Splunk is software van het gelijknamige Amerikaanse bedrijf voor het verzamelen en in real-time analyseren van de machine­gegevens die IT-systemen genereren. Het Amerikaanse bedrijf heeft ruim 4000 klanten wereldwijd, waaronder Groupon, salesforce.com en Goldman Sachs, en in Nederland het Kadaster en de Belastingdienst. Splunk verzamelt, indexeert en beheert de log-informatie die systemen, applicaties en de bijbehorende infrastructuur opleveren,om via datamining snel rapportages en analyses op te leveren. Splunk is daardoor ook bruikbaar voor het signaleren van beveiligingsproblemen en frauduleuze handelingen.

Zware eisen

Karl Lovink, hoofd Security Operations Center bij de Belastingdienst, zou het liefst op het intranet van de Belastingdienst een thermometer kunnen plaatsen die in één oogopslag laat zien hoe veilig en goed de systemen functioneren. De dienst beschikt wel over een SIEM, een systeem voor Security Information and Event Management, en een ooit zelf ontwikkeld logmanagementsysteem, maar overwoog die te vervangen door een nieuwe tool. Splunk werd hiervoor onderworpen aan een uitgebreide serie testen. De Belastingdienst maakt gebruik van een zeer complexe infrastructuur met alleen al een zeer groot aantal routers en servers. Daar snel de juiste gegevens uit halen voor een goede beveiliging vereist op zijn minst een goede dataminingtool.

De Belastingdienst had daarbij als eis dat Splunk ingezet kon worden voor rootcause-analyses die uiteindelijk genoeg inzicht moeten opleveren in de kwaliteit van de beveiliging van het SOC. Ook moesten daarmee hackpogingen getraceerd kunnen worden. Een belangrijke vraag was daarbij of dat systeem het huidige SIEM kan vervangen.

Lovink en de zijnen hadden daarbij strikte architectuurkaders. Zo wilden ze inzicht hebben in de cross-platform beveiligde events en snel en effectief loggegevens kunnen doorzoeken. Daarbij moest een onderscheid gemaakt kunnen worden tussen kennis die gedeeld mag worden en zoekopdrachten die juist niet gedeeld mogen worden. De rapportages moesten makkelijk opgeleverd kunnen worden en duidelijk zijn met overzichten en grafieken.

Een serie use-cases moest uitwijzen of Splunk daar geschikt voor was. Daarbij moesten bijvoorbeeld DigiD-user ID’s en IP-adressen gekoppeld worden aan de bijbehorende locatiegegevens. “Als bijvoorbeeld vanaf één IP-adres ineens heel veel aangiften komen met veel verschillende DigiD’s en dat alles uit Roemenië, moet dat wel een alert opleveren. We wilden ook een overzicht van DigiD-user ID’s die veel gebruikt worden in de dienstverlening en van welke IP-adressen die komen.”

Met Splunk moesten ook slowscans gemaakt worden, onder meer scans op botnets en controle op BitTorrentverkeer binnen de Belastingdienst, omdat dat daar verboden is. Lovink geeft een voorbeeld van een persoon die op één dag was ingelogd in Hong Kong, België, Nederland én Duitsland. “Die combinatie van gegevens geeft een indicatie dat er iets mis is, maar dat moet je dan ook wel weer met de hand controleren want niet alle IP-adressen kloppen.”

De resultaten van de use-cases waren tamelijk positief. Zo vindt Lovink Splunk breed inzetbaar en is het prettig dat een simpele query vaak volstaat. “Maar je moet er toch wel even goed over nadenken voordat je die query maakt. Splunk voorzag ook niet in een aequate gebruikersrol voor de manier waarop het SOC deze tool wil inzetten.”

AV-systemen gecheckt

Splunk werd nog verder getest door de Belastingdienst. Die wilde ook weten of de diverse antivirussystemen die in gebruik zijn, ook werkelijk virussen detecteren. Probleem voor een vergelijking is dat leveranciers vaak verschillende namen geven aan hetzelfde virus. Splunk moest dat eruit kunnen filteren. “Je wilt weten hoe effectief je spamfilter is, je reputatiefilter, de antispamsoftware en de antivirussoftware. Voor ons was de vraag of Splunk dat ook kon. Van de 50 miljoen berichten per maand die naar ons worden gestuurd, worden er zeker 48 miljoen tegengehouden en zijn er uiteindelijk 47.000 echt schoon. Cisco Ironport is hiervoor bijvoorbeeld een dure oplossing”, merkt Lovink op. Het zou daarom prettig zijn als Splunk dit ook kon, want dat kan veel geld schelen. Over de rapportages die Splunk hiervoor produceerde is hij goed te spreken. “We kregen op 2 juli een overzicht over heel juni van de herkomst van aanvallen. Waarbij dient opgemerkt dat 1 juli een zondag was. Dat was dus snel.” De rapportages leverden ook berichten op over aanvallen die van binnenuit leken te komen. Maar dat bleek niet juist, want dit leek maar zo door fouten in de configuraties. Ook kon Splunk snel een volledig overzicht geven van de berichten voor vulnerability management die het NCSC en DeepSight aanleveren.

Tevreden man

Lovink lijkt een tevreden man waar het Splunk betreft. Zo noemt hij de loganalysefunctionaliteit een gewenste aanvulling en is de vrijheid van werken doordat je eenvoudig eigen searchopdrachten kunt geven erg prettig. Daarbij moet wel aangetekend worden dat je eerst goed moet nadenken hoe je de logs opbouwt en hoe de infrastructuur opgezet moet worden. Maar de rootcause-analyse is goed te implementeren. Wat dat Splunk aan klandizie oplevert, blijft echter mistig.