SIEM
Permanent uw IT bewaken?
Dat kan met een goede SIEM oplossing (security information event management tool). Wanneer u een inbraakpoging niet tijdig opmerkt kan een klein incident uitgroeien tot een enorme crisis. Zo snel mogelijk detecteren en reageren is dus van groot belang. Alles draait om het terugbrengen van de ‘mean time to resolve’.
SIEM TOOLS VOOR UW SOC
U wilt meer wil gaan doen aan detectie en response? Dan is het goed om te weten dat, naast veilig ontwerpen (design) en voorkomen (prevent), er een belangrijke eerste stap kan worden gezet door het inrichten van een Security Operations Center (SOC).
Uw SOC zal dan werken met een zogenaamde SIEM tool, ofwel een Security Information Event Management tools. Er zijn allerlei van deze SIEM oplossingen beschikbaar. Een aantal bekende zijn: AlienVault, ArcSight, LogRythm, Splunk en Q-Radar (IBM). De specialisten bij Northwave zijn goed bekend met ieder van deze software.
SIEM in de Cloud
Naast de huidige tools komen de grote Cloud providers nu ook met eigen oplossingen. Microsoft biedt bijvoorbeeld Sentinel en ook Google en Amazon hebben SIEM tools.
In principe werken de verschillende Security Information Event Management tools op dezelfde manier. Zij verzamelen cyber security informatie en log-events. Vervolgens worden door de SIEM tool zogenaamde ‘security alarmen’ afgegeven. Die komen tot stand door correlatie en het stellen van slimme vragen aan de verzamelde data. De meeste platformen gebruiken daarbij ook extern verkregen cyber threat intelligence.
False positives
Geen enkel SIEM is plug and play, wat de ‘folder’ u ook belooft. Zogenaamde ‘false positives’ zijn een bekend probleem. U krijgt een stortvloed aan alarmeringen, maar slechts een deel is relevant. Het SIEM is dan niet effectief voor uw cyber security. Dat kan alleen worden opgelost door een deskundige implementatie en kalibratie van het SIEM.
Een security analist zal dan zo’n SIEM-alarm verder moeten onderzoeken om zeker te zijn van de aard en oorzaak van het incident. De analist bepaalt daarna de oplossing voor het incident (incident response).
Elke SIEM tool heeft z’n eigen voor- en nadelen. Er zijn verschillen technische mogelijkheden, in licentie modellen en in kosten. Het goed vergelijken van de SIEM tools vraagt om diepgaande kennis van security analyse, forensics en incident response.
Northwave helpt u daar graag bij. We doen dat op twee manieren:
- U kunt deze functie in z’n geheel aan ons uitbesteden. Daarover leest u hier meer.
- We helpen u met het inrichten van uw Security Operations Center, door u te helpen een tool te kiezen (zelf zijn wij geen reseller), uw processen in te richten en uw mensen te trainen en/of tijdelijk capaciteit te bieden.
SIEM/SOC DIENSTEN
Ons Security Operations Center (SOC) behoort tot de modernste in de Benelux. Ons team is zeer ervaren en onze mensen waren betrokken bij het oprichten en verbeteren van veel SOC’s van multinationals en rijksoverheden.
SIEM specialisten vinden, binden en trainen
De onderscheidende factor is de mens. Elk platform is in staat om u te alarmeren bij incidenten. De output van een SIEM vraagt altijd nog om specialistische analyse en kennis van uw landschap. Geen enkele tool automatiseert dit proces al goed genoeg om af te kunnen met generieke beheerders.
Bij het inrichten van een SOC functie is dus niet de tooling leidend maar de vraag of u de juiste mensen kunt vinden en binden om de rol van analist en incident responder goed uit te voeren. Voor de meeste organisaties, ook multinationals is dat niet voldoende te bolwerken en wordt meestal een vorm van outsourcing of co-sourcing gevonden.
Wij hebben veel ervaring met deze vraagstukken en materie. We kunnen u onafhankelijk helpen om de juiste keuzes te maken. We doen dit voor opdrachtgevers uit vrijwel alle sectoren, inclusief organisaties die deel uit maken van de kritische infrastructuur van ons land.
Cyber Security as a service
Met de 360 graden benadering voor informatiebeveiliging van Northwave zorgt u er voor dat al uw belangrijke informatie altijd goed beveiligd is. Wij maken de doorvertaling van abstracte risico’s naar concrete verbetering van uw ICT security.
Wilt u ook permanent worden bewaakt of gaan bewaken? Neem contact met ons op of vraag een offerte aan.
