image

65% security professionals: SIEM is dood

vrijdag 16 september 2011, 10:36 door Redactie, 16 reacties

Security Information and Event Management (SIEM) biedt geen bescherming tegen geavanceerde aanvallen en het werk van insiders, aldus 65% van de security professionals. Het Amerikaanse bedrijf eIQnetworks vroeg een onbekend aantal mensen bij Global 5000 en federale instanties wat ze van SIEM vonden, en tweederde gaf een negatief antwoord.

"Net als op signatures-gebaseerde technologieën al lange tijd geen effectieve bescherming voor bedrijfs- en overheidsnetwerken zijn, is de SIEM-aanpak die geheel van logs en andere incident-gebaseerde informatie afhankelijk is om dreigingen te stoppen, ook dood", zegt CSO John Linkous.

Linkous laat weten dat het grote aantal succesvolle gerichte aanvallen het afgelopen half jaar, hebben laten zien dat SIEM alleen niet in staat is om systeembeheerders op tijd voor een aanval te waarschuwen en actie te laten ondernemen.

Reacties (16)
16-09-2011, 10:57 door Anoniem
Goh. Met dezelfde redenering is de firewall al in de jaren negentig dood verklaard. Het wachtwoord is ook dood. En ga zo maar door. Geen enkele security maatregel is op zichzelf afdoende of zelfs maar effectief. Het complete samenspel van maatregelen is wat telt!
16-09-2011, 11:43 door Anoniem
Zo kan je ook AV doodverklaren omdat -sommige- bedreigingen er niet mee kunnen worden opgespoord. Ik vind het antwoord van deze 65% dan ook extreem kortzichtig. Het is net zoiets als zeggen dat aftappen bij de politie dood is omdat sommige criminelen encryptie gebruiken.

Daarnaast is het probleem met SIEM m.i. niet zozeer de tooling, maar de vraag of er voldoende ervaren mensen worden vrijgemaakt om de informatie te analyseren. Vaak is dat een ondergeschoven kindje. Men heeft de SIEM staan, en vervolgens krijgen de beveiligers zoveel ander werk dat er nauwelijks wat mee wordt gedaan.
16-09-2011, 11:51 door Anoniem
Helemaal mee eens! Het is een samenspel van preventieve, detectieve, repressieve en correctieve maatregelen die de basis vormen voor informatiebeveiliging.
16-09-2011, 13:03 door Anoniem
wtf is SIEM??
16-09-2011, 13:04 door Anoniem
ten eerste ben ik het er volkomen mee eens dat SIEM niet de 100% oplossing is, maar dat is dit nooit! het is altijd een combinatie.

En security.nl kennende is het wel weer een "schreeuwend" artikel met "pakkende kop". Het zou security.nl is een keer sieren om alle feiten in een artikel te noemen, en niet alleen de "pro pakkende kop" feiten.

Ik kom in de presentatie van dit onderzoek nergens de genoemde 65% tegen?
Link:
http://www.eiqnetworks.com/resources/SIEM_is_DEAD.php

Daar komt bovenop dat 25% van de ondervraagde geen security specialist is of overig.
16-09-2011, 14:07 door Anoniem
Ook volgens het 'onderzoek':
What security monitoring tool do your organization use today?
SIEM 56%, enough said.

En wat wil eIQnetworks dan doen?
Dit is gewoon reclame om hun eigen produkten/diensten te kunnen verkopen.
16-09-2011, 14:55 door Sokolum
Tja, als 65% van menging is dat SIEM niet werkt, ben ik bang dat SIEM gewoon niet juist is geïmplementeerd. Het idee van SIEM van een jaren geleden is dat je opzoek ging naar verdachte patronen door je gegevens uit je firewall en je IDP samen te combineren. Achterhaald idee. Vandaag de dag moet je veel meer patronen uit je netwerk omgeving gaan correleren om iets te krijgen voor wat je wilt gaan detecteren (firewalls, IDP, Servers, Authenticatie, etc). Het kan allemaal, maar het is zeer specialistisch monniken werk. Daarnaast ben je ook niet klaar met het inregelen. Maar voordat je hebt staan, moet je organisatie al ea zijn procedures op orde hebben. Je kunt absoluut niet zomaar meer iets in je netwerk gaan aanpassen of toevoegen. Met SIEM ben je na het installeren en configureren niet klaar, het is een continue proces.

Ik weet nu al dat de meerderheid van de bedrijven die een SIEM hebben staan, het niet juist wordt onderhouden.

SIEM - Security information and event management
16-09-2011, 15:18 door dutchfish
Als het niet zo triest was, dan zou ik me hierover een breuk lachen.

Zolang geautomatiseerde analyse technieken aan de voordeur niet juist omgaan met zelf-organiserende mechanismen welke op de juiste manier zijn geïmplementeerd is door menselijke falen elke poging tot SI en event management gedoemd te mislukken omdat de gebruikte technieken te grof zijn voor een juiste detectie.

Als we dan ook nog heuristische informatie uit het WAN willen correleren, dan is waarschijnlijk het onderhoudswerk groter dan de moeite aan implementatie. Dat wordt dus al snel te duur en is bovendien binnen de context van 'werkdruk', wispelturig en onvoorspelbaar. Reden dus om de techneut die dit als zorgplicht meekrijgt al snel extra taken toe te bedelen.

Kortom, een 'receipt for disaster'
16-09-2011, 19:48 door Anoniem
Siem is een management tool dat inzicht geeft en correlatie doet rondom informatie die security of andere systemen genereren... Sinds wanneer is dit een inline systeem da threats kan tegengaan? Vreemd bericht vind ik het maar..

