SIEM er ikke noget værd…

… Uden de rette data og det rette fokus.

Først og fremmest er SIEM blevet et pop-ord og er blot en kombination af begreberne Security Event Management og Security Information Management – med andre ord: analyse af logs med et sikkerhedsmæssigt fokus.

SIEM-produkterne lover rigtig meget, men faktum er, at medmindre du har et netværk der er 100% efter bogen og alle brugere og administratorer gør nøjagtig som de skal, vil du få et hav af falsk positiver og alarmer. 

Jeg har i min karriere endnu ikke set et netværk, der fulgte alle teorier. Hertil kommer de mange brugere, der bruger netværk til mere end de skal og/eller må.

Du har ikke arbejdet nok med logs før du har set event id 4624 type 0

Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af alt det der er udenom et SIEM-produkt. Dette er blandt andet spørgsmål som: hvilke audits skal der sættes, hvordan får man powershell log med, hvilke events kan frasorteres, hvilke politikker og standarder har virksomheden, hvem skal reagere på alarmer, hvem skal behandle sager af personalemæssig karakterer, hvordan skal medarbejderne informeres, hvordan skal det tekniske skaleres, hvem leverer den bedste løsning til formålet og meget meget mere. 

Event id 4624 er altså ikke white noise

Når det hele er sat op starter det virkelige seje, men nødvendige træk, nemlig en periode hvor data skal analyseres og de ting på netværket der stikker uden for rammerne skal elimineres. Det er alt fra systemaccounts der hamrer på AD, brugere der har hola, devices der ikke burde være på netværket, errors, tidsfordkydninger der gør at kerberos anmodningen ikke lykkes og fejlparsedelogs der giver forkerte resultater. Dette arbejde kan tage 3-5 mdr. før man er klar til at lave sine første reelle alarmer. Desværre er der altså ikke noget SIEM-produkt der kan gennemføre den proces for dig. Og endnu vigtigere – du bliver aldrig færdig med den proces. 

Sikkerhedsmæssigt, netværksmæssigt og awareness-mæssigt får du MEGA meget ud af at begynde at arbejde med log-analyse

SIEM-produkterne er ingenting i sig selv – og medmindre du rent faktisk gerne vil have en masse falsk positive alarmer og ikke opdage det du frygter eller logge det du burde, så kræver analyse af logs med et sikkerhedsmæssigt fokus nogen, der sidder på daglig basis og forholder sig til alarmer og analyserer på de logs der indhentes. Med andre ord skal der konstant stilles skarpt på den virkelighed der er på netværket før man kan opdage det der ikke bør være der.

2×2 er ikke 5751

Pointen er, at man skal kunne analysere sig frem til om der er åbenlyse fejl og det kræver et kendskab til hvad der er normalt. Jo mere man ved om det normale jo lettere er det at spotte det unormale. Desuden er det vigtigt, at få viden om hvad der er muligt og hvad der er nødvendigt at få af data fra alle de enheder der sender deres logs. SIEM opdager ikke fejlparsede logs eller ændringer i log strukturen – du får bare falske resultater. 

InvokeShellcode – av, av, av

Der kommer hele tiden nye metoder hvorpå nogen eller noget kan få adgang til dine data udenom alt perimetersikring. Derfor skal der løbende efterforskes i de sårbarheder/metoder, der anvendes til at kompromittere data, så man ved præcis hvilke indikatorer man skal kigge efter/alarmere på. Noget kan man ikke opdage med logs, og i de tilfælde skal der gøres andre tiltag. Jeg har kun mødt et SIEM-produkt på markedet der rent faktisk kom med guidelines til hvad man burde kigge efter baseret på faglige analyser af metoder. Igen var det vejledninger og noget du selv skulle tilføre SIEM-løsningen – men ros til dette SIEM-produkt for at forstå SEM delen af SIEM.

Ingen kigger der, hvor det stort set altid starter
 

Jeg har aldrig helt forstået hvorfor man er så forhippet på at indsamle logs fra servere og netværksudstyr frem for klienterne. Langt de fleste kompromitteringer ville kunne være detekteret med en overvågning af logs fra klienterne. I skal ikke høre mig sige, at man ikke skal logge fra servere og netværksudstyr, men jeg vil gerne udfordre hvor det er smartest at starte med indsamlingen af logs, hvis man står og skal prioriterer sin indsats.

Hvad er det jeg prøver at sige?

Budskabet i dette indlæg er, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver virksomhed meget i forhold til sikkerhed, awareness og netværksforståelse. Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder – både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen. Overvej derfor at få hjælp af eksperter til projektet. Vil du teste om dem du samarbejder med ved noget om analyse af logs med et sikkerhedsmæssigt fokus, så har jeg 5 gode spørgsmål du kan stille. Skriv til mig på info@wifitest.dk.

Man kan ikke købe en boks der klarer det for en – beklager..

 

Kenneth er medstifter af CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!

 

Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.

Comments are closed.