Siem produkterne lover rigtig meget, men fakta er, at medmindre du har et netværk der er 100% efter bogen og alle brugere og administratorer gør nøjagtig som de skal, så vil du få et hav af falsk positiver og alarmer.
Jeg har i min karriere endnu ikke set et netværk der fulgte alle teorier og endnu mindre brugere der kun brugte it til det de skulle.
"Du har ikke arbejdet nok med logs før du har set event id 4624 type 0"
Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af alt det der er udenom et siem produkt. Dette er blandt andet spørgsmål som: hvilke audits skal der sættes, hvordan får man powershell log med, hvilke events kan frasorteres, hvilke politikker og standarder har virksomheden, hvem skal reagere på alarmer, hvem skal behandle sager af personalemæssig karakterer, hvordan skal medarbejderne informeres, hvordan skal det tekniske skaleres, hvem leverer den bedste løsning til formålet og meget meget mere. "Event id 4624 er altså ikke white noise"
Når det hele er sat op starter det virkelige seje men nødvendige træk, nemlig en periode hvor data skal analyseres og de ting på netværket der stikker uden for rammerne skal elimineres. Det er alt fra systemaccounts der hamrer på AD, brugere der har hola, devices der ikke burde være på netværket, errors, tidsfordkydninger der gør at kerberos anmodningen ikke lykkes og fejlparsedelogs der giver forkerte resultater. Dette arbejde kan tage 3-5 mdr. før man er klar til at lave sine første reelle alarmer. Desværre er der altså ikke noget siem produkt der kan gennemføre den proces for dig. Og endnu vigtigere - du bliver aldrig færdig med den proces.
"Sikkerhedsmæssigt, netværksmæssigt og awareness mæssigt - får du MEGA meget ud af at begynde at arbejde med log analyse"
Siem produkterne er ingenting i sig selv - og medmindre du rent faktisk gerne vil have en masse falsk positive alarmer og ikke opdage det du frygter eller logge det du burde, så kræver analyse af logs med et sikkerhedsmæssigt fokus, nogen der sidder på daglig basis og forholder sig til alarmer og analyserer på de logs der indhentes. Med andre ord skal der konstant stilles skarpt på den virkelighed der er på netværket før man kan opdage det der ikke bør være der.
"2x2 er ikke 5751"
Pointen er, at man skal kunne analysere sig frem til om der er åbenlyse fejl og det kræver et kendskab til hvad der er normalt. Jo mere man ved om det normale jo lettere er det at spotte det unormale. Desuden er det vigtigt, at få viden om hvad der er muligt og hvad der er nødvendigt at få af data fra alle de enheder der sender deres logs. Siem opdager ikke fejlparsede logs eller ændringer i log strukturen - du får bare falske resultater.
"InvokeShellcode - av, av, av"
Der kommer hele tiden nye metoder hvorpå nogen eller noget kan få adgang til dine data udenom alt perimetersikring. Derfor skal der løbende efterforskes i de sårbarheder/metoder der anvendes til at kompromitere data så man ved præcis hvilke indikatorer man skal kigge efter/alarmere på. Noget kan man ikke opdage med logs og i de tilfælde skal der gøres andre tiltag. Jeg har kun mødt et Siem produkt på markedet der rent faktisk kom med guidelines til hvad man burde kigge efter baseret på faglige analyser af metoder. Igen var det vejledninger og noget du selv skulle tilføre siem løsningen - men ros til dette siem produkt for at forstå SEM delen af siem.
"Ingen kigger der hvor det stort set altid starter"
"Hvad er det jeg prøver at sige?"
Budskabet i dette indlæg er, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver virksomhed meget i forhold til sikkerhed, awareness og netværksforståelse. Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder - både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen. Overvej derfor at få hjælp af eksperter til projektet. Vil du teste om dem du samarbejder med ved noget om analyse af logs med et sikkerhedsmæssigt fokus, så har jeg 5 gode spørgsmål du kan stille. Skriv til mig på info@wifitest.dk.
"Man kan ikke købe en boks der klarer det for en - beklager ..."
