SIEM SOC Sentinel

A fool with a tool is still a fool!

– Grady Booch

Toen in de vorige eeuw het belang van IT steeds groter werd en ITIL zijn opwachting maakte waren er een paar grote spelers die monitoring tools en agents maakte (HP Openview, IBM Tivoli, CA Spectrum, BMC, CiscoWorks etc). Ik ben betrokken geweest bij de implementatie van een aantal van deze tools en heb ook vrij veel trainingen met die tools gegeven. Uit al die trainingen en de verhalen van de cursisten en de implementaties zijn mij een paar zaken bijgebleven.

Het doel van de implementatie was lang niet altijd duidelijk, er kwam een leverancier met een goed verhaal en vandaaruit ging men implementeren. Wat kan de tool allemaal? Mooi, zetten we dat allemaal aan en gaan dan
eens verder kijken.
Geen enkele tool kon alle componenten in de infrastructuur monitoren (of een aantal maar heel beperkt). Kan me nog herinneren dat we bij Unisource bovenop de monitoring tool zelf nog voor een miljoen (gulden) aan BMC agents kochten en dan nog hadden we geen geïntegreerde netwerk en systeem monitoring. Sterker nog, Unisource bouwde in die tijd hun eigen monitoring tool voor het gigantische Cisco netwerk, want Ciscoworks kon helemaal niet zo groot schalen.
Events afvangen en dan een alarm aanzetten zorgde vaak in eerste instantie voor een soort gevoel van veiligheid, maar als er de hele dag honderden alarms langs kwamen en we de piepjes uitzetten en dan eens per dag alle alarmen maar eens met de hand doorgingen, waren we weer terug bij af.
Als je geen verstand van bijvoorbeeld Unix had en er kwam een alarm binnen van een Unix systeem, dan kon je er nog steeds heel weinig mee.
Het implementatietraject tot een goed werkend systeem kon wel 2 jaar duren!
Training in de systemen zelf, maar ook het opbouwen van kennis van de onderliggende infrastructuur, is essentieel.

Was het dan alleen maar drama? Nee, zeker niet! Kan me nog goed een verzekeraar herinneren die het echt wel goed voor elkaar had, die ook procedures hadden gemaakt op welke manier een nieuw systeem aangesloten moest worden en waarbij de beheerders van die systemen bepaalde welke events überhaupt gemonitord moesten worden en wat de operators dan moesten doen bij een alarm! Heel arbeidsintensief overigens, maar het werkte wel.

“A fool with a tool is still a fool”, een uitspraak van Grady Booch die in allerlei verschillende contexten is gebruikt, ook door HP die hier in de jaren 90 een whitepaper over heeft geschreven. Zet mij in de garage van een oud-collega vol met mooie en dure Festool spullen, ik ga nog steeds niet een mooie veranda of konijnenhok kunnen maken. Ik heb het niet geleerd, heb er geen ervaring mee en ook maar heel beperkt talent (die collega van mij kan aan één oog maar amper zien, maar zijn timmermansoog is bijzonder accuraat, voor mij is iets al snel recht).

Waar leidt dit verhaal over tools en vakmanschap dan naar toe? Van netwerk monitoring en bijbehorende Network Operation Centers (NOC) is de focus verschoven naar security monitoring en Security Operation Centers (SOC). We verzamelen nog veel meer data dan 25 jaar geleden, filteren ook niet meer bij het verzamelen, maar verwachten wel nuttige informatie uit al die data te krijgen. Security Events, waarbij we dus echt wel moeten bepalen wat nu eigenlijk een Event is, wat we er mee moeten, hoe zich dit wellicht verhoudt tot andere Events. Dit vereist intelligentie waarvan een deel artificieel opgevuld kan worden en we ook regels kunnen voeren aan systemen om zaken te automatiseren (AI en Machine Learning dus) maar vereist, meer dan ooit, kennis van de achter- en onderliggende systemen!

Was het vroeger al bijna niet te doen dat iemand verstand had
van de volledige infrastructuur, als ik nu vacatures voor SOC/SIEM specialisten zie langskomen, dan is het niet het schaap met de 5 poten, maar meer een duizendpoot die gevraagd wordt. Het tempo waarin ontwikkelingen gaan zorgt ervoor dat het tempo waarin mensen moeten bijleren ook omhoog moet! Tijd dus om te leren, oefenen en trainen, maar zelf ook daar prioriteit aan geven en inplannen (belangrijke zaken eerst!). Aan de andere kant is het ook noodzakelijk om naar de samenstelling van de teams te kijken, de brede basis moet voor iedereen op orde zijn, maar je ontkomt er niet aan dat mensen 1 of 2 specialismen ontwikkelen die elkaar moeten aanvullen in het team (de T- en µshaped professional).

Terug naar de titel, ja, Security Information and Event Management (SIEM) en Security Operation Centers (SOC) kunnen gebruik maken van Sentinel als een SIEM tool met ingebouwde intelligentie, maar dat neemt niet weg dat mensen die hiermee gaan werken ook vakmensen met skills moeten zijn!

A fool with a tool is still a fool!

– Grady Booch

[contact-form-7 404 "Niet gevonden"]