Expertblog: Een goed begin is het halve werk

Weblogbericht | 26-01-2023 | NCSC

Wat is SIEM in de cloud?

SIEM-oplossingen (Security Information and Event Management) bieden bedrijven de mogelijkheid om beveiligingsinformatie uit hun hele organisatie te verzamelen, op te slaan en te analyseren en IT-beheerders/beveiligingsteams te waarschuwen voor potentiële aanvallen. In de huidige complexe digitale omgevingen stellen SIEM's IT-teams in staat een breed scala aan bedreigingen in brede netwerken effectiever te detecteren en erop te reageren. Nu bedrijven echter steeds meer workloads en workflows naar de cloud verplaatsen, moet hun beveiliging meebewegen en gaan bedrijven met hun SIEM naar de cloud.

DEEL 1: WAT VOORAFGING AAN…

Wat waren de overwegingen om naar SIEM in de cloud te gaan?

Fred: Bij Van Lanschot Kempen zijn we met de hele infrastructuur naar de cloud aan het bewegen. Alles wat we on-premise hebben draaien, zijn we in de cloud aan het zetten. Het was dus een logische keuze om ook met onze security, en SIEM, die kant op te gaan. Daarnaast draagt SIEM in de cloud bij aan de flexibiliteit en schaalbaarheid.

Frank: Onze toenmalige SIEM oplossing sloot niet meer goed aan bij de business en security van Robeco. Voorheen hadden we een managed SOC bij een derde partij met een inhouse SIEM. Met een managed SOC misten we de aansluiting tussen de standaard set aan use cases en onze eigen organisatie. Daarnaast wilde we zelf regie hebben over de use cases en detectieregels. Ook bleek op technisch vlak de on-premise SIEM niet goed te kunnen verbinden met cloudoplossingen zoals SaaS-applicaties. Dit heeft ervoor gezorgd dat we naar SIEM in de cloud wilden.

Hoe heb je het bestuur meegekregen?

Fred: Dat was bij ons niet nodig omdat we met onze hele infrastructuur al naar de cloud aan het bewegen waren. 

Frank: De timing speelde een belangrijke rol. Ons contract van het inhouse SIEM en de managed SOC provider liep namelijk af. Met die combinatie was het makkelijk om aan het management aan te geven dat we een grote investering konden doen waarbij de security beter aansloot bij de organisatie.

Wat waren de overwegingen om voor de huidige leverancier te kiezen?

Fred: We hebben een marktonderzoek gedaan naar de verschillende leveranciers, en gekeken hoe goed hun producten uit de bus kwamen. Onze huidige leverancier van SIEM in de cloud kwam bij het onderzoek goed uit de bus. Wat voor ons ook heeft meegespeeld, is dat we al meerdere producten van dezelfde leverancier hadden. Het kan namelijk voordelen hebben om alles bij eenzelfde cloudprovider onder te brengen. Hierdoor was voor ons de migratie relatief makkelijk omdat we al in dezelfde omgeving zaten.

Frank: We hebben een aantal partijen een Request for Proposal (RFP) laten doen om ze met elkaar te kunnen vergelijken. Uiteindelijk kwam op basis van functionaliteit, maar ook prijs, een leverancier beter uit de bus dan de ander.

Hebben jullie gekeken naar de implicaties van het opslaan van privacygevoelige data in de cloud?

Fred: Zeker, dat is een erg belangrijk punt. Wij hebben vooraf gekeken naar de locatie van het datacenter om de privacy van de data te waarborgen. Ook is contractueel afgesproken waar de fysieke locatie is van een uitwijkdatacenter. Daarnaast zijn er afspraken gemaakt dat onze data alleen voor eigen gebruik ter beschikking staat.

Frank: We zijn erg terughoudend over waar onze data naartoe gaat. We hebben daarover goede afspraken gemaakt met onze cloud provider. Bepaalde informatie wordt alleen binnen de securitycommunity gedeeld. En de toegangsrechten op de data van ons SIEM zijn beperkt. Ook zijn er afspraken gemaakt met de leveranciers van andere producten die we hebben uitbesteed (leveranciers van bijvoorbeeld ons datacenter of werkplekken). Als een derde partij onze data in wil zien, dan beslissen wij of dat mag en wat ze kunnen zien.

Zijn er afspraken gemaakt over een exitstrategie?

Frank: We hebben tot op zekere hoogte over een exitstrategie nagedacht. Maar niet op detailniveau uitgewerkt. Als we weg zouden willen, dan kan dat, maar dan moeten we een eigen SIEM opbouwen, of migreren naar een andere omgeving. We hebben gekeken hoe we de set aan dreigingen en detectieregels, de opvolgacties, en het proces konden formuleren in een exitstrategie. En hoe we dat in een nieuwe omgeving kunnen toepassen.

We realiseren ons dat we tot op zekere hoogte in een vendor-lock-in zitten. Maar ik denk dat we daar met zijn allen inzitten. Vaak sluit je iets af bij een van de grote bedrijven, en dan heb je dat al snel.

Fred: Wij hebben daar niet echt afspraken over gemaakt. Zoals Frank ook aangeeft, heb je snel te maken met vendor-lock-in, zeker als je naar een cloudomgeving gaat.

Hoe groot is het team dat jullie hebben gebruikt voor de migratie?

Fred: We hebben geen apart team samengesteld voor de migratie, maar binnen de operatie is het kernteam ongeveer 2fte. Echter, voor de werking van het SIEM is samenwerking met andere teams essentieel. 

Frank: In totaal was het team ongeveer 13/14 man. Maar wij hebben een deel uitbesteed. Wat goed om mee te nemen is dat binnen zo’n team zowel technische als bedrijfskundige mensen moeten zitten om het procesgedeelte goed uit te werken.

Volgende week deel twee van dit drieluik. Dan vertellen Fred, Bert-Jan en Frank over hun ervaringen met het migratietraject naar SIEM in de cloud.