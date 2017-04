Tijdens het jaarlijkse Infiltrate Security Conference in Miami leidde beveiligingsexpert John Grigg het publiek door een standaard netwerk waarin een bekend en veelgebruikte SIEM was geïntegreerd om het publiek te laten zien hoe je kwetsbaarheden in de SIEM kon misbruiken, informatie daarover kon verzamelen en je sporen kon uitwissen.

Hoewel SIEM-technologie is bedoeld om netwerken veiliger te maken, zegt Grigg dat ze vaak verkeerd zijn geconfigureerd, en dat leidt juist tot meer kwetsbaarheden.

Sommige van deze al wat oudere tools zijn goed bruikbaar, maar het probleem is volgens Grigg dat vrijwel niemand het platform echt kent. "De leverancier die het heeft gebouwd kent het vanuit het oogpunt van ontwerp. Maar dan heb je nog de resellers, de jongens die het installeren en de interne IT-club die de systemen in gebruik nemen, en daarin is te weinig focus op (de inherente werking van) de systemen zelf."

Tegen de tijd dat de hulp wordt ingeroepen van een expert als er een probleem moet worden opgelost, zijn ze dus al enkele stappen verwijderd van degenen die het product echt kennen. En zelfs de ontwerpers en programmeurs die hun werk echt door en door kennen, zien niet altijd het grote plaatje, zegt Grigg.

"Veel kwetsbaarheden komen uit slechte configuraties en die komen weer voort uit slechte consultancy. Deze dingen zijn nu eenmaal niet bedoeld voor een groot bedrijf", zegt Grigg. Daarbij wil hij geen specifieke schuld leggen bij (een van de) betrokkenen, omdat hij denkt dat hij in zijn jongere jaren ongetwijfeld eveneens slechte adviezen heeft gegeven.

Veel bedrijven huren een partij in als de oplosser van alle problemen. Degene die gespecialiseerd zijn in SIEM-platformen, zoals Grigg uiteindelijk deed, zagen zich geconfronteerd met het "repareren wat flink was verziekt", zegt hij. En omdat veel van de SIEM-oplossingen al ouderen oplossingen zijn die in de kern dezelfde tool zijn, maar slechts een nieuwe design hebben gekregen en een nieuwe naam, zijn oude backdoors nog steeds aanwezig, zegt Grigg.

SIEM is eng

Een ander probleem is dat "veel SIEM's niet gepatcht worden omdat mensen er geen fout mee willen maken. Ze zitten diep in het netwerk en er zijn altijd nieuwe features toegevoegd die nieuwe kwetsbaarheden kunnen veroorzaken", zegt Grigg.

Forrester-analist Joseph Blankenship schreef in een recent rapport dat "in zijn eerste verschijning, SiM niet voldeed aan de verwachtingen omdat het niet in staat bleek om grote hoeveelheden data vanuit verschillende bronnen te verwerken, te verbinden en te analyseren."

Maar de nauwkeurigheid van de op rules gebaseerde technologie is niet het enige minpunt. Mark Orlando, CTO van Raytheon Foreground Security, zegt: "Een van de grootste problemen is dat de SIEM-infrastructuur in veel gevallen niet zo wordt gemanaged als de rest van het netwerk."

Waar de best practises in security onder meer stellen dat de patches stelselmatig moeten worden bijgewerkt en gemanaged en dat gebeurt dus niet op de security-infrastructuur, waardoor het platform kwetsbaar wordt. "In sommige gevallen gebeurt het dat de mensen die het hele netwerk managen niet de security-infrastructuur managen, waardoor het veroudert terwijl niemand er naar om kijkt", zegt Orlando.

Omdat SIEM's gepositioneerd zijn als het verbindingscentrum van kritieke en gevoelige data, is de kwetsbaarheid extra gevaarlijk. "Als je zoveel gevoelige data door één centraal punt laat gaan, zet je dat verbindingscentrum neer als een groot doelwit voor een aanvaller", zegt Orlando.

In veel gevallen geven organisaties hun SIEM's veel toegang en Orlando zegt dat het niet alleen toegang tot de SIEM is maar tevens toegang tot het proactief verzamelen van data vanuit andere delen van het netwerk.

