kwaliteitsinstituut nederlandse gemeenten in opdracht vanvereniging van nederlandse gemeenten

SECURITY INFORMATION & EVENT MANAGEMENT (SIEM) EN SECURITY OPERATIONS CENTER (SOC) BINNEN UW GEMEENTE

Gemeenten hebben in de afgelopen jaren grote stappen gezet in hun informatiebeveiliging. Met de implementatie van de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is de basis op orde. De volgende logische stap is een sterkere focus op detectie en actieve preventie van incidenten. Gezien de toenemende complexiteit van dreigingen en aanvallen zijn conventionele beveiligingsmaatregelen steeds vaker niet meer toereikend. Security Information & Event Management (SIEM) en Security Operations Center (SOC) kunnen uw gemeente helpen om deze dreigingen te adresseren. In deze factsheet worden de begrippen en hun werking uitgelegd. Deze factsheet vormt een tweeluik met de factsheet Threat Intelligence (TI) die ook beschikbaar is op de website van de IBD.

SIEM KAN SCHADE MINIMALISEREN OF IN SOMMIGE GEVALLEN ZELFS VOLLEDIG VOORKOMEN

Om geavanceerde dreigingen1, zowel vanuit binnen als buiten de organisatie, te kunnen adresseren is het essentieel om over de juiste hulpmiddelen en processen te beschikken, waarmee dreigingen en aanvallen in een zeer vroeg stadium gedetecteerd kunnen worden. Op basis van deze vroegtijdige detectie kan er actie ondernomen worden om de aanval zo snel mogelijk te stoppen of in een aantal gevallen zelfs te voorkomen. Het inrichten van een Security Information & Event Management (SIEM) proces met de bijbehorende tooling en organisatie binnen uw gemeente kan er voor zorgen dat de gevolgen van aanvallen worden verminderd of in sommige gevallen worden voorkomen.

Het SIEM proces kan worden ondersteund/aangevuld met Threat Intelligence (TI2 3). TI kan als bron voor SIEM functioneren, waardoor SIEM nog beter kan worden ingezet om de gevolgen van aanvallen te verminderen. Het is een logische volgende stap. De combinatie van SIEM en TI is in de toekomst onmisbaar. Het uitvoeren van zowel SIEM als TI kan in een Security Operations Center (SOC) belegd worden. Dit is het organisatieonderdeel dat alle IT-security gerelateerde zaken kan begeleiden en uitvoeren.

1 https://nl.wikipedia.org/wiki/Advanced_Persistent_Threat2 TI: Threat Intelligence. Informatie over actuele dreigingen bedoeld om gericht dreigingen op te kunnen sporen. 3 Zie ook de Factsheet TI van de IBD

WAT IS SIEM?SIEM is een proces dat alle beschikbare informatie binnen de ICT-infrastructuur, die een relatie heeft met informatie beveiliging, verzamelt en analyseert. Op basis van deze analyses kunnen kwetsbaarheden ontdekt worden en kunnen aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd. In figuur 1 wordt het SIEM proces schematisch weergegeven.

1Copyright © 2015 Capgemini and Sogeti – Internal use only. All Rights Reserved

Cyber Security Business Threat Control, using SIEM FastTrack | 14 december 2015

Security Information and Event Management (SIEM) tooling can be used to monitor cyber threats and attacks and act timely

SIEM is a pair of eyes in the ICT infrastructure. Those eyes can see all security related events and initiate appropriate actions to get in control of security operations.

Various excellent SIEM tools are available on the market

Network

Servers

Databases

Applications

Intrusion detection

Security events from ICT components

False positives

AttackCorrelation Alert

Followup

SIEM

Etc.

Correlationbased on use-

casesCorrelation

VulnerabilitiesRule-based

filtering Risk analysis

SIEM can minimize the damage caused

by an attack!

Figuur 1, SIEM proces

Nadat er een kwetsbaarheid, aanval of verdacht gedrag gedetecteerd wordt, kan er direct adequate actie ondernomen worden. Het is belangrijk dat dit snel gebeurt, zodat de schade tot een minimum beperkt kan blijven. Het opereren in een dergelijk situatie vergt speciale vaardigheden van de betrokken medewerkers. Medewerkers met het juiste kennisniveau en competenties zijn momenteel schaars op de arbeidsmarkt. Het uitbesteden van SIEM/SOC bij een externe leverancier kan hierbij wellicht een werkbare optie zijn.

