case study GEMEENTELIJKE UITDAGING – VEILIG (IN)LOGGEN MET SIEM Gemeentes in Nederland bieden steeds meer diensten digitaal aan. Dankzij DigiD, een digitaal paspoort met wachtwoord, kan de burger inloggen en zelf online wijzigingen doorvoeren en aanvragen regelen. Dat dit goed beveiligd moet zijn, staat buiten kijf. De beveiligingsnormen hiervoor zijn opgesteld door Logius, onderdeel van het ministerie van Binnenlandse Zaken. Gemeentes die een DigiD-inlog aanbieden op hun website, worden regelmatig geaudit en getoetst of ze aan de Logius-norm voldoen. Ook wordt scherp gekeken naar de nieuwe norm waar gemeenten zich aan moeten houden: de Baseline Informatiebeveiliging Gemeente (BIG). Na een negatief resultaat op een audit, wist een grote Nederlandse gemeente dat zij haar beveiliging op korte termijn moest verbeteren om compliant te zijn. Na grondig vooronderzoek kwam deze gemeente met haar behoefte terecht bij Avensus. Avensus zorgde er met IBM QRadar SIEM - Security Information and Event Management - voor dat de gemeente weer zonder zorgen naar de volgende audit toe kan leven. Haar burgers zijn verzekerd van de juiste bescherming van privégegevens. De betreffende gemeente kwam met een behoorlijke urgentie bij Avensus terecht vanwege een compliancy-noodzaak; verbetering van de beveiliging was nodig om te voldoen aan de gestelde normen. Met name snelheid speelde dus een grote rol in het verstrekken van de opdracht maar verder werd gekeken naar (implementatie)kosten en natuurlijk de goede werking van de oplossing. Vanuit de gemeente was al onderzoek gedaan naar bruikbare oplossingen. IBM QRadar was daar één van. “De Security Officer van de gemeente had onder meer het Gartner Magic Quadrant voor ogen bij zijn keuze. Uiteindelijk kwamen IBM QRadar en een soortgelijke oplossing van HP naar voren als de beste opties voor het oplossen van hun probleem,” vertelt Avensus security consultant Jaap Ruijgrok. “QRadar biedt zeer veel functionaliteit, werkt intuïtief, is relatief eenvoudig in gebruik en dankzij de snelle implementatietijd, houden we de kosten en TCO laag.” De gemeente focuste zich vooral op de snelheid en had dus geen voorkeur voor een leverancier. Eén van de voordelen van IBM QRadar is dat het werkt op systemen van verscheidene leveranciers. Beveiligingsmiddelen samenvoegen Avensus is zo’n vier jaar geleden begonnen met QRadar SIEM. Ruijgrok: “Security is een belangrijk aandachtspunt voor veel organisaties. De meeste bedrijven hebben al wel een firewall, antivirussoftware en andere beveiligingsmaatregelen, maar doordat dit diverse losse maatregelen zijn, is het lastig om hier zelf samenhang in te ontdekken.” SIEM is een platform dat die beveiligingsmiddelen samenbrengt en real-time en achteraf rapporteert wat er in de verschillende systemen gebeurt. De verschillende security-oplossingen loggen hun ‘events’, de activiteiten, naar het platform. SIEM zoekt vervolgens de correlatie tussen deze events. “Hierdoor krijgt de gebruiker een overkoepelend beeld van alle security-maatregelen. Dit is ofwel een rapportage achteraf, ofwel een real-time melding bij een incident. Denk aan een melding zodra iemand probeert in te breken op het systeem, waarop je dus direct kunt reageren”, legt Ruijgrok uit. Snelle implementatie dankzij gestandaardiseerde oplossing QRadar is een leveranciersonafhankelijke appliance die draait binnen de bestaande infrastructuur van de klant. Het enige wat nodig is, is dat de applicaties en systemen loggen naar het SIEM-platform waar deze verschillende events automatisch worden geanalyseerd en gecorreleerd. De beheerder ziet vervolgens op één dashboard alléén de relevante incidenten waarop actie moet worden ondernomen. Bij de gemeente die door een onvoldoende beveiligingsstructuur door de auditeur werd gewaarschuwd, is dit systeem inmiddels ingericht. AVENSUS CASE STUDY Gemeentelijke SIEM “Het instellen van de regels en het koppelen van alle middelen aan QRadar heeft slechts tien dagen geduurd met een doorlooptijd van een maand of twee”, zegt Ruijgrok. “Die snelheid kunnen we realiseren dankzij de standaard aanwezige functionaliteit binnen QRadar. Veel regels en algoritmes zijn standaard ingeregeld, dat hoeven wij niet handmatig per klant in te stellen. We adviseren en stemmen met de klant af welke regels nuttig zijn en we moeten de false positives ontdekken en bewerken.” Met de false positives bedoelt Ruijgrok bijvoorbeeld meldingen van incidenten die niet gezien hoeven te worden als veiligheidsrisico. Dankzij de standaardfunctionaliteiten en de korte implementatietijd, realiseert