vraag is of dit verder gaat dan standaard machine learning algoritmen die al jaren beschikbaar zijn, verpakt in nieuwe terminologie.
Marktpositie: vergelijking van gevestigde spelers
De SIEM-markt wordt gedomineerd door gevestigde leveranciers zoals Splunk, Fortinet, IBM, LogRhythm en Microsoft Sentinel. Elke oplossing heeft specifieke sterke punten en beperkingen die organisaties moeten overwegen.
Splunk excelleert in data-analyse en heeft een uitgebreid ecosysteem van apps en integraties, maar wordt regelmatig bekritiseerd vanwege hoge licentiekosten en complexe implementaties. De total cost of ownership kan prohibitief zijn voor middelgrote organisaties.
Fortinet’s FortiSIEM positioneert zich door een balans te bieden tussen functionaliteit en implementatie-eenvoud. De nauwe integratie met Fortinet’s bredere Security Fabric kan significant voordeel bieden voor organisaties die al investeren in Fortinet-infrastructuur.
IBM QRadar biedt sterke correlatie-engines en forensische mogelijkheden, maar heeft uitdagingen met schaalbaarheid en moderne gebruikerservaring. De interface voelt vaak verouderd aan vergeleken met modernere platforms.
Microsoft Sentinel profiteert van naadloze integratie met het Microsoft-ecosysteem en cloud-native architectuur, maar kan beperkingen hebben voor organisaties met diverse technologie-stacks. Vendor lock-in binnen het Microsoft-ecosysteem is een legitieme zorg.
LogRhythm biedt sterke case management en SOAR-mogelijkheden (Security Orchestration, Automation and Response), maar heeft uitdagingen met enterprise-scale deployments en moderne threat intelligence integratie.