Hoe werkt het?Om de dienstverlening van een gemeente optimaal te kunnen beschermen, is het mogelijk om scenario’s, gebaseerd op een specifiek dreigingsprofiel, te definiëren die absoluut niet voor mogen komen. Ook verdachte gedragingen op een netwerk vallen hieronder. Dit zijn de zogenaamde use-cases. Een use-case beschrijft activiteiten die, indien ze optreden, de dienstverlening direct of indirect in gevaar brengen. Met SIEM-tooling kan het netwerk gemonitord worden op basis van deze use-cases. Op het moment dat een use-case op treedt, of het er alle schijn van heeft dat deze use-case gaat optreden, genereert de SIEM-tooling een alarm.

Op basis van dit alarm kan adequate actie ondernomen worden. Op deze wijze is een passende use-case te definiëren voor ieder bedrijfsmiddel dat beschermd moet worden. Een use-case werkt als volgt:

Correlatie, filtering, analyse => alarmering + opvolging

Brute-force of Dictionary attack op

Webserver

Use-Case: Er mag geen informatie gestolen worden uit (primaire) dienst xyz.

WebServer

ApplicatieServer

DatabaseServer

Dienst xyz,normaal gebruik

Toegang tot database,

anders dan van Appl. Server.

Toegang tot appl. server,

anders dan van web server.

Toegang tot websrvr,

anders dan via browser. (http

& https)

Webserver Applicatie server Database server

Toegang vanuit onvertrouwde

locaties

Manipulatie van de

applicatie

Uitgaande connecties anders dan naar web &

database

Onverwacht grote

hoeveelheid data download

Verboden / abnormaleacties

Verboden / abnormaleacties

Verboden / abnormaleacties

Uitgaande connecties anders dan

naar applicatiesrvr

Figuur 2, werking use-case

Het ontwikkelen van de juiste use-cases is essentieel voor een effectieve implementatie van SIEM. Er zijn naar verwachting use-cases te ontwikkelen die op een groot gedeelte van de gemeenten van toepassing zijn. De IBD zal in 2017 deze basis-set van use-cases in samenwerking met gemeenten ontwikkelen en ter beschikking stellen via de gebruikelijke IBD kanalen.

False Positives Bij ieder detectiemechanisme komen er situaties voor waar een use-case op van toepassing is, maar wat eigenlijk niet tot een alarm zou moeten resulteren. Dit zijn de zoge-naamde false positives. Ook bij een SIEM-implementatie komen die voor. Een overdosis aan false positives zorgt ervoor dat de echte, belangrijke meldingen verdrinken in de massa. Het goed ontwikkelen en implementeren van de use-cases is cruciaal voor het voorkomen van grote hoe-veelheden false positives. Ook na implementatie van de use-cases is er een periode van tuning noodzakelijk, zodat het aantal false positives tot een minimum wordt terug-gedrongen. Tevens kunnen aanpassingen in de ICT-infra-structuur voor nieuwe false positives zorgen. Het is van belang om dit aspect ook in het wijzigingsbeheer te inte-greren. De IBD zal in de toekomst de gemeenten adviseren en ondersteunen bij het ontwikkelen van use-cases. Ook leveranciers kunnen hier aan bijdragen door dreigingen op bedrijfsniveau te vertalen naar technische, configureerbare use-cases.

WAT IS EEN SOC?SOC staat voor Security Operations Center. Dit is de plek in de organisatie die alle IT-security gerelateerde zaken kan begeleiden en uitvoeren. Figuur 3 en 4 geven een inzicht in wat een SOC is en hoe dit past binnen het geheel, samen met SIEM en TI.

Security Operations Center (SOC)Organisatie van bekwame, gespecialiseerde mensen, welke alle

operationele taken met betrekking tot Informatie Beveiliging kunnen uitvoeren.

Security Information & Event Management (SIEM)+

Threat Intelligence (TI)Verzamelen events, verzamelen IoC’s, verzamelen logs, correlatie van

verzamelde informatie.

