Hoe spoor je als gemeente cyberaanvallen tijdig op?
Verslag Ronde Tafel: intelligente security monitoring
Hackers zijn continu op zoek naar nieuwe wegen om hun slag te slaan. Dat maakt intelligente monitoring van je IT-landschap noodzakelijk. Maar hoe krijg je als gemeente dit snel en effectief op orde? Dat was de centrale vraag tijdens de online Ronde Tafel die Quarant en NextFence op 15 juni organiseerden in samenwerking met de BAR-organisatie (Barendrecht, Albrandswaard en Ridderkerk). Dertien gemeenten namen eraan deel. Johan Verschoor van de BAR-organisatie deelde hun belangrijkste ervaringen en leermomenten.
Onderzoek vooraf
Voorafgaand aan de Ronde Tafel voerden we een peiling uit onder de deelnemende gemeenten over hun informatiebeveiliging. Daaruit bleek dat 90% denkt in staat te zijn voldoende weerstand te bieden tegen cybercriminelen, al dan niet in samenwerking met externe specialisten. Zo’n 10% verwacht zich niet voldoende te kunnen beschermen. 30% denkt precies te weten waar ze kwetsbaar zijn en zegt zich gericht te beschermen tegen specifieke bedreigingen. 60% heeft wel gerichte beschermingsmaatregelen genomen, maar weet niet of ze daarmee alle kwetsbaarheden hebben afgedicht.
Automatisch verzamelen en analyseren van logbestanden
In de blog De uitdagingen voor gemeenten bij het tijdig opsporen van cyberaanvallen vertelde Tristan van Onselen (NextFence) dat als gemeenten aanvallers zo snel mogelijk willen ontdekken, ze niet kunnen zonder monitoring van de logbestanden van applicaties, werkplekken, netwerkcomponenten en zo door. Maar die monitoring handmatig uitvoeren is praktisch onmogelijk. In een SIEM-oplossing (SIEM = Security Information & Event Management) kun je de data uit de logbronnen automatisch verzamelen en met behulp van Artificial Intelligence analyseren. Dit heeft als groot voordeel dat je ook correlaties ontdekt die je met het blote oog niet zo snel opmerkt.
Intelligente security monitoring bij de Bar-organisatie
Johan Verschoor van de BAR-organisatie sprak over hun ervaringen met de implementatie van intelligente security monitoring. Daarbij volgden ze een tweesporentraject: zowel deelname aan GGI-veilig als eigen stappen. Vanuit dat tweede traject zijn ze april 2021 in zee gegaan met NextFence en hun dienstverlening op basis van Azure Sentinel. Het is belangrijk ook zonder menselijke interactie (buiten werktijd bijvoorbeeld) op potentiële aanvallen te kunnen reageren. De technische term daarvoor is Security Orchestration, Automation and Response (SOAR). Het definiëren en implementeren van slimme ‘use cases’ op dit gebied kost veel moeite en tijd. Dit maakt dat je de implementatie van een SIEM-oplossing en SOAR moet zien als een groeipad.
De implementatie is een reis
Andere deelnemers beamen de ervaring dat je de implementatie van intelligente monitoring vooral als een reis moet zien. Het duurt even voordat je goed met de tool kunt werken. Je begint met een basisopzet, met een beperkt aantal bronnen. Daarna voeg je steeds meer bronnen toe en laat je meer en meer meldingen automatisch afhandelen. 1 tot 2 FTE hebben de meeste deelnemers hiervoor gereserveerd. Dat betekent dat je, zeker in het begin, ook meldingen moet laten liggen. Over het algemeen kun je wel zeggen dat een SIEM-implementatie in de cloud lichter is dan een on-premise implementatie. Omdat de kosten mede afhankelijk zijn van het aantal databronnen dat je koppelt en de opslag die je nodig hebt, kun je op de kosten besparen door datatabellen die je niet meer nodig hebt op tijd leeg te gooien.
Gevaar of voordelen van eilandjes
Nu de SIEM-oplossing als onderdeel van GGI-veilig niet door lijkt te gaan, maken de deelnemers zich zorgen dat er allerlei eilandjes ontstaan. Kennis delen over generieke kwetsbaarheden blijft uiteraard enorm belangrijk. Dat gaat gemakkelijker als alle partijen dezelfde oplossingen gebruiken. Daar staat tegenover dat versnippering ervoor zorgt dat risico’s verspreid en gemitigeerd worden. In de praktijk is Microsoft bij veel gemeenten de standaard. Dat maakt Azure Sentinel voor veel organisaties een logische keuze. Zeker omdat veel leveranciers, zoals NextFence, hun dienstverlening daarop baseren. Aan de andere kant maak je je als gemeente daarmee nog meer afhankelijk van Microsoft. Er zijn ook deelnemers die Splunk gebruiken als ondersteunende tool voor hun intelligente monitoring.
De belangrijkste aandachtspunten
Wat waren samenvattend de belangrijkste tips en aandachtspunten van dit rondetafelgesprek over intelligente monitoring van je IT-landschap?
- Intelligente monitoring van je IT-landschap is meer dan alleen een tool installeren.
- Het vraagt ook om duidelijke rollen, taken en verantwoordelijkheden voor het monitoren van en reageren op meldingen.
- Benoem en beschrijf procedures: hoe te handelen bij bepaalde meldingen?
- Zorg voor duidelijke beheerprocessen waarmee je de monitoring borgt.
- Omarm de Lean-beginselen als je een SIEM-oplossing implementeert:
- Doseer, zodat je voorkomt dat je verdrinkt in de meldingen.
- Maak een Quickstart door de eerste stappen met externe begeleiding te zetten. Dan heb je de eerste resultaten ook snel.
- Maak een bewuste afweging op welke risico’s je de focus legt en welke je in beginsel accepteert. Hierdoor prioriteer je beter en kom je gerichter tot resultaten.
- Een combinatie van managed service en zelf doen biedt mogelijkheden tot 24/7 ondersteuning.
- En het verhoogt de interne security awareness en kennis.
- Het implementeren van een SIEM-oplossing is een reis.
- Budgetteer: stel vooraf vast wat je wil investeren. Voorkom financial bleeders.
- Leer: organiseer de implementatie samen met een externe partner. Dat zorgt voor een korte steile leercurve.
- Neem de tijd: 6 maanden is het minimum om grip op de tool te krijgen.
Nieuwe technologie implementeren? Doe eerst deze 3 veiligheidschecks!
Meer informatie?
Stel je vraag aan Wim. Of laat een bericht achter in de chat.
