Hoe transformeer je jouw logdata van kostenpost naar business asset

In dit artikel bespreken we hoe je dit doet zodat jullie logdata bijdraagt aan de cyberveiligheid van de organisatie.

Hoewel alle IT-systemen waardevolle logdata kunnen verzamelen, doen de meeste organisaties dit puur vanuit compliance regelgeving of op basis van de NCSC cyberhygiëne voorschriften. Toch kan het zoveel meer zijn dan een "vinkje zetten", want als we terugkijken naar grote hacks die hebben plaatsgevonden zijn de hackers vaak al veel eerder zichtbaar in de logdata - soms bestaat een kwetsbaarheid al jaren voor deze ontdekt en gepubliceerd wordt, zoals in het geval van de bekende log4j kwetsbaarheid (Log4Shell - Wikipedia)!

Maar, om je logdata vóór je te laten werken als organisatie, moet je deze eerst op een gestructureerde manier verzamelen en vervolgens inzichtelijk maken. Dat vereist een gedegen aanpak. In dit artikel bespreken we hoe je dit doet zodat jullie logdata bijdraagt aan de cyberveiligheid van de organisatie.

Wat kun je met logdata?

Als je de logdata van jullie systemen verzamelt en deze vervolgens toegankelijk en inzichtelijk maakt, dan kun je deze doorzoeken en analyseren op verdachte activiteiten. Het voordeel is dat je op deze manier veel eerder doorhebt als er een cyberincident gaande is - en daarmee kunt voorkomen dat zo'n incident uiteindelijk een calamiteit wordt.

Als wij de verhalen lezen van grote hacks en cyberincidenten die gepubliceerd worden, dan lezen we hier altijd in terug dat de cyberaanval al weken - en soms zelfs maanden (!) - gaande was voordat het een daadwerkelijk issue in de organisatie werd. Dat de cybercriminelen al zo lang binnen waren kunnen ze rapporteren doordat ze de verdachte activiteiten hebben teruggevonden in hun logdata.

Maar, als ze dit met terugwerkende kracht hebben gevonden, dan betekent dit dat ze de verdachte activiteit ook veel eerder hadden kunnen detecteren - en daarmee dus ook voorkomen.

Hoe maak je logdata inzichtelijk?

Tegenwoordig kunnen alle digitale (IT-)systemen logdata verzamelen. Maar zolang de logdata in allemaal verschillende systemen zit, is het een grote uitdaging om deze inzichtelijk te maken. De eerste stap is daarom het centraliseren van je logdata.

Om je logdata effectief te centraliseren moet je eerst een inschatting kunnen maken om hoeveel data het gaat. Kijk daarvoor naar welke systemen er in de organisatie zijn om een eerste schifting te maken. De logdata van infrastructuursystemen zoals een slagboom of de thermostaat in het kantoor is natuurlijk niet zo relevant. Maar, de logdata van je firewalls, servers, werkplekken en andere systemen betrokken bij het primaire bedrijfsproces is daarentegen cruciaal. Eventueel kun je per bedrijfsproces kijken wat de schade zou zijn als een van de systemen uitvalt.

Nadat je de belangrijkste componenten hebt geïdentificeerd, moet je achterhalen hoe je bij de logdata komt en welke data deze systemen verzamelen (de hoeveelheid data die verzameld wordt varieert namelijk enorm per systeem). In veel gevallen is bij deze stap expertise van buitenaf voor nodig, want het analyseren van de hoeveelheid en type logdata die verzamelt wordt vereist specialistische kennis die de meeste organisaties niet in huis hebben.

Vervolgens kun je de omvang van de relevante logdata inschatten en bepalen hoe je deze kunt opslaan. In veel gevallen moet er ook een financiele afweging gemaakt worden: het opslaan van gegevens is niet gratis, en de kosten moeten uiteraard opwegen tegen de baten. Binnen de Simac MDR dienst bewaren wij alle ruwe logdata standaard 12 maanden, maar organisaties maken hierin verschillende keuzes. Aangezien de meeste organisaties al snel vele gigabytes aan relevante logdata per dag verzamelen, betekent dit dat je in de meeste gevallen niet met een server en een paar extra harde schijven toe kunt - vooral niet als je deze data ook nog inzichtelijk wil maken.

Hoe vaak moet je logdata monitoren?

Als je sneller verdachte activiteiten kunt detecteren is dat natuurlijk beter, wat pleit voor real-time monitoring van de logdata. Als we kijken naar grote hacks uit het verleden waren die over het algemeen al weken gaande voordat ze een incident werden. Er is dus wel wat tijd om verdachte activiteit te detecteren, maar de hoeveelheid logdata die gecontroleerd moet worden vereist automatische detectie. Het grote probleem is dus niet per se de monitoring frequentie, maar dat de meeste organisaties überhaupt niet naar hun logdata kijken of afhankelijk zijn van manuele controles.

Let er wel op dat hackers regelmatig gebruik maken van het gat tussen vrijdag en maandag of de laatste dag voor feestdagen zoals Kerst en Oud & Nieuw. Daarnaast worden er ook regelmatig software- en systeem kwestbaarheden gepubliceerd. Meestal los je deze op met een simpele update, maar om te achterhalen of deze kwetsbaarheid ook in jouw organisatie is uitgebuit is het belangrijk om de logdata van de relevante systemen te analyseren.

Logdata als business asset

Wil je de logdata van jouw organisatie effectief opslaan, managen en inzichtelijk maken zodat je deze proactief kunt analyseren voor het detecteren van verdachte cyberactiviteiten? Dan kom je uit op een vorm van "Security Information Event Management" (SIEM) door middel van een Security Operations Center (SOC). Benieuwd hoe je dat kunt inrichten voor jouw organisatie? Wij denken graag met je mee!

Neem vrijblijvend contact op zodat we samen kunnen sparren over de eerste stap die jullie logdata inzichtelijk maakt.