Beveiligingslogboekdata kunnen helpen een cyberaanval te voorkomen – als het op het juiste platform staat

Het bescheiden beveiligingslogboek, niet zo flashy als beveiligingstools zoals beveiligingsinformatie en gebeurtenisbeheer (SIEM) en uitgebreide detectie en respons (XDR), moet door meer beveiligingsteams worden afgestoft en in actie worden gebracht. In feite kan de kwaliteit van loggegevens de cyberveerkracht van een organisatie bepalen.

Dankzij eenvoudigere, snellere toegang tot data kunnen beveiligingslogs – de ruwe data die de flashy digitale producten hun magie laten doen – de sleutel zijn om een cyberaanval te starten, zo snel mogelijk te reageren op een inbreuk wanneer de breakout-tijden tot slechts 48 minuten dalen en kritieke details van beveiligingsincidenten te begrijpen nadat ze zich hebben voorgedaan. 

Hoe beveiligingslogs de veerkracht kunnen versterken

Een log analytics-oplossing kan voortdurend beveiligingslogboeken bewaken om het bewustzijn van beveiligingsincidenten te vergroten – of het nu gaat om onbevoegde toegang, een schending van het beveiligingsbeleid, een wijziging van gegevens of systeemconfiguraties zonder de juiste machtigingen of een directe aanval. Als een indicator van compromittering (IoC) wordt gemarkeerd, kunnen log analytics-oplossingen fungeren als een systeem voor vroegtijdige waarschuwing, waardoor de vooruitgang van een aanvaller kan worden gestopt. Detectiemogelijkheden kunnen ook worden gebruikt om beveiligingsscenario’s en hypothesen te testen en proactieve bedreigingsjacht uit te voeren.

Zodra u een beveiligingsincident hebt geïdentificeerd en verholpen, is het van vitaal belang om de gebeurtenis terug te leiden tot het begin ervan. Beveiligingslogboeken kunnen worden gebruikt om de persoon of het apparaat te identificeren die het systeem heeft geïnfiltreerd, te zien hoe ze zijn binnengekomen, precies te weten te komen wat ze hebben gedaan en wanneer, en te bepalen of de bedreiging aan de gang is. Deze forensische taak is een cruciaal onderdeel van herstel na de gebeurtenis. Zonder dit zal uw IT-team niet weten welke systemen kwetsbaar zijn of hoe ze moeten worden opgelost. 

Het voordeel van snelheid? Zichtbaarheid

Snelle beveiligingslogboeken zijn belangrijk – veel. Wanneer hackers toegang krijgen tot een netwerk, kunnen ze dagen of zelfs weken blijven hangen voordat mensen of technologie hun aanwezigheid detecteren. Terwijl ze onopgemerkt op de loer liggen, verzamelen aanvallers beheerdersgegevens en bereiden ze zich voor op het exfiltreren van data of het activeren van ransomware. Tijdige actie is afhankelijk van zichtbaarheid in bijna realtime – en dat vereist beveiligingslogboeken die op de juiste manier worden geactiveerd en gebruikt.

1. Kies voor een geavanceerde log analytics-oplossing.

Op één dag kunnen servers, het netwerk en de apparaten van eindgebruikers honderdduizenden, zelfs miljoenen, logboekvermeldingen genereren. Uit een onderzoek bleek dat de gemiddelde onderneming dagelijks tot 4GB aan logdata zal verzamelen. Zoveel data die zich opstapelt, zal nutteloos zijn zonder de tools om ze goed te analyseren. 

Focus op het plaatsen van de juiste analytics-tooling bovenop beveiligingslogging op drie kerngebieden: het netwerk, eindpunten en eindgebruikers. Na het verzamelen en analyseren van de logs kan een orkestratietool data verrijken die aan uw bedreigingsjagers worden doorgegeven, zodat ze een samengestelde set informatie hebben om hun beoordeling te starten. 

2. Registreer alles.

Zichtbaarheid gaat niet alleen over diepte, maar ook over breedte. U weet niet waar een inbreukpoging zal plaatsvinden, dus het hebben van logs over uw hele infrastructuur kan tijd besparen. Het is ook van essentieel belang dat uw loggingtool data verzamelt, correleert en analyseert over al deze verschillende datatypes en -bronnen en de integratie van contextuele data mogelijk maakt.

