Hackers hanteren 201 aanvalstechnieken, waarvan SIEM-tools slechts 19 procent dekken. Dat blijkt uit onderzoek van CardinalOps.
Voor het vierde State of SIEM Detection Risk-rapport komt CardinalOps tot de opzienbarende conclusie dat SIEM-tools reusachtige blinde vlekken bevatten. Hoe kan het dat 81 procent van alle aanvallen in het MITRE ATT&CK v14-framework niet gedetecteerd worden?
Geen dataprobleem
Aan ontbrekende data ligt het in ieder geval niet, stelt het rapport. SIEM-tools vergaren genoeg gegevens om 87 procent van alle aanvalstechnieken te dekken. Volgens CardinalOps is het zaak om detection engineering op een hoger plan te tillen. Denk hierbij aan het voorkomen van misconfiguraties, die al ertoe leiden dat 18 procent van alle SIEM-rules nooit afgaan door verkeerd ingestelde databronnen of missende velden.
De mismatch tussen SIEM-verwachtingen en de realiteit schept momenteel onrealistische verwachtingen binnen organisaties, iets waar SOC’s op worden afgerekend. Dit omdat de meeste bedrijven helemaal geen weet hebben van de achterblijvende detectiemogelijkheden van SIEM-tools als Splunk, Microsoft Sentinel, Sumo Logic en IBM QRadar.
Een tekort… door overvloed
Je zou mogen verwachten dat organisaties genoeg software hebben ingekocht om veilig te zijn. Dat blijkt ook uit de CardinalOps-data: de gemiddelde enterprise heeft 130 verschillende securitytools. Men rekent hierbij alles van endpoint-oplossingen tot aanbod dat zich op netwerken, cloud, e-mail en authenticatie richt.
Wel lijkt er een erkenning te zijn, zij het impliciet, dat één SIEM-tool niet alles dekt. 43 procent van de onderzochte organisaties gebruikt twee of meer SIEM’s in productie. Om ze volledig te benutten, ziet CardinalOps de kans schoon om een aantal best practices te benoemen.
Best practices
Allereerst moet een organisatie volgens het rapport eens goed gaan kijken naar hoe effectief de huidige SIEM-processen zijn. Welke prioriteiten worden gesteld qua detecties? Is de verdediging wel echt op de proef gesteld met pentests en red-teaming? Ook moeten instellingen getest worden om te kijken of een rule wel af kán gaan, zodat er niet een vals gevoel van veiligheid ontstaat. Voortdurende verbetering is het laatste devies: op veel vlakken blijken organisaties minder goed te tracken wat nodig is, maar elke extra detectie die zinnig is, helpt.
Lees ook: ‘SOC van de toekomst’ heeft datamanagement van de toekomst (en vandaag) nodig