SIEM is dood… Lang leve context aware security!!

Onlangs vond de RSA Security Conference in San Francisco plaats met vele duizenden bezoekers en leveranciers. Er is heel wat gaande op het gebied van informatie-veiligheid. Niet alleen zien we de creativiteit en intensiteit van de aanvallen sterk toenemen, ook op het minder zichtbare bestrijdingsgebied volgen successen elkaar snel op. Het is duidelijk dat in security-land een snelle paradigma-verandering plaatsvindt.

Een paradigma is een algemeen heersende zienswijze hoe men normaal gesproken ‘iets’ doet. Het vaste patroon of model dat men hanteert om een activiteit uit te voeren. Een verandering van een paradigma gooit meestal de basis van vele denkwijzen en daarbij ontwikkelde oplossingsmethoden ondersteboven. Daarom worden paradigmaveranderingen vaak als een schokgolf ervaren in de betreffende vakwereld.

Nu leven we in een periode waar veel gevestigde ideeën over hoe we informatie maken, consumeren en toepassen op de helling staan. Denk aan hoe de iPhone, pas sinds 2007 beschikbaar, ons mobiel gedrag als eerste, ‘echte’ smartphone totaal veranderde. Zaken als het nieuwe werken en gebruik je eigen device kwamen daardoor in een stroomversnelling. Of neem de snelle en brede beschikbaarheid van cloud computing, waardoor informatie altijd en overal beschikbaar en te verwerken is.

Geheimhouding
De verandering in de wereld van Trust en Security is dus niet zo verwonderlijk. Maar de verborgen aard van dit fenomeen maakt de omslag abrupter en ook ingrijpender. In de wereld van security is enige geheimhouding geboden. De opzet van je beveiliging deel je vanzelfsprekend niet (snel) met derden. En mocht je slachtoffer zijn geweest van een aanval, dan is dat ook niet direct een prachtig marketingverhaal. Zulke zaken worden vaak achter gesloten deuren afgehandeld.

Dat is natuurlijk jammer als het gaat om de innovatie die momenteel met grote stappen plaatsvindt op dit gebied. Die ervaring moet we juist breed delen. Mede gebaseerd op alle – vervelende – ervaringen dat het oude model echt niet meer houdbaar is. En dat zijn al de berichten van inbraken, hacks, succesvolle virusaanvallen, cybercriminaliteit en het besef dat onze huidige verdedigingsmethoden uitgewerkt raken. Dat wordt vechten tegen de bierkaai.

Zwakste schakel
Aanvallen komen steeds onverwachter en minder zichtbaar. Dat betekent dat de ‘oude’ virusscanner ze niet direct herkent. Aanvallen worden veelvuldiger en persistent, dat wil zeggen, men blijft het steeds maar weer proberen, met als gevolg dat ‘eens’ het moment komt dat het een keer lukt. Daarnaast zoekt men via sociale media personen via wie men ongemerkt de organisatie binnen kan dringen. En zoals altijd is er ‘ergens’ een zwakste schakel. En via die schakel komt men binnen.

Big Data-analyse
De conclusie moet dan ook zijn: aanvallers zijn in principe al binnen en achter uw firewall. En dus dáár moet u hen opsporen, herkennen, vernietigen en opruimen. Begrijpen wat er intussen voor schade is aangebracht en vooral ook leren hoe u hen de volgende eerder en duidelijker herkent. Een voorbeeld van Big Data-analyse. Steeds maar weer scannen in uw eigen systemen wat de situatie is. Wat voor data door uw netwerken stroomt. Welke informatie uw medewerkers versturen en ontvangen. Wat zij opvragen en verwerken. En op elke vreemde situatie inzoomen en op bit-niveau volgen.

In security-land is logging en monitoring van gebeurtenissen en incidenten een gebruikelijke manier om te ‘weten’ wat er in het systeem gebeurt. Security Incident and Event Management (SIEM) wordt door veel organisaties gebruikt. Maar als we straks (of eigenlijk nu al) weten wat er real time gebeurt in onze netwerken en systemen, wordt dat vastleggen van al die gebeurtenissen een beetje overbodig. Wellicht nog interessant voor compliance en governance management, maar niet meer voor beveiliging.

Intelligence driven
Dat was ook een van de conclusies op de afgelopen RSA conferentie: SIEM is dood. We gaan naar wat men noemt ‘context aware security’. Beveiligingssystemen die weten in welke context gebeurtenissen plaatsvinden. Die weten of een ontvanger in een beveiligde omgeving is en of die persoon dus een confidentieel document mag openen. Of herkent dat de ontvangende persoon voldoet aan het geldende authenticatieprofiel dat actief is op dát moment. Intelligence driven security wordt het ook wel genoemd. En zoals ik al eerder besprak, de basis van intelligence is data, heel veel data, oftewel Big Data.

Big Data gaat over de fundamentele mogelijkheid te begrijpen wat er gebeurt. Om data-elementen te kunnen sorteren en de verborgen patronen te vinden. De onverwachte correlaties, de verrassende verbindingen. Big Data gaat over het met hoge snelheid analyseren van grote en complexe hoeveelheden gegevens, om ontelbare problemen op te lossen in een wijd spectrum van industriële, niet-commerciële en overheidsorganisaties. Big Data heeft de potentie ons leven te transformeren naar iets beters: onze gezondheid, onze leefomgeving en werkelijk elk facet van ons dagelijks leven. We staan aan de dageraad van Big Data en beseffen nog nauwelijks wat die ons zal brengen.

En dat geldt ook voor ons vertrouwen in de veiligheid en ons leven in deze nieuwe informatiewereld. Met nieuwe, actieve beveiligingsproducten. Of zoals RSA Chief Information Security Officer Eddie Schwartz, die leiding gaf aan NetWitness toen RSA dit bedrijf acquireerde, stelt: De trein van Big Data is stellig vertrokken van station ‘Old Security’. Maar zal in 2013 nog zeker niet arriveren op zijn volgende bestemming. Veel leveranciers beseffen dat het volgende station niet zonder Big Data en High Performance Analytics kan. Dat is goed nieuws en we leven in een innovatieve tijd. Gelukkig lopen we in de voorhoede van deze uitdagende periode.”

Hans Timmerman, CTO EMC Nederland