3. Beveilig de logs.

Het is dan ook niet verrassend dat beveiligingslogboeken zeer interessant kunnen zijn voor hackers, dus het is belangrijk om ze goed te beschermen. Om beveiligingslogboeken te beschermen, kunt u: 

• Versleutel of beveilig ze met een wachtwoord.
• Maak logbestanden alleen-toevoegen, wat betekent dat een gebruiker aan de logs kan toevoegen, maar niet kan wijzigen of wissen wat er al is, of onveranderlijke auditlogs kan gebruiken om nauwkeurigheid te garanderen.
• Maak kopieën van logbestanden en sla ze op in meerdere omgevingen.
• Sla logbestanden volledig op een apart systeem of server op.
• Verberg logbestanden in het systeem.
• Gebruik schrijfmedia om logbestanden op te slaan.

De mogelijkheden die u nodig hebt om de waarde van logbestanden te vermenigvuldigen

Beveiligingslogboeken en de systemen die worden gebruikt om ze te analyseren, zoals Splunk en Elastic, hebben deze mogelijkheden nodig: 

• Realtime verwerking met reproduceerbare zoek- en queryprestaties, ongeacht de loggrootte. Dit vereist een hoge verwerkingscapaciteit, lage latency en consistente prestaties die nauwkeurig zijn afgestemd op elk scenario of elke schaal.
• Ingebouwde datareductie en on-demand schaalbaarheid om meer data langer te registreren en te bewaren, voor de rijkst mogelijke analyse.
• Eenvoudige schaalbaarheid voor meerdere workloads, gelijktijdige query’s en variabele datapatronen om snelle analyse van multipetabyte-datasets mogelijk te maken.
• Meerdere logs die data correleren tussen netwerken, eindpunten en eindgebruikers. 
• Beheer eenvoud zodat u eenvoudig nieuwe query’s kunt bouwen en complexiteit kunt verminderen.

Het bereiken van dit prestatieniveau vereist een backend-infrastructuur die dit kan ondersteunen. Zonder een krachtige backend voor dataopslag is de realiteit dat zelfs succesvolle correlatiequery’s te traag kunnen zijn om bedreigingen op tijd te onthullen om schade te voorkomen. 

Als u op zoek bent naar die sneaky naald in de beveiligingsomgeving hooiberg, beschouw dan ongelooflijk performante dataopslag als een magneet om die naald naar de top te trekken. Het maakt snelle detectie en analyse van bedreigingen mogelijk. Maar als uw opslag traag is, uw datalake te immens is, of als uw query’s slecht zijn geschreven, kan het uren of zelfs dagen duren voordat het onderzoek een probleem of potentiële bedreiging heeft vastgesteld. 

Hoe Pure Storage en onze partners kunnen helpen

Pure Storage® FLASHBLADE® of FlashArray™ consolideert al uw logbestanden en integreert naadloos met zelfs de meest geavanceerde loganalytics-platforms – inclusief oplossingen van onze partners, Elastic en Splunk. FLASHBLADE en FlashArray leveren snellere tijd tot inzicht tegen lagere totale eigendomskosten. 

FLASHBLADE en FlashArray beschermen uw beveiligingslogs nog verder. Door de oplossing uit te voeren in onze SafeMode™-functie met Splunk- of Elastic-loganalytics, zorgt u ervoor dat uw logs niet kunnen worden verwijderd. Op die manier kunt u met vertrouwen herstellen na een inbreuk op de beveiliging en beschikt u over de informatie die u nodig hebt om de gebeurtenis te analyseren en actie te ondernemen om te voorkomen dat deze zich opnieuw voordoet.

Ongeacht hoeveel beveiligingsoplossingen u implementeert – of het nu gaat om netwerktoegangscontrole, bescherming tegen dataverlies, firewalls, inbraakpreventiesystemen, identiteitstoegangsbeheer, beveiligingsagenten voor cloudtoegang, antimalware, eindpuntdetectie of al het bovenstaande – is het van cruciaal belang om een actieplan te hebben voor het opsporen en verhelpen van een beveiligingsinbreuk wanneer of als deze zich voordoet.