Naast alle beschermende security maatregelen hebben we meer nodig om ons te wapenen tegen de gevaren waaraan we iedere dag worden blootgesteld. We willen namelijk kunnen ingrijpen als deze gevaren door de technische maatregelen niet worden geweerd.
Goede indicatoren
Vergelijk het met een beveiligingsbeambte op de luchthaven. Deze heeft de schone taak om de bagage van alle passagiers te checken, om te voorkomen dat zaken illegaal het land verlaten en het vliegtuig in worden gesmokkeld. Als hulpmiddel heeft deze beambte een röntgenapparaat dat de inhoud van de koffer scant op verdachte inhoud.
Naast deze technische beoordeling zal de beambte op basis van andere indicatoren proberen zoveel mogelijk smokkelwaar op te sporen. Eén van die indicatoren is het gedrag van de eigenaar van de koffer. Als deze een glimmend hoofd en zweetdruppels bij de slapen heeft en bang uit zijn ogen kijkt zal de beambte besluiten om de bagage aan een uitvoeriger onderzoek te onderwerpen.
De juiste logging
Zo ook is het met security monitoring in een IT omgeving. De next generation firewall met alle toeters en bellen is natuurlijk dusdanig goed geconfigureerd dat alle bedrijfskritische applicaties feilloos werken. Soms is daar een “open” configuratie voor nodig. Je wilt Intrusion Prevention en het Webfilter natuurlijk niet te strikt instellen, anders kan het zomaar zijn dat het belangrijkste bedrijfsproces hapert. Gelukkig produceren de firewall en de applicatieserver genoeg logging, zodat een beheerder daaruit kan opmaken wanneer iets geks aan de hand is. En net zoals de beveiligingsbeambte op de luchthaven niet alle bagage uitvoerig kan onderzoeken kan ook de beheerder niet alle logging continu nalopen om op te merken dat zijn bedrijf in gevaar is.
Bij security monitoring is het de kunst om de juiste logging te verzamelen en op een geautomatiseerde manier de zweetdruppels en andere indicatoren uit de logging te halen en een alarm te sturen naar de security beheerder, zodat direct actie kan worden genomen. Snelheid is hier belangrijk, want hoe langer een hacker ongezien zijn gang kan gaan, hoe meer schade wordt aangericht.
Nadenken over use cases
En in welke gevallen wil een security beheerder nou gealarmeerd worden? Dat is natuurlijk bij iedere organisatie een ander verhaal. Belangrijk is dat van tevoren wordt nagedacht over deze onwenselijke situaties, die om een snelle ingreep vragen. Bij welke waarneming is er genoeg indicatie voor een mogelijke dreiging en vraagt dat om snelle actie? Dit zijn de zogenaamde use cases.
Een voorbeeld hiervan is meer dan 10 foutieve inlogpogingen van een gebruiker gevolgd door een succesvolle login binnen een tijdsbestek van 60 minuten. Als het alarm hiervoor afgaat weet je ook in ieder geval dat de lockprocedure bij meerdere foutieve logins niet goed werkt of dat een unlock van het account heeft plaatsgevonden. Actie om direct op onderzoek uit te gaan!
Of als je firewall logging een indicatie geeft dat een interne laptop een verbinding probeert op te zetten met een Botnet Command & Control center. Een goed geconfigureerde firewall zal dit verkeer natuurlijk blokkeren, maar daarmee is de dreiging nog niet afgewend; grote kans dat de laptop besmet is, dus isoleren en de laptop schonen van malware is een logische actie. En zo snel mogelijk om besmetting van andere systemen te voorkomen.
Een goed begin
Als je als organisatie wilt beginnen aan security monitoring is het zaak dat je start met use cases, die goed te implementeren zijn. Security is niet altijd zwart-wit, niet ieder persoon met zweetdruppels bij de slapen heeft smokkelwaar in zijn bagage. Probeer dus te beginnen met waarnemingen, waarbij een grote kans bestaat dat de dreiging daadwerkelijk aanwezig is. En breid daarna de use cases geleidelijk uit naar complexere waarnemingen, zodat je security monitoring systeem de onmogelijke taak om alle bagage nauwkeurig te onderzoeken mogelijk maakt.