Gebouwen beveiligen is voor iedereen zo vanzelfsprekend. Sleutels of badges om toegang te verlenen aan geautoriseerde personen, alarmsystemen die indringers helpen detecteren, en bewakers die een extra oogje in het zeil houden. Wanneer we dit voorbeeld uitbreiden naar de online wereld zien we dat er nog heel wat werk is. Cybersecurity is een belangrijk onderdeel in de huidige tijd van snelgroeiende bedrijven, het uitbreidende netwerk aan devices, en het aantal services en devices die beveiligd moeten worden. Organisaties beschikken over heel wat data en we moeten garanderen dat die niet kan misbruikt worden.
Visibility is key! Je kan de dingen niet gaan beschermen zonder eerst te weten wat je precies moet beschermen. De architectuur van een onderneming is complex: gebruikers, firewalls, home offices, computers, servers, telefoons, e-mail, internetgebruik, … Dat zijn slechts enkele voorbeelden, en het is van cruciaal belang om er een goed zicht op te hebben. Het is onmogelijk om 100% beveiligd te zijn, maar wanneer elk onderdeel goed in kaart wordt gebracht, kan je steeds een extra laag aan bescherming toevoegen.
Vijf domeinen om in de gaten te houden!
- Endpoint Detection and Response – Agents geïnstalleerd op de endpoints om het gedrag te analyseren. Deze zijn efficiënter in het detecteren van malware dan normale antivirusprogramma’s. Zo kunnen ze ook beter zero day exploits detecteren. Deze producten beschikken over de nodige tools om snel te kunnen reageren wanneer er iets gebeurt, bijvoorbeeld door het endpoint te isoleren.
- Network monitoring – Een perimeter firewall is zoals een gateway: het kan uw netwerk beschermen tegen extern misbruik. Het beschikt over gigantisch veel informatie over de connecties met uw netwek, en moeten daarom goed gemonitord worden.
- Domain Name Server (DNS) Security – DNS is een protocol dat domeinen vertaald naar IP-adressen. Wanneer een gebruiker op een kwaadaardige URL klikt, wordt dat gelogd in de DNS server. Het verzoek kan vroegtijdig geblokkeerd worden, zodat de desbetreffende gebruiker geen interactie kan hebben met de webpagina.
- Email Security – Een veelvoorkomende infectievector die cyber criminals hanteren is e-mail, waarbij ze een gebruiker proberen te overtuigen een link te openen of een file te downloaden. Wanneer een gebruiker rapporteert te hebben geklikt op een phishing e-mail is het mogelijk om na te gaan of ook andere gebruikers binnen de organisatie diezelfde e-mail ontvangen hebben. Een ander belangrijk aspect is uiteraard het trainen en bewustmaken van medewerkers omtrent e-mailgebruik.
- Cloud Security – Heel wat organisaties maken niet enkel gebruik van on-premise servers, maar ook van de cloud. Deze facetten mogen we niet vergeten bij het loggen. Een voorbeeld van zeer nuttige informatie dat je hieruit kan afleiden is het impossible traveler incident, waarbij een gebruiker op korte tijd vanop twee verschillende locaties connecteert.
Hou alle gebeurtenissen goed bij
Het is belangrijk om zo veel mogelijk te mappen. Helaas betekent dat ook dat we met heel wat data aan de slag moeten. Stelt u zich eens voor dat u elke tool in de gaten moet houden. Een onmogelijke taak. Die data moet ergens verzameld en verwerkt worden, bijvoorbeeld in een gecentraliseerd dashboard dat analisten kunnen aanpassen en personaliseren om gemakkelijk te kunnen focussen op incidenten die voor hen relevant zijn. Dat is waarom wij bij spotit een Security Operations Center hebben dat beschikt over tools zoals een Security Information and Event Management (SIEM) systeem waarin alle data verzameld en beheerd wordt. Zo kunnen onze analisten voldoende informatie verzamelen omtrent incidenten om zinvolle feedback en oplossingen terug te koppelen aan onze klanten.
Visibiliteit in uw netwerk creëren is een eerste goede stap richting een veiligere digitale omgeving, maar het levert heel wat data op om te analyseren. In een volgende blog gaan we meer in detail over het automatiseren van processen, zodat analisten niet overladen worden met alerts. Hou onze pagina’s in de gaten!