Avensus met IBM QRadar SIEM lagere kosten. “SIEM is ideaal voor security managers, maar ook voor netwerkbeheerders, omdat QRadar informatie over de netwerk-flow kan ontvangen. Met QRadar kunnenbijvoorbeeld netwerkstoringen snel worden geanalyseerd. Het is een krachtig platform voor troubleshooting”, vindt Ruijgrok. Na implementatie volgt beheer “Op dit moment zijn we het implementatietraject van SIEM bij deze gemeente aan het afronden. We stellen de rapportages samen en zetten alles goed”, aldus Ruijgrok. “In de testfase heeft de auditeur meegekeken. Dit Proof of Concept zorgde er al voor dat de gemeente voldoende kon aantonen dat ze nu weer op de goede weg is met haar beveiliging. Ze hoeven zich wat DigiD betreft geen zorgen te maken over de volgende audit.” Wel is nu het beheer en het reageren op incidenten een belangrijk aandachtspunt. Dit kan door de gemeente worden gedaan, na trainingen vanuit Avensus, of Avensus neemt dit beheer over in de vorm van een Managed Service. Welke keuze de gemeente ook maakt, Avensus zal de komende tijd nog betrokken blijven bij het project. Ruijgrok: “Nieuwe beveiligingsmiddelen moeten toegevoegd worden. Op dit moment is alles ondervangen, we zijn namelijk kleinschalig begonnen, onder het motto ‘think big, start small’. De kans is groot dat SIEM in de toekomst nog uitgebreid moet worden.” Ruijgrok blikt daarmee vooruit op de nieuwe norm waar gemeenten zich aan moeten houden: de Baseline Informatiebeveiliging Gemeente (BIG). Dit is breder dan de beveiliging rondom DigiD. Ruijgrok: “Met SIEM heeft deze gemeente een goed basisplatform om te gaan voldoen aan nieuwe compliancy-richtlijnen. We kunnen snel andere systemen toevoegen aan het platform en vervolgens rapportages maken die invulling geven aan de BIG.” Security Snelheid en Ervaring Snelle implementatie dankzij gestandaardiseerde oplossing QRadar is een leveranciersonafhankelijke appliance die draait binnen de bestaande infrastructuur van de klant. Het enige wat nodig is, is dat de applicaties en systemen loggen naar het SIEM-platform waar deze verschillende events automatisch worden geanalyseerd en gecorreleerd. De beheerder ziet vervolgens op één dashboard alléén de relevante incidenten waarop actie moet worden ondernomen. Bij de gemeente die door een onvoldoende beveiligingsstructuur door de auditeur werd gewaarschuwd,is dit systeem inmiddels ingericht. “Het instellen van de regels en het koppelen van alle middelen aan IBM QRadar heeft slechts tien dagen geduurd met een doorlooptijd van een maand of twee”, zegt Ruijgrok. “Die snelheid kunnen we realiseren dankzij de standaard aanwezige functionaliteit binnen QRadar. Veel regels en algoritmes zijn standaard ingeregeld, dat hoeven wij niet handmatig per klant in te stellen. We adviseren en stemmen met de klant af welke regels nuttig zijn en we moeten de false positives ontdekken en bewerken.” Met de false positives bedoelt Ruijgrok bijvoorbeeld meldingen van incidenten die niet gezien hoeven te worden als veiligheidsrisico. Dankzij de standaardfunctionaliteiten en de korte implementatietijd, realiseert Avensus met IBM QRadar SIEM lagere kosten. “SIEM is ideaal voor security managers, maar ook voor netwerkbeheerders, omdat QRadar informatie over de netwerk-flow kan ontvangen. Met QRadar kunnen bijvoorbeeld netwerkstoringen snel worden geanalyseerd. Het is een krachtig platform voor troubleshooting”, vindt Ruijgrok. Security, Managed Services en Cloud-diensten Avensus levert ICT-oplossingen voor een optimale en veilige bedrijfsvoering,met als doel totale controle en beheersbaarheid . Avensus is niet alleen gespecialiseerd in Security Services maar ook in Managed Services en Cloud Services. Het bedrijf verzorgt desgewenst het beheer van de veiligheidsmiddelen,op de servers van de klant of in de cloud. Dit doet Avensus vooral voor financiële instellingen, zorginstellingen,de overheid en voor middelgrote en grote ondernemingen. Banken zijn hierin vaak een specifieke groep, met specifieke beveiligingsvraagstukken; zo is het betalingsverkeer van de Nederlandse banken goed versleuteld met oplossingen die Avensus configureert en beheert. Deze sector is een belangrijke trendsetter op het gebied van IT-Security. Avensus is gewend op dit hoge beveiligingsniveau te acteren en hiervan profiteren andere marktsegmenten automatisch mee. Zo levert zij voor diverse organisaties een essentiële bijdrage op het gebied van reputatiebescherming, regelgeving en compliancy. www.avensus.nl tel. +31 36 53 93 100 AVENSUS CASE STUDY Gemeentelijke SIEM [email protected]
© Copyright 2024 ExpyDoc