Maakt gebruikvan:

Security OperationsCorrelatie, analyse, monitoring, alarmering, opvolging, rapportage, incident

management, change management, communicatie, beheer tooling.

Voert uit:

Figuur 3, verhoudingen SIEM, SOC en TI

De medewerkers van een SOC hebben specifieke, diepgaande kennis van informatiebeveiliging, zowel op het gebied van technologie als ook processen en bedrijfsvoering. Deze combinatie van competenties is momenteel schaars op de arbeidsmarkt.

Er zijn diverse manieren om een SOC in te richten en te positioneren binnen een organisatie. In deze factsheet kijken we naar de twee hoofdstromingen. De informatie binnen een SOC heeft een vertrouwelijk karakter. Dit is vaak de belangrijkste motivatie om te besluiten een SOC binnen de eigen organisatie in te richten. Een intern SOC binnen de eigen organisatie vervult doorgaans een rol zoals dat in figuur 4 is weergegeven.

SOC

SIEM

TI Wetgeving

BIG

Alarmering & aanval

stoppenIncident

afhandeling & coördinatie

Rapportage

Preventief actie op

kwetsbaar-heden

Advies & Communicati

e

Onderhoud security tooling

AnalyseRisico’s

ICT infrastructuu

r

Externe TI feeds

Gemeente

Figuur 4, SOC als interne organisatie

Aandachtspunten bij het inrichten van een intern SOC zijn:

• Zijn er mensen met de juiste competenties, of kunnen die geworven worden?

• Welke soort informatie (classificatie) zal er binnen het SOC inzichtelijk zijn en gebruikt worden?

• Zijn er wettelijke (dwingende) redenen die van invloed zijn op de inrichting van het SOC?

• Heeft men de beheer processen goed werkend ingericht?

Beweegredenen voor de keuze van het zelf inrichten van een SOC zijn:

• De gemeente wenst zeggenschap en flexibiliteit over het proces maximaal te benutten.

• De informatie moet binnen de eigen organisatie blijven i.v.m. het vertrouwelijke karakter.

• Het is technisch of anderszins onmogelijk (op onderdelen) het SOC uit te besteden.

Het inrichten van een intern SOC brengt een aantal uitdagingen met zich mee, zoals het vinden van goed gekwalificeerd en betaalbaar personeel.

Een optie is om een extern SOC van een leverancier af te nemen als dienst. Er zijn voordelen en nadelen aan het uitbesteden van diensten als een SOC en deze moeten goed tegen elkaar worden afgewogen. Gezien het vertrouwelijke karakter van de informatie binnen een SOC is het van essentieel belang dat hierbij een betrouwbare partner geselecteerd wordt. Deze partner dient uw gemeente in staat te stellen om te voldoen aan de BIG en aan relevante wetgeving. Figuur 5 geeft weer hoe een extern SOC zou kunnen opereren.

SOC

SIEM

TI

Wetgeving

BIG

Alarmering & aanval

stoppen

Incident afhandeling &

coördinatie

Rapportage

Preventief actie op

kwetsbaar-heden

Advies & Communicati

e

Onderhoud security tooling

AnalyseRisico’s

ICT infrastructuur

Externe TI feeds

Gemeente

Externe leverancier

Figuur 5, SOC uitbesteed

Het inrichten van een SOC met alle tooling en processen is een complexe onderneming. Een leverancier die dit als dienst aanbiedt kan hierbij uw gemeente in grote mate ontzorgen. Een volwassen leverancier kan uw gemeente bij het volledige proces van de inrichting ondersteunen.

Aandachtspunten bij het uitbesteden van een SOC zijn:• Hoe gaat de leverancier om met vertrouwelijke

informatie en mag dat door de opdrachtgever gecontroleerd worden? (audit, ook toetsen aan BIG)

• Zijn er wettelijke (dwingende) redenen die van invloed/belemmerend zijn op de inrichting van een extern SOC?

• Blijft de verzamelde informatie, meestal met een privacygevoelig karakter, in Nederland, of in een ander land? En wat voor wettelijke impact heeft dat?

• Stel een goede verwerkersovereenkomst4 op met duidelijke afspraken.

