We hebben in een tweetal interviews met LogRhythm onderzocht hoe zij een beveiligingslaag kunnen toevoegen aan een bedrijfsnetwerk, industrieel netwerk of zelfs een cloudoplossing. LogRhythm is een geavanceerde SIEM-oplossing die op basis van een basisset aan regels, data, machine learning en behavioural learning in staat is om realtime analyses te doen. Daarbij waakt het als het ware over de veiligheid van het netwerk.
LogRhythm heeft volgens Sander Bakker, Sales Manager Northern Europe LogRhythm, een holistische benadering waarbij het vooral kijkt naar de gebruikers, endpoints en het netwerk. Uit die drie bronnen wordt zoveel mogelijk data verzameld om analyses op toe te passen. Hierbij moeten we denken aan integraties met bijvoorbeeld firewall of server monitoring tools, maar ook systeem monitoring waarbij logs worden verzameld om bijvoorbeeld bestanden te monitoren. De monitoring heeft ook betrekking op bijvoorbeeld USB-poorten en netwerken. Al die logs worden naar een centraal systeem in het netwerk gestuurd. In dat centraal systeem is de software van LogRhythm aanwezig. Dat kan een virtual machine (VM) in het netwerk zijn, maar ook een appliance. Als het netwerk aan de cloud is gekoppeld kan de VM ook daar worden uitgevoerd.
Gebruikers worden in groepen geclusterd en gemonitord
Zodra de data binnenkomt op de server begint de analyse direct. Zo beschikt LogRhythm over een standaard set aan regels die elke week wordt bijgewerkt. Die regels worden eigenlijk als eerste losgelaten op de data, want als er bekende problemen of gevaren zijn kunnen die direct worden getackeld. Daarnaast wordt de data gebruikt voor langdurige analyses van gebruikersgroepen, iets wat Bakker peer group deviations noemt. Gebruikers in het netwerk worden gemonitord en hun gedrag wordt in kaart gebracht. Gebruikers die een zelfde rol vervullen worden geclusterd in een groep en ook zodanig geanalyseerd. Als een van de gebruikers dan ineens afwijkend gedrag gaat vertonen kan het systeem die melden aan de IT-beheerder. Die kan vervolgens controleren of dit wenselijk of onwenselijk gedrag is.
Gebruikers, endpoint en netwerkverkeer
Volgens Bakker bestaat een goede analyse altijd uit data uit drie bronnen. Door data uit gebruikers, endpoints en het netwerkverkeer te halen is de kans vrij groot dat problemen voor het bedrijf vroegtijdig kunnen worden gedetecteerd. Netwerkverkeer monitoren is voor LogRhythm nog wel een uitdaging. Het bedrijf heeft een oplossing ontwikkeld die in staat is om het netwerkverkeer te monitoren. Dit kan door middel van een software-oplossing of een appliance. Deze oplossing kan deep packet inspection doen en maar liefst 3300 applicaties herkennen op basis van de data die voorbij komt. Op dit moment kan LogRhythm nog niet zelfstandig versleuteld netwerkverkeer analyseren. Hiervoor dient de klant gebruik te maken van een firewall van bijvoorbeeld Palo Alto Networks of Barracuda Networks. LogRhythm kan dan wel inpluggen op de logs van die firewall-oplossingen. Steeds meer netwerkverkeer is tegenwoordig standaard versleuteld, waardoor je een dergelijke geavanceerde firewall eigenlijk gewoon nodig hebt voor een goede analyse.
Als netwerkverkeer door LogRhythm wordt geanalyseerd zijn ze in staat om 3300 applicaties te herkennen. Hierdoor kunnen veranderingen snel worden opgepakt. De investering in een externe appliance kan dus wel zeker interessant zijn als het netwerk naar buiten toe gemonitord moet worden.
Naast IT ook OT-omgevingen monitoren
Naast de standaard computernetwerken kan LogRhythm ook OT-omgevingen monitoren. Denk hierbij aan industriële netwerken zoals SCADA/ICS en protocollen zoals Modbus, dnp3, enip, opcua, s7comm en enkele andere. Hierdoor is het product niet alleen gelimiteerd tot de standaard computernetwerken.
Voor deze netwerken is het monitoren wel wat uitdagender. Op de systemen die aan zo’n netwerk hangen kan namelijk minder worden geanalyseerd. Het is bijvoorbeeld onmogelijk om daar endpoints op te installeren. Netwerkmonitoring is in deze OT-netwerken dan ook zeer belangrijk, omdat dit vaak de enige bron is van eventuele mogelijke problemen.
