De stelling van Amsterdam is een verdedigingslinie buiten en rondom Amsterdam. De bouw van deze infrastructuur heeft veertig jaar geduurd. Toen het in 1920 volledig gereed was, bleek dat het zijn functie al grotendeels had verloren. De wijze van oorlogsvoering en de aard van de dreigingen waren tijdens de bouw van de 45 forten totaal veranderd. Zo vloog het vliegtuig, dat inmiddels zijn intrede had gedaan, simpelweg over de forten heen en zette ze daarmee buitenspel.
Ditzelfde geldt voor de meeste bedrijfsnetwerken. In een poging de kroonjuwelen van een organisatie te beschermen, worden kostbare dikke ‘muren’ opgetrokken in de vorm van next gen firewalls, intrusion detection en antivirussystemen. Alleen zijn inmiddels de dreigingen en aanvalsmethodes van kwaadwillenden doorontwikkeld om juist deze vormen van bescherming te omzeilen. De ‘rat race’ tussen beveiligers en aanvallers evolueert voortdurend.
Monitoring
Effectieve bestrijding van nieuwe varianten van malware, hackaanvallen, spionage of diefstal vraagt om een drievoudige aanpak. Het eerste deel bestaat uit continue monitoring van de ict-infrastructuur en de kroonjuwelen van de organisatie, ook wel SIEM genoemd. De bestaande conventionele beveiligingsmaatregelen worden aangesloten op de centrale SIEM-instantie. Zij leveren relevante en belangrijke informatie voor de correlatie en analyse van activiteiten op het netwerk. De business owners worden begeleid in hun keuze in wat nu echt belangrijk is voor de organisatie. Wat zijn de business drivers en ‘waarom zijn wij op aarde’? Dat is eveneens cruciale input voor de selectie van de verdere nodes die het SIEM moeten voorzien van informatie.
Dreiging
De tweede belangrijke component in het effectief toepassen van SIEM is accurate threat intelligence en situational awareness. Een leger wordt door inlichtingendiensten en vooruitgeschoven posten op de hoogte gebracht van de positie van de vijand. Welke wapens ze bezitten, welke bewegingen ze maken, hoe ze communiceren enzovoort. Ook is het belangrijk te weten wie je medestanders zijn en waar zij zich ophouden. Dat dit veel kennis en ervaring vergt, moge evident zijn. Hier loopt men ook veelal tegen de grenzen aan van de mogelijkheden die de eigen organisatie heeft. Wanneer de situational awareness-component niet wordt toepast, is de effectiviteit van de dure SIEM-licentie slechts van korte duur, omdat niet wordt geanticipeerd op ontwikkelingen in de wereld.
Expertise
Tot slot is een groepje gespecialiseerde medewerkers nodig die de informatie die het SIEM genereert op waarde kunnen inschatten. In hun Security Operations Center (SOC) beschikken deze securityanalisten over de benodigde technische faciliteiten om gebeurtenissen en alarmen op te volgen en de nodige acties daarop uit te zetten.
Het is niet ingewikkeld om een server te voorzien van SIEM-software. Wat men ermee doet is een geheel andere kwestie. Naast de logische intelligentie moet er dus ook menselijke intelligentie aanwezig zijn, die in staat is om alle meldingen op waarde te schatten en om acties uit te zetten. De ‘rat race’ met kwaadwillenden buiten én binnen de organisatie wordt misschien niet direct gewonnen, maar wel op zijn minst bijzonder spannend gemaakt.
Peter Westerveld is directeur van Sincerus en Cybermonitor
