Next Gen Siem: dé oplossing voor uw IT beveiligingsbeheer?

Legacy-oplossingen voor Security Information and Event Management (SIEM) zijn ontworpen in een tijd dat de IT-omgeving van het bedrijf een gesloten systeem was en de beveiliging gericht was op het beschermen van de perimeter.

Tegenwoordig hebben bedrijven arbeidskrachten in dienst die meerdere laptops, mobiele of IOT apparaten gebruiken om toegang te krijgen tot gegevens die zijn opgeslagen in hybride datacentra en cloudapplicaties van over de hele wereld. Oudere SIEM’s zijn echter slecht toegerust om het toenemende volume en de complexiteit van gegevens aan te kunnen.

Met een verouderde SIEM moeten beveiligingsanalisten veel tijd besteden aan het handmatig schakelen tussen oplossingen en schermen bij het opsporen van bedreigingen, het handmatig herstellen van inbraakpogingen en het schrijven en aanpassen van de handmatige regels om nieuwe bedreigingen te vinden. Ondertussen is de vraag naar cyberbeveiligingsexperts die nodig zijn om dit complexe landschap te begrijpen nog nooit zo groot geweest maar is hun aantal bij lange na niet voldoende om aan de groeiende vraag te kunnen voldoen.

Vergeleken met een verouderde SIEM, die moeite heeft om de huidige beveiligingsuitdagingen het hoofd te bieden, verbetert een Next Gen SIEM  uw beveiligingszichtbaarheid en bruikbaarheid, terwijl het beheer en de belasting van analisten wordt verminderd.

Wat maakt een SIEM “Next Gen”?

Een korte geschiedenis van SIEM

Voordat we het hebben over de volgende generatie SIEM is, is het goed om een korte geschiedenis van de technologie te behandelen en waar het begon.

De term Security Information and Event Management (SIEM) werd in 2005 bedacht door Mark Nicolett en Amrit Williams van Gartner – een portmanteau van security event management (SEM) en security information management (SIM).

Zij definieerden SIEM als “a technology that supports threat detection and security incident response, through the real-time collection and historical analysis of security events from a wide variety of event and contextual data sources.”

Vrij vertaald is dat het een technologie is die het opsporen van bedreigingen en het reageren op beveiligingsincidenten ondersteunt door middel van het in realtime verzamelen en historisch analyseren van beveiligingsgebeurtenissen uit een grote verscheidenheid aan gebeurtenisgegevens en contextuele gegevensbronnen”.

SIEM is ontstaan uit de noodzaak om te kunnen omgaan met de stortvloed aan waarschuwingen van intrusion prevention systems (IPS) en intrusion detection systems (IDS) die de IT-afdeling overspoelden. Door organisaties te helpen gebeurtenissen te aggregeren en gebeurtenissen binnen het netwerk beter te analyseren, hielp SIEM organisaties bedreigingen beter op te sporen. Het leidde er ook toe dat organisaties een meer proactieve benadering van beveiliging gingen hanteren – preventieve beveiligingstechnologieën alleen waren niet langer voldoende.

In die tijd waren legacy SIEM’s, zoals we ze zullen noemen, grotendeels gericht op het verzamelen en correleren van beveiligingsgebeurtenissen uit bronnen als firewalls en antivirussystemen, endpointbeveiliging, IDS, maar ook netwerkinfrastructuur zoals servers en draadloze toegangspunten.

De moeilijkheden met vroege SIEMs

Om hun cyberbeveiligingspositie te verbeteren, waren veel organisaties op ondernemingsniveau snel met het invoeren van de technologie. In de loop der jaren kwamen er echter problemen met oudere SIEM’s aan het licht:

• Datasets waren inflexibel, zodat sommige SIEMs de vereiste gegevens niet konden verwerken, wat betekende dat hun effectiviteit beperkt was;
• Ze waren moeilijk te onderhouden en te bedienen, wat de complexiteit verhoogde en personeel uitputte;
• De SIEM’s produceerden een groot aantal valse positieven, waardoor de beveiligingsteams nog meer werk kregen;
• Naarmate de technologie voortschreed, hadden SIEMs moeite om de evoluerende bedreigingen bij te houden, waardoor het cyberrisico voor bedrijven toenam.