Problemen sneller detecteren en handelen
Bakker stelt dat het uiteindelijke doel van een LogRhythm-oplossing is om een effectieve security posture op te zetten, waarmee bedreigingen sneller kunnen worden gedetecteerd en het bedrijf sneller kan handelen. Er is een groot te kort aan goede security mensen, dus hoe meer taken een goede SIEM-oplossing uit handen kan nemen, des te beter het is. Daarbij ligt er ook een focus op het nog efficiënter maken van processen en analyses.
Een van de belangrijkste methoden om dit te bereiken is door meer databronnen te ondersteunen die informatie kunnen verstrekken over de veiligheid van het netwerk, de endpoints of zelfs de gebruikers. Op dit moment ondersteunt LogRhythm 830 verschillende bronnen. Bovendien zijn er bijna 1000 standaardregels die automatisch een bedreiging kunnen detecteren en waar nodig automatisch kunnen reageren.
Bakker zegt hierover:
“De meeste SIEM’s komen zonder regels/use cases en moet je die zelf creëren of het zijn er een beperkt aantal. LogRhythm heeft meer dan het dubbele van de concurrentie. Dit is een van de onderscheidende features. Dit is een reden waarom een LogRhythm implementatie heel snel gedaan is en waar andere vendoren maanden en soms langer over doen omdat alle regels, use cases gebouwd moeten worden.”
Deze regels worden wekelijks geüpdatet met de nieuwste gevaren. Wij vonden dit wat weinig, want soms zijn er directe gevaren voor veel bedrijven, bijvoorbeeld WannaCry. Bakker zegt hierover dat LogRhythm Labs ook direct een update kan verzorgen en pushen mocht dat nodig zijn. In de praktijk hoeft dit maar zelden en is één week echt voldoende.
Smart response
Zo’n zes jaar geleden is LogRhythm begonnen met smart response, oftewel het automatisch reageren op incidenten. Vandaag de dag zijn gevaren steeds urgenter en is het soms niet mogelijk om alleen te waarschuwen en af te wachten wat de IT-beheerder hier nu precies mee wilt doen. Soms moet er direct actie worden ondernomen, bijvoorbeeld als de fileserver van het bedrijf is geïnfecteerd met ransomware. Hoe langer je wacht, hoe groter de schade.
Smart response kent een aantal standaard scripts, waarbij een bedrijf kan aangeven hoe in sommige situaties automatisch gehandeld mag worden. Bijvoorbeeld de gebruikersaccounts blokkeren, bepaalde processen stopzetten, een poort op een firewall dichtzetten of zelfs een complete server offline halen.
LogRhythm heeft zelf ruim 100 van dit soort script/plugins ontwikkeld, maar de ontwikkeling van deze scripts ligt nu vooral bij de community. Plugins die door de community worden gebouwd kunnen vervolgens worden gedeeld binnen de Community portal van LogRhythm. Hoeveel er exact beschikbaar zijn kan Bakker geen uitspraken over doen. Wel stelt hij dat een bedrijf via de scripting taal in principe elke automatisch oplossing kan schrijven die het maar verlangt. Er zijn allerlei connecties met externe appliances en softwarepakketten mogelijk om oplossingen te realiseren. Denk hierbij aan switches, firewalls en virusscanners.
Wij denken dat Smart Response in de toekomst de belangrijkste feature van LogRhythm zal worden, aangezien steeds meer bedrijven moeite hebben met het aan boord krijgen van een juiste CISO en security experts. Hoe beter een oplossing is en hoe meer deze zelfstandig kan oplossen hoe beter het is. Ook zal de urgentie van beveiligingsproblemen in de toekomst eerder groter dan kleiner worden. Schade moet ten alle tijden voorkomen worden. Uiteindelijk zouden bedrijven het liefste elke situatie individueel beoordelen om false positives (wanneer normaal gedrag wordt aangezien als kwaadaardig) te voorkomen. Feit is alleen dat die tijd er vaak niet is en ook de mankracht is er niet meer voor.
Bij LogRhythm zijn ze positief over Smart Response maar op dit moment ontbreekt de urgentie om vanuit het bedrijf meer scripts te ontwikkelen en beschikbaar te stellen. Ze laten dit vooral aan de community over, wat ons betreft een gemiste kans.
