Logging en monitoring: het fundament van detectie en response

Logging en monitoring zijn fundamentele beveiligingscontrols die in vrijwel elk auditframework worden getoetst. Zonder adequate logging kan een organisatie niet vaststellen wat er is gebeurd bij een incident. Zonder actieve monitoring worden aanvallen en anomalieën niet tijdig gedetecteerd. Samen vormen ze het fundament van detectie en response.

Een auditor beoordeelt logging op meerdere niveaus. Op infrastructuurniveau: worden inlog- en uitloggebeurtenissen vastgelegd? Worden wijzigingen aan configuraties gelogd? Op applicatieniveau: worden toegang tot gevoelige data, wijzigingen aan records en foutmeldingen vastgelegd? Op netwerkniveau: worden firewallregels, VPN-verbindingen en netwerktoegang geregistreerd?

De kwaliteit van logging is minstens zo belangrijk als de kwantiteit. De auditor controleert of logs een timestamp bevatten die gesynchroniseerd is (NTP), of de bron van de actie (gebruiker, IP-adres, systeem) wordt vastgelegd, of logs niet muteerbaar zijn (write-once) om manipulatie te voorkomen, en of de bewaartermijn voldoet aan wettelijke en contractuele eisen.

Centralisatie van logs is een best practice die auditors verwachten bij volwassen organisaties. Een Security Information and Event Management (SIEM) systeem verzamelt logs uit diverse bronnen, correleert events en genereert alerts bij verdachte patronen. Populaire oplossingen zijn Microsoft Sentinel, Splunk, Elastic Security en open-source alternatieven als Wazuh.

Monitoring gaat verder dan het verzamelen van logs. De auditor beoordeelt of er actief wordt gemonitord op beveiligingsgebeurtenissen, of er alerts zijn geconfigureerd voor kritieke events zoals meerdere mislukte inlogpogingen, toegang buiten werktijden, privilege escalation of ongebruikelijke datadownloads, en of er een proces is om alerts te triagen en op te volgen.

De response op gedetecteerde incidenten maakt het plaatje compleet. De auditor controleert of er een incident response plan is, of rollen en verantwoordelijkheden zijn vastgelegd, of het plan periodiek wordt getest door middel van tabletop-oefeningen of simulaties, en of incidenten worden geregistreerd en geanalyseerd voor lessen.

Regelgeving versterkt de eisen aan logging en monitoring. DORA vereist dat financiële instellingen ICT-gerelateerde incidenten tijdig detecteren. NIS2 stelt eisen aan de detectiecapaciteiten van essentiële entiteiten. De AVG vereist dat datalekken binnen 72 uur worden gemeld, wat zonder adequate monitoring nauwelijks haalbaar is.

Secure Audit toetst logging en monitoring als kernonderdeel van elke IT-audit en adviseert over de inrichting van detectiecapaciteiten. Neem contact op voor een security assessment.