Paul
16-09-2011, 22:31 door Securitate
het moge duidelijk zijn.
alleen zij die open en eerlijk zijn komen als overwinnaar uit de strijd.
het einde der globale apartheid nadert.
wie alles deelt hoeft niet af te schermen.
denk daar maar eens rustig over na.
17-09-2011, 00:46 door Sokolum
Door dutchfish: Als het niet zo triest was, dan zou ik me hierover een breuk lachen.

Zolang geautomatiseerde analyse technieken aan de voordeur niet juist omgaan met zelf-organiserende mechanismen welke op de juiste manier zijn geïmplementeerd is door menselijke falen elke poging tot SI en event management gedoemd te mislukken omdat de gebruikte technieken te grof zijn voor een juiste detectie.

Als we dan ook nog heuristische informatie uit het WAN willen correleren, dan is waarschijnlijk het onderhoudswerk groter dan de moeite aan implementatie. Dat wordt dus al snel te duur en is bovendien binnen de context van 'werkdruk', wispelturig en onvoorspelbaar. Reden dus om de techneut die dit als zorgplicht meekrijgt al snel extra taken toe te bedelen.

Kortom, een 'receipt for disaster'

Ja, het blijft een hulp middel. Persoonlijk blijf ik van meening dat een goede infrastructuur opzich je eerste lijn van verdediging is. SIEM blijft blijft een hulp middel, waar jij naar zou naar zou zoeken, zou SIEM daarbij kunnen helpen. Dat zou betekenen dat de je infra zeer strikt van opzet zou moeten zijn en dat elke afwijking je daarvan een trigger zou moeten zijn, heuristisch bijna wel, eigenlijk een complex verhaal.
17-09-2011, 11:07 door Anoniem
Wij van wc eend... Een SIEM met de juiste configuratie en feeds geeft wel degelijk inzicht. Een slecht gebakken SIEM werkt niet. Net zoals een IDS wat niet goed getuned is ook waardeloos is. Net zoals antivirus zonder updates niet goed werkt. SIEM is onderdeel van een proces en een raamwerk aan maatregelen.

Wat deze produkt slijtende noobs eens zouden moeten doen is 10 jaar ervaring gaan op doen in echte operationele security in een heterogene omgeving. Meerdere soorten Unix, Windows, Databases, Aplliances, beheerteams, etc. Vooral dan ook om allerlei soorten dreigingen te moeten mitigeren zoals configuratie fouten, stupide beheer, foute builds, insider threats, malware, blended attacks, ontbrekende anti afluister maatregelen, slechte fysieke beveiliging, APT's...

Dan doet men dergelijke ongenuanceerde uitspraken niet. Er is niet 1 oplossing voor alle security risico's waar een organisatie aan bloot staat. Wie denkt dat een dergelijk produkt bestaat of te maken is is NAIEEEEF...

Eigenlijk best wel veel woorden voor een duidelijk domme en ongenuanceerde stelling... Nou jah het is weekend...

My two cents...
The Italian Connection
(insiders know ;) )
17-09-2011, 18:30 door Overcome
Door Securitate: het moge duidelijk zijn.
alleen zij die open en eerlijk zijn komen als overwinnaar uit de strijd.
het einde der globale apartheid nadert.
wie alles deelt hoeft niet af te schermen.
denk daar maar eens rustig over na.

Ik heb er over nagedacht, en kom tot de conclusie dat je je alleen maar richt op vertrouwelijkheid en niet op integriteit en beschikbaarheid van de gegevens. Het feit dat iedereen alle gegevens mag zien (denk aan medische gegevens) wil nog niet zeggen dat iemand mijn dosis morfine moet kunnen vervijfvoudigen zonder dat de artsen het merken.
18-09-2011, 01:55 door Securitate
Door Overcome:
Door Securitate: het moge duidelijk zijn.
alleen zij die open en eerlijk zijn komen als overwinnaar uit de strijd.
het einde der globale apartheid nadert.
wie alles deelt hoeft niet af te schermen.
denk daar maar eens rustig over na.

Ik heb er over nagedacht, en kom tot de conclusie dat je je alleen maar richt op vertrouwelijkheid en niet op integriteit en beschikbaarheid van de gegevens. Het feit dat iedereen alle gegevens mag zien (denk aan medische gegevens) wil nog niet zeggen dat iemand mijn dosis morfine moet kunnen vervijfvoudigen zonder dat de artsen het merken.
ik begrijp je reactie.
probeer nog een stap verder.
wil jij een iemand kwaad doen?
waarom zou een ander jou kwaad willen doen?
vergeet het kwaad en het verdwijnt.
wil je dat het verdwijnt?
verander je mind set en je verandert de wereld.
jouw kleine rimpel kan een grote golf veroorzaken.
just dare to dream, for life is just a dream within a dream within ...
http://www.youtube.com/watch?v=_FIUuPUEacc
jawohl, ich liebe youtube.
19-09-2011, 08:45 door N4ppy
Zucht. Security is zo veel meer dan hacker buiten de deur houden.
Een goede SIEM zal je ook vertellen als een disksysteem niet meer 100%, dat een software pakket af en toe rare dingen doet, dat henk van de boekhouding af en toe rara werk tijden heeft (net als sara?? ;) etc etc.ook allemaal security
En inderdaad een SIEM bied GEEN directe bescherming tegen hackers/insiders. Als je het ziet zijn ze al binnen.
En daar helpt een SIEM juist wel. Je ziet SNELLER dat ze binnen zijn en WAAR ze binnen zijn (geweest).
Dus kun je de schade beperken en heeft het secrity wise wel degelijk waarde.
05-11-2014, 23:15 door Anoniem
Graag wil ik weten wat voor theorieën gebruikt SIEM
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.