Security monitoring

Security monitoring is het continu bewaken van systemen, netwerken en applicaties om beveiligingsincidenten en dreigingen vroegtijdig te detecteren. Het vormt de ogen en oren van je cybersecurity-aanpak: zonder effectieve monitoring opereer je blind en ontdek je inbreuken pas wanneer de schade al is aangericht. Security monitoring omvat het verzamelen, analyseren en correleren van loggegevens en events uit je volledige IT-omgeving om verdachte activiteiten te identificeren en daarop te reageren. Voor organisaties die vallen onder de NIS2-richtlijn is security monitoring een vereiste om te voldoen aan de verplichtingen rondom incidentdetectie en -afhandeling.

Hoe werkt security monitoring? Stappen

Het security monitoring-proces begint met het verzamelen van loggegevens uit alle relevante bronnen in je IT-omgeving. Dit omvat firewalls, routers, switches, servers, endpoints, applicaties, identity providers en cloudplatformen. Elke bron genereert events die informatie bevatten over wat er gebeurt: wie logt in, welk verkeer passeert, welke bestanden worden geopend, welke processen draaien. Deze events worden gecentraliseerd in een SIEM-platform (Security Information and Event Management).

Het SIEM-platform normaliseert de loggegevens naar een uniform formaat en past correlatie-regels toe om verdachte patronen te herkennen. Een enkele mislukte inlogpoging is niet alarmerend, maar tien mislukte pogingen gevolgd door een succesvolle login vanuit een onbekende locatie is dat wel. Het SIEM combineert events uit verschillende bronnen om het volledige verhaal zichtbaar te maken dat uit individuele logs niet zou blijken.

Wanneer het SIEM een verdacht patroon detecteert, genereert het een alert die wordt opgepakt door het Security Operations Center (SOC). SOC-analisten onderzoeken de alert om vast te stellen of het een daadwerkelijk incident betreft of een false positive. Dit triage-proces vereist kennis van het netwerk, de normale bedrijfsvoering en het dreigingslandschap. Geautomatiseerde playbooks via SOAR-platformen (Security Orchestration, Automation and Response) kunnen routinematige onderzoeksstappen automatiseren om de responstijd te verkorten.

Bij een bevestigd incident escaleert het SOC naar het incident response-team, dat verdere stappen onderneemt: isolatie van getroffen systemen, forensisch onderzoek, communicatie naar stakeholders en herstelmaatregelen. De bevindingen worden teruggekoppeld naar het SIEM in de vorm van nieuwe detectieregels en threat intelligence, waardoor de monitoring continu verbetert.

Wanneer voer je security monitoring uit?

Het korte antwoord is: altijd. Effectieve security monitoring is een continu proces dat 24 uur per dag, 7 dagen per week draait. Aanvallers houden zich niet aan kantoortijden en richten zich juist op nachten, weekenden en feestdagen wanneer de bezetting lager is. Een organisatie die alleen tijdens werkuren monitort, mist potentieel de meest kritieke incidenten.

Het opzetten van security monitoring is relevant voor elke organisatie die digitale systemen gebruikt, maar de urgentie en omvang varieren. Organisaties die vallen onder NIS2, de AVG of sectorspecifieke regelgeving zoals DORA (financiele sector) zijn verplicht om adequaat beveiligingsmonitoring te implementeren. Het niet kunnen detecteren en melden van incidenten binnen de vereiste termijnen kan leiden tot aanzienlijke boetes.

Ook voor organisaties zonder wettelijke verplichting is security monitoring aan te raden zodra ze afhankelijk zijn van digitale systemen voor hun bedrijfsvoering. De gemiddelde tijd om een inbreuk te detecteren zonder dedicated monitoring is meer dan 200 dagen. In die periode kan een aanvaller ongestoord gegevens stelen, systemen compromitteren en backdoors installeren. Met effectieve monitoring wordt deze detectietijd teruggebracht tot uren of minuten.

Wat kost security monitoring?

De kosten van security monitoring varieren sterk afhankelijk van de gekozen aanpak. Een eigen SOC opzetten met 24/7 bezetting vereist minimaal vijf tot acht FTE aan analisten, een SIEM-platform, threat intelligence-feeds en infrastructuur. De jaarlijkse kosten hiervoor liggen voor een middelgrote organisatie tussen 500.000 en 1.500.000 euro, wat het voor veel MKB-organisaties onhaalbaar maakt.

