Ondanks flinke investeringen slagen moderne SIEM-platforms er niet zelfstandig in om bijna 80 procent van de bekende aanvalstechnieken uit het MITRE ATT&CK-framework te detecteren. Dit betekent dat de meeste SIEM-omgevingen standaard aanvalstechnieken missen, waardoor aanvallers langdurig onopgemerkt blijven. Alleen vertrouwen op SIEM voor dreigingsdetectie is dan ook riskant in het huidige dreigingslandschap.
SIEM-oplossingen (Security Information and Event Management) zijn al lange tijd een vertrouwd onderdeel van cybersecuritystrategieën. Als log- en correlatieplatform vormen ze voor veel organisaties nog altijd een belangrijk fundament binnen de security-architectuur. Vaak worden SIEM’s daarnaast ingezet voor het detecteren, onderzoeken en reageren op mogelijke dreigingen. Die losstaande aanpak was vijf tot tien jaar geleden vaak voldoende, maar het dreigingslandschap is inmiddels volledig veranderd. Alleen vertrouwen op SIEM voor dreigingsdetectie is daarom een risicovolle strategie.
Logging alleen is geen detectie
Ondanks de uitgebreide mogelijkheden van moderne SIEM’s en de groeiende investeringen hierin, krijgen de meeste organisaties onvoldoende inzicht in het gedrag van aanvallers. Uit onderzoek van CardinalOps blijkt dat moderne SIEM’s bijna 80 procent van de bekende MITRE ATT&CK-technieken niet zelfstandig detecteren. Dit zorgt voor grote hiaten in de verdedigingsstrategie van organisaties.
Dit is de reden waarom steeds meer organisaties hun SIEM aanvullen met Extended Detection and Response (XDR)-oplossingen binnen een Managed Detection and Response (MDR)-dienst, waarbij technologie wordt gecombineerd met expertise en continue monitoring.
Wanneer die koppeling niet wordt gemaakt, kunnen aanvallers nog steeds veelgebruikte technieken zoals Process Injection (T1055) toepassen en meer dan 90 dagen onopgemerkt blijven door ontbrekende detectieregels.
Een gemiddeld SIEM dekt op zichzelf slechts 21 procent van de relevante technieken. Daar komt bij dat 13 procent van de bestaande detectieregels niet functioneert, vaak door verkeerd geconfigureerde databronnen of ontbrekende logvelden. Organisaties zijn zich hier meestal niet van bewust en hebben daardoor te weinig inzicht om veelvoorkomende aanvalstechnieken te bestrijden.
Data is aanwezig maar wordt beperkt benut
Opvallend is dat dit niet voortkomt uit een gebrek aan data. Gemiddeld verwerken SIEM’s namelijk 259 logtypen uit bijna 24.000 bronnen. Theoretisch is daarmee meer dan 90 procent van het MITRE ATT&CK-framework af te dekken, wat laat zien dat het probleem niet zozeer in de technologie zelf zit, maar in het operationeel maken ervan. Zonder de juiste mensen, processen en continue optimalisatie blijft de waarde van SIEM beperkt.
Waar SIEM vooral afhankelijk is van ingestelde regels en logdata, maken XDR- en MDR-oplossingen gebruik van gedragsanalyse, endpointdata en dreigingsinformatie om afwijkingen eerder en nauwkeuriger te detecteren.
De waarde van SIEM
SIEM’s blijven een belangrijke rol spelen in moderne security-architecturen. Ze zijn nuttig voor compliance, bijvoorbeeld bij Europese regelgeving over bewaartermijnen bij NIS2 en DORA. Maar het is belangrijk om niet blind te vertrouwen op SIEM’s als enige oplossing voor betrouwbare detectie en respons. Voor effectieve dreigingsdetectie en respons worden SIEM-oplossingen in de praktijk steeds vaker aangevuld met MDR-diensten. Ook daar blijft tuning en afstemming op de eigen omgeving noodzakelijk. Detectie-engineering moet worden benaderd als een continu proces, niet als iets dat je één keer instelt.
Wanneer je organisatie sterk leunt op enkel SIEM, is dit het moment om kritisch te evalueren: dekking betekent namelijk niet automatisch effectiviteit. Dreigingsdetectie moet zich ontwikkelen van simpele dataverzameling naar een geïntegreerde aanpak, waarbij SIEM wordt aangevuld met intelligente, geautomatiseerde en continu gevalideerde detectie- en responsmogelijkheden. Oplossingen die SIEM combineren met XDR en MDR, aangevuld met offensieve securitytests en dreigingsinformatie, kunnen deze kloof overbruggen en voorkomen dat kritieke aanvallen onopgemerkt blijven. Daarmee ontstaat een aanpak die niet alleen zicht geeft op wat er gebeurt, maar ook actief ingrijpt wanneer dat nodig is.
Wil je weten waar jouw detectiestrategie nog blinde vlekken heeft? Neem contact op met Conscia voor een onafhankelijke assessment.