Monitoring ten behoeve van het beveiligingsvolwassenheidsniveau
Een onderzoek bij Koninklijke Oosterberg B.V.Monitoring ten behoeve van het beveiligingsvolwassenheidsniveau
Een onderzoek bij Koninklijke Oosterberg B.V.Samenvatting
Koninklijke Oosterberg wil haar beveiliging op een hoger volwassenheidsniveau krijgen. Om een start te maken aan het verhogen van dit niveau heeft Oosterberg een assessment door ICT-Security bedrijf Fox-IT laten uitvoeren. Dit security assessment toont aan dat er diverse onderdelen zijn die binnen de organisatie opgepakt kunnen worden. Een van deze onderdelen is het op goede wijze inrichten van monitoring. Oosterberg wil daarom monitoring op centrale en optimale wijze in te zetten. Het primaire doel is om risicomanagement op te pakken om zo businesscontinuïteit te garanderen. Hierbij dient het mogelijk te worden voor Oosterberg om weer meer in controle te komen over haar eigen infrastructuur en ICT-omgeving. Dit dient behaald te worden door inzicht in logging en events, door trends te kunnen analyseren, correleren en rapporteren en op gebruiksvriendelijke en centrale wijze deze data te kunnen gebruiken. Uit onderzoek blijkt dat monitoring veel dimensies kent, waarbij er onder andere onderscheid gemaakt wordt tussen strategieën, protocollen en standaarden. Deze onderdelen kunnen gevolgd en ingezet worden om herleidbaar en verantwoord monitoring in te richten. Daarnaast is log management het begrip dat veelal wordt gebruikt om monitoring te beschrijven. Dit komt omdat log management onderverdeeld wordt in monitoren, loggen en rapporteren. Het onderzoek beschrijft dat al deze aspecten ingezet kunnen worden om monitoring op een hoger niveau te krijgen, waarbij een belangrijk uitgangspunt is dat het middels best practices wordt gedaan. Dit komt overeen met de wensen van Oosterberg: om het op optimale wijze te doen. Deze best practices beschrijven dat een Top-down approach het beste toegepast kan worden bij monitoring projecten, omdat dit ertoe leidt dat zowel ICT-afdeling, de techniek en businessprocessen op een lijn komen te zitten. Monitoring dient tenslotte ingezet te worden om de businesscontinuïteit te garanderen. Businesscontinuïteit kan gegarandeerd worden op het moment dat de organisatie veilig is en er geen beveiligingslekken ontstaan, waardoor de continuïteit stilvalt. Door het gehele project heen kan gesteld worden dat er twee opties beschikbaar zijn voor Oosterberg. In het geval van een technische oplossing wordt er gesproken over het toepassen van een Log Management System (LMS) of een Security Information and Event Managementsysteem (SIEM). De eisen en wensen van Oosterberg passen het beste bij het toepassen van een SIEM-oplossing, waarbij het van belang is dat de juiste oplossing geselecteerd wordt. Om tot de juiste oplossing te komen wordt er een multi criteria decision analyse uitgevoerd. Deze selectiemethode berekend welke SIEM-tool het beste bij Oosterberg past en doet dit op basis van criteria met een relevantiegewicht. Uit deze analyse blijkt dat Splunk (Enterprise Security) goed aansluit bij Oosterberg. Uit onderzoek blijkt wel dat SIEM-oplossingen in gewenste situaties geïmplementeerd worden door een partner. Uit SIEM-best practices blijkt ook dat het beheren van een SIEM-oplossing het beste gedaan kan worden door securityspecialisten, analisten of Security Operation Center (SOC) medewerkers. Bij Oosterberg is hier momenteel niet de benodigde tijd of capaciteit voor. Dit leidt tot het advies dat het implementeren en beheren van Splunk Enterprise Security beter uitbesteed kan worden. Hierdoor krijgt Oosterberg een kennisvolle partner waarmee samengewerkt kan worden, leidt dit ertoe dat er volgens best practices wordt gewerkt, dat er minimale impact is op de businessprocessen en dat een technische oplossing tot in volledigheid wordt gebruikt. Tot slot blijkt uit onderzoek ook dat gedragsanalyse van gebruikers, systemen en het inzien van rechtenwijzigingen op accounts en bestanden onder de functionaliteiten van UEBA vallen. UEBA staat voor User Entity Behavior Analysis en het blijkt dat veel leveranciers deze functionaliteit niet standaard in een SIEM-oplossing hebben zitten. Spl