Managed Security Service Providers (MSSP's) en Managed Detection and Response (MDR) dienstverleners bieden een alternatief. Zij leveren security monitoring als dienst, waarbij je profiteert van gedeelde expertise en infrastructuur. De kosten voor MDR-diensten beginnen vanaf circa 3.000 tot 10.000 euro per maand voor een MKB-organisatie, afhankelijk van het aantal endpoints, logbronnen en de gewenste responstijd.

Cloud-native SIEM-platformen zoals Microsoft Sentinel, Google Chronicle en Elastic Security bieden een tussenweg. De licentiekosten zijn gebaseerd op het volume van geingeste loggegevens. Voor een organisatie met 500 endpoints en standaard logbronnen liggen de maandelijkse kosten typisch tussen 2.000 en 8.000 euro. Hierbij komt nog de interne of externe expertise voor het beheren van detectieregels en het onderzoeken van alerts.

Bij het bepalen van het budget weeg je de kosten af tegen de potentiele schade van een niet-gedetecteerde inbreuk. Met gemiddelde schadekosten van 4,5 miljoen dollar per datalek is de investering in security monitoring snel terugverdiend als het een enkel significant incident voorkomt of vroegtijdig detecteert. Focus bij beperkt budget op de meest kritieke logbronnen. De keuze voor de juiste logbronnen bepaalt direct de effectiviteit van je monitoring en de kwaliteit van je detectiecapabiliteiten. Start met de basisset: Active Directory, e-mail, firewall en endpoint detection vormen de minimale set voor effectieve monitoring.

Veelgestelde vragen over security monitoring

Wat is het verschil tussen een SIEM en een SOC?

Een SIEM is een technologieplatform dat loggegevens verzamelt, correleert en alerts genereert. Een SOC is de organisatorische eenheid, bestaande uit mensen, processen en technologie, die verantwoordelijk is voor het monitoren en reageren op beveiligingsincidenten. Het SIEM is het primaire gereedschap van het SOC, maar een SOC gebruikt ook EDR, threat intelligence en andere tools.

Hoeveel logbronnen heb je nodig voor effectieve monitoring?

Begin minimaal met de vier kernbronnen: identity provider (Active Directory of Azure AD), firewall of netwerk-gateway, endpoint detection and response (EDR) en e-mail security gateway. Deze bronnen dekken de meest voorkomende aanvalsvectoren. Breid geleidelijk uit met cloudomgevingen, applicatiestacks en IoT-apparaten naarmate je monitoringcapabiliteit groeit.

Wat is het verschil tussen MSSP en MDR?

Een Managed Security Service Provider (MSSP) beheert je beveiligingsinfrastructuur en monitort alerts, maar reageert doorgaans niet zelf op incidenten. Managed Detection and Response (MDR) gaat verder en omvat actieve threat hunting, diepgaande analyse van verdachte activiteiten en directe incidentrespons. MDR is doorgaans duurder maar biedt een hoger beschermingsniveau.

Is security monitoring verplicht onder NIS2?

De NIS2-richtlijn vereist dat essentieel en belangrijke entiteiten maatregelen nemen voor incidentafhandeling, waaronder detectie en respons. Hoewel de richtlijn niet letterlijk "security monitoring" voorschrijft, is het in de praktijk onmogelijk om aan de detectie- en meldvereisten te voldoen zonder een vorm van gestructureerde security monitoring. De meeste organisaties implementeren een SIEM of MDR-dienst om te voldoen.

Hoe verminder je false positives in security monitoring?

Reduceer false positives door detectieregels af te stemmen op je specifieke omgeving, baseline-gedrag vast te stellen voor gebruikers en systemen, en regelmatig detectieregels te reviewen en te verfijnen. Machine learning-modellen in moderne SIEM-platformen leren patronen van normaal gedrag en reduceren ruis automatisch en verbeteren de signaal-ruisverhouding aanzienlijk over tijd. Investeer in context-verrijking van alerts met asset- en gebruikersinformatie.

Vind een specialist voor security monitoring via Security Monitoring op IBgidsNL.