LogRhythm kiest voor netwerkmonitoring als product
Recent heeft het bedrijf ervoor gekozen om niet enkel een SIEM-oplossing aan te bieden. Het heeft besloten de netwerkmonitoring apart te gaan aanbieden. LogRhythm heeft namelijk gemerkt dat sommige klanten al beschikken over een SIEM, maar nog niet over netwerkmonitoring. Sommige bedrijven zijn er niet aan toe om dan ook hun SIEM te vervangen. Daarom biedt LogRhythm de netwerkmonitoring nu dus ook losstaand aan. Daarbij bepaalt de klant per GB hoeveel data er geanalyseerd moet worden.
Klanten kunnen een appliance afnemen met 1GB, 5GB of 10GB connectie. Ze kunnen er ook voor kiezen om de software zelf te installeren op een server of VM. De Netmon-applicatie van LogRhythm draait dan op de eigen hardware.
De netwerkmonitor kan in veel gevallen ook samenwerken met de SIEM-oplossing van concurrenten, zodat de kracht nog steeds gecombineerd kan worden. LogRhythm hoopt natuurlijk wel het totaalpakket te verkopen.
Playbooks en case management zijn belangrijk
Bakker stelt dat de mogelijkheden binnen LogRhythm om Playbooks te maken en case management te doen ook essentieel zijn om problemen snel te tackelen. De kennis binnen grote bedrijven is vaak verdeeld. Er zijn security-analisten met een hele brede kennis, maar er zijn ook juniors die nog wat moeten leren. Als een junior een probleem detecteert maar niet weet hoe hij of zij het moet oplossen, dan kan een Playbook de oplossing bieden. De senior medewerker zet uiteen hoe bepaalde problemen kunnen worden opgelost, waarna het simpelweg een kwestie is van een stappenplan volgen. Hetzelfde geldt voor case management. Indien gebruikers klagen over problemen, dan is het fijn dat bepaalde taken kunnen worden afgehandeld door de normale helpdesk. Normaliter zou alles op het bord van het security team komen.
Cloudondersteuning is nog een puntje van aandacht
Op dit moment biedt LogRhythm al wel ondersteuning voor het monitoren van bepaalde clouddiensten en IaaS-platformen, maar wat ons betreft is dit voor verbetering vatbaar. Zo kan LogRhythm wel wat zaken monitoren maar niet corrigeren en actie ondernemen. Het monitoren van SaaS-oplossingen van Cisco, Okta, Office 365, Qualys en Salesforce is bijvoorbeeld geen probleem. Ook kan het bepaalde logs van IaaS-platformen in kaart brengen. Volgens Bakker is er ondersteuning voor Event Hub in Azure en binnen AWS is er ondersteuning voor logs van Cloudtrail, CloudWatch Alarms, CloudWatch Logs, Configuration Event en Server Access Events. Hiervoor is ondersteuning ingebouwd voor diverse AWS API’s.
Wat steeds belangrijker wordt binnen bedrijven zijn automatische oplossingen, dat is iets waar LogRhythm nog een puntje van aandacht heeft. Als het nu op basis van AWS en Azure logs een mogelijk incident waarneemt, kan het alleen een waarschuwing sturen naar de beheerder. Het zou beter zijn als het ook direct actie kan ondernemen, door een firewall configuratie aan te passen. Dit soort ondersteuning ontbreekt nu nog. Iets wat, wat ons betreft, uiterst noodzakelijk is nu steeds meer bedrijven naar de cloud bewegen. Of het nou only cloud, multicloud of hybrid cloud is: je wilt ook die omgeving kunnen voorzien van een extra geautomatiseerde beveiligingslaag.
Al met al biedt LogRhythm echt wel meerwaarde met zijn beveiligingsoplossing, al is die nog wel voornamelijk gericht op een on-premise omgeving. De eerste stappen richting de cloud zijn gezet, maar wat ons betreft is het nu tijd om door te pakken. Bakker stelt hierop dat de klant vrij is om dat zelf te programmeren via Smart Response. De vraag is alleen of klanten daartoe bereid zijn of dat ze dan kiezen voor een andere cloudmonitoring tool. Uiteindelijk begint ook die markt snel volwassen te worden, zowel Barracuda Networks als Check Point Security spelen in op die behoefte. Zij werken aan cloudmonitoring die ook direct actie kan ondernemen op basis van beleidsregels. De ervaring die LogRhythm heeft op dit gebied is echter veel groter en daar moeten ze nu gebruik van maken.
13 uur geleden