Beweegredenen voor de keuze van het uitbesteden van een SOC zijn:

• Men kiest ervoor kennis en ervaring die niet

4 Zie hiervoor de factsheet verwerkersovereenkomsten en de modelverwerkersovereenkomst van de IBD: https://www.ibdgemeenten.nl/factsheet-verwerkersovereenkomsten-gepubliceerd/

beschikbaar is in de eigen organisatie in te kopen.• De baten van uitbesteden wegen op tegen de kosten en

minder flexibiliteit.

Niet alleen de implementatiestrategie is belangrijk bij het inrichten van een SOC, ook de exitstrategie is van groot belang. Het ontstaan van een vendor lock-in, een situatie waarin de klant vast zit aan een bepaalde leverancier, is in alle gevallen van uitbesteding onwenselijk. Bespreek altijd met een leverancier hoe deze met een eventuele beëindiging van de dienst om gaat. Het is voornamelijk van belang wat er met de verzamelde informatie gebeurt na de beëindiging van de dienst.

WAAROM IS SIEM NODIG?Het hoofddoel van SIEM is het beperken van schade door:• Aanvallen op de ICT infrastructuur.• Exploiteren van kwetsbaarheden.

Informatiebeveiligingsincidenten kunnen leiden tot onderbreking van de dienstverlening, directe en indirecte financiële schade en zelfs tot vertrouwensschade van de burger in de gemeente (reputatieschade). Met SIEM kunnen aanvallen op de ICT-infrastructuur en het exploiteren van kwetsbaarheden vroegtijdig worden gedetecteerd. Hierdoor kan de gevolgschade sterk worden beperkt en in sommige gevallen zelfs volledig worden voorkomen.

Met de introductie van SIEM ontstaan nieuwe taken binnen de organisatie en krijgt operationele security een andere positie binnen uw gemeente. Om een optimale samenwerking te bereiken is het belangrijk om de werkzaamheden van het SOC en de andere organisatieonderdelen volledig op elkaar aan te laten sluiten en de verantwoordelijkheden goed te beleggen. De opzet en inrichting van een SOC kan uw gemeente helpen dit succesvol te realiseren.

WAT LEVERT HET VOOR GEMEENTEN OP?Gemeenten zijn klaar voor de logische vervolgstap van detectie en preventie van incidenten. SIEM kan gemeenten ondersteunen om in control te komen of te blijven. Met SIEM krijgt een gemeente real-time inzicht in de security activiteiten die plaatsvinden in de ICT-infrastructuur. Dit stelt de gemeente in staat om direct en adequaat te reageren op verdachte activiteiten in het netwerk.

SIEM kan doeltreffend bijdragen tot het actief beschermen van de (primaire) dienstverlening.

Het inrichten van een SOC is een mogelijkheid voor het beleggen van de taken die voorvloeien uit de implementatie van SIEM (en TI). Dit heeft als voordeel dat de operationele IT-security taken centraal belegd zijn en de verantwoordelijkheden eenduidig belegd kunnen worden. Dit komt de efficiëntie en daadkracht van de (IT-security)organisatie ten goede.

RANDVOORWAARDENSIEM bestaat uit meer dan enkel technologie. Het is een samenspel van mensen, processen, organisatie en technologie (zie figuur 6). Om het SIEM proces optimaal te laten werken moeten alle vier aspecten op elkaar afgestemd zijn.

Figuur 6, relatie tussen de aspecten

Om SIEM op een juiste manier in te richten moeten enkele randvoorwaarden ingevuld worden:

• Support op managementniveau binnen organisatie.• Volwassenheid (ICT-)organisatie.• Beheer op orde, zowel processen als technologie.• Incident5- en wijzigingsbeheer6 op orde.• Beschikbaarheid medewerkers met de juiste kennis en

competenties.• In geval van uitbesteding: Volwassen

leveranciersmanagement.

VolwassenheidDe manier/opzet van een implementatie van SIEM is afhankelijk van de volwassenheid van een organisatie. Het is daarom van belang om het volwassenheidsniveau eerst te bepalen.

Om de volwassenheid te bepalen kan de SIEM / SOC volwassenheidscheck7 worden gebruikt. Met dit hulpmiddel krijgt een gemeente inzicht in het huidige volwassenheidsniveau. Op basis van het vastgestelde volwassenheidsniveau kan de gemeente bepalen hoe en waarmee men kan starten bij de implementatie van SIEM. De IBD ontwikkelt in 2017 een Implementatiepakket per volwassenheidsniveau8. Een Implementatiepakket bevat richtlijnen die stapsgewijs kunnen worden uitgevoerd, passend bij het betreffende volwassenheidsniveau. Dit draagt bij aan een succesvolle implementatie in uw gemeente.

ImplementatieZoals gezegd hangt een SIEM implementatie af van de volwassenheid van de gemeente. Het SIEM implementatie proces is weergegeven in figuur 7.

SIEM implementatie Proces

1 2 3 4 5Implemen-teer SIEM Tooling incl. use-cases

Identificeer bedrijfsrisico’s

Vertaal deze risico’s naar use-cases

Analyse incidenten, formuleren advies voor respons

Passende respons op gesignaleerde incidenten

Figuur 7, implementatie proces

5 Zie hiervoor het operationele BIG product ‘Voorbeeld Incidentmanagement en response beleid’ van de IBD6 Zie hiervoor het operationele BIG product ‘Handreiking proces wijzigingsbeheer’ van de IBD7 De ‘SIEM / SOC volwassenheidscheck’ van de IBD is op het moment van schrijven in ontwikkeling en wordt gepubliceerd op de website van de IBD8 De implementatiepakketten volgen in de loop van 2017

Afhankelijk van het volwassenheidsniveau moeten er in de aangegeven stappen meer of minder activiteiten uitgevoerd worden. De basis voor een goede implementatie vormen de activiteiten in fase 1 en 2. Het is van essentieel belang dat hier voldoende aandacht aan wordt gegeven. Ook de opzet en manier van werken met en binnen een SOC is afhankelijk van de volwassenheid van de gemeente. Het is dus van belang om het niveau eerst te bepalen. Figuur 8 laat zien welke volwassenheidsniveaus er zijn en wat de kenmerken daarvan zijn.

Geen kennisen ervaring

Niveau 1

Basale kennis en ervaring aanwezig

Niveau 2

Uitgebreide kennis en ervaring

aanwezig. Men gebruikt

al TI/SIEM/SOC

Niveau 3

Autoriteit op het gebied

vanTI/SIEM/SOC

TI/SIEM/SOC volledig

ingericht.

Niveau 4

Nive

au

1

2

3

4

Tijd

Figuur 8, volwassenheidsniveaus

De implementatiepakketten die momenteel in ontwikkeling zijn bij de IBD zullen bij de weergegeven volwassenheidsniveaus aansluiten.

Aspecten in de organisatieOm het SIEM proces op een effectieve manier te kunnen laten werken zijn er verschillende verantwoordelijkheden die binnen de organisatie belegd moeten worden. Deze verantwoordelijkheden zijn:

• Risicomanagement: Het management is doordrongen van het belang van detectie van ongewenste activiteiten in de ICT infrastructuur en de daaruit volgende mitigatie van de mogelijke bedrijfsrisico’s (beschadigen vertrouwen, kosten, datalek, verloren werk). Men heeft kennis van de bedrijfsprocessen en kan daarmee de prioriteiten bepalen voor het oplossen van een gevonden aanval/exploitatie van een kwetsbaarheid.

• Technologie: De ICT afdeling (of leverancier bij uitbesteding ICT-beheer) kan op basis van technische aspecten bepalen wat er met een gedetecteerde activiteit moet gebeuren. In overleg met het management kunnen de juiste prioriteiten en oplossingsrichting bepaald worden. Het is hiervoor van belang dat er snel geschakeld kan worden tussen de betrokken niveaus in de organisatie.

• CISO: Verantwoordelijk voor het SIEM proces, inclusief de noodzakelijke verbeterslagen. Dit past binnen de verantwoordelijkheid voor het Information Security Management System (ISMS9).

• Communicatie: Het communiceren van een aanval kan gevoelig zijn en onrust veroorzaken. Zeker als dit in de media komt. Het is van belang dat dit op juiste wijze en met gepaste voorzichtigheid wordt ingevuld (de woordvoerder van de IBD kan u hierin adviseren).

9 Zie hiervoor het operationele BIG product ‘Information Security Management System’ van de IBD

ADVIES VAN DE IBDGezien de toenemende mate van complexiteit en impact van dreigingen is het sterk aan te raden om een start te maken met SIEM. De IBD adviseert de volgende stappen om te starten met SIEM:

• Start met de SIEM volwassenheidscheck.• Onderzoek of er kennis van SIEM/SOC binnen de

gemeente aanwezig is.• SIEM heeft een sterke verbinding met TI. Het is aan te

raden om hier ook in te verdiepen.• Onderzoek hoe (diensten)leveranciers waarmee de

gemeente of het samenwerkingsverband een contract heeft met dit onderwerp omgaan.

De vervolgstappen worden beschreven in de implementatiepakketten die in de loop 2017 worden ontwikkeld door de IBD.

ROL VAN DE IBDDe IBD heeft een ondersteunende rol bij de implementatie van SIEM/SOC binnen gemeenten. De IBD zal de benodigde implementatiehulpmiddelen ontwikkelen en beziet of aanvullende acties gewenst zijn.

Het inrichten van SIEM/SOC is de volgende stap in het reeds bekende (stapsgewijze) aansluitproces10 van de IBD. Stap 5 is een nieuwe, maar logische vervolgstap en sluit aan bij de behoefte van gemeenten om vervolgstappen te zetten op het gebied van informatiebeveiliging. Het is noodzakelijk om eerst de stappen 1 t/m 4 in het aansluitproces te realiseren, voordat stap 5 kan worden gezet.

ONTWIKKELINGEN IN DE TOEKOMSTDe IBD houdt de ontwikkelingen op het gebied van SIEM/SOC nauwlettend in de gaten. De IBD zoekt zoveel als mogelijk de aansluiting bij collectieve projecten en programma’s van gemeenten, VNG en KING11.

10 Zie hiervoor de aansluitstappen op de website van de IBD11 Zie ook: https://www.kinggemeenten.nl/secties/gemeentelijke-gemeenschappelijke-infrastructuur

DEFINITIE SIEM

Security Information and Event Management (SIEM) is een proces dat alle security gerelateerde informatie en gebeurtenissen in een ICT infrastructuur kan verzamelen, interpreteren, analyseren en op basis van deze analyses de noodzakelijke responses kan initiëren of uitvoeren.SIEM bestaat o.a. uit de volgende hoofdcomponenten:• Definitie en interpretatie (bedrijfs)risico’s (op basis van

use-cases)• Tooling omgeving• Organisatie (SOC, CISO, beheer teams)• Response op incidenten, gevonden dreigingen• Rapportage• Het inrichten van het SIEM proces raakt zowel de

bedrijfsvoering als de ICT omgeving en de inrichting van de operationele organisatie.

DEFINITIE SOC

Een Security Operations Center (SOC) is verantwoordelijk voor het signaleren en opsporen van kwetsbaarheden in de operationele infrastructuur, het duiden van cyberdreigingen en het adviseren van tegenmaatregelen om bestaande risico’s op te heffen.

MEER INFORMATIE

MEER INFORMATIE OVER ONZE DIENSTVERLENING VINDT U IN DE ANDERE FACTSHEETS VAN DE IBD EN OP DE WEBSITE WWW.IBDGEMEENTEN.NL. HIER KUNNEN GEMEENTEN BOVENDIEN VIA DE COMMUNITY RELEVANTE INFORMATIE MET ELKAAR DELEN, VRAGEN AAN ELKAAR STELLEN EN DOCUMENTEN UITWISSELEN. DE HELPDESK VAN DE IBD IS TE BEREIKEN TIJDENS KANTOORUREN VAN 9:00 TOT 17:00 UUR OP HET NUMMER 070 373 8011 OF VIA HET E-MAILADRES INFO@IBDGEMEENTEN.NL. TIJDENS DEZE KANTOORUREN REAGEERT DE IBD BINNEN 30 MINUTEN OP EEN INCIDENTMELDING. BUITEN KANTOORUREN IS DE IBD OP HETZELFDE NUMMER BEREIKBAAR VOOR SPOEDEISENDE MELDINGEN EN ZAL DE IBD BINNEN 60 MINUTEN REAGEREN OP EEN TELEFONISCHE OPROEP.