Cyber Security Monitoring

  1. 17 jul 2017
  2. 0 reacties
wereldbol met schaduw_3823-4061

Tegenwoordig is een firewall en virusscanner al lang niet meer afdoende om ons te wapenen tegen cybercriminelen. Met de komst van de cloud is data overal en het ‘bring your own device’-concept brengt ook zo zijn eigen security gerelateerde uitdagingen met zich mee. Het ligt dan ook voor de hand om de beveiliging in te richten rond de data zelf. Je wilt immers op elk moment van de dag zeker weten dat je de baas bent over je data en kunt bepalen wie er iets mee mag doen.

Dan nu de praktijk; veel bedrijven hebben geen zicht op welk soort data ze hebben, wie de eigenaar is, welke classificatie een bestand heeft en waar de data zich ergens bevindt. Inmiddels zijn er enkele vooruitstrevende bedrijven met deze uitdaging gestart. Een goede ontwikkeling, maar het zal nog vele jaren duren voordat de rest volgt. Redenen genoeg om goede Cyber Security Monitoring in te richten.

Het landschap

Als je naar het technische IT landschap kijkt, dan kun je dit grof indelen in het netwerk en de systemen die hier gebruik van maken. Tot zover overzichtelijk. Als we een laag dieper gaan, zien we direct complexiteit ontstaan. Immers, wat gebeurt er eigenlijk op dat netwerk behalve het verplaatsen van data van A naar B? Is het een intern netwerk of verplaatsen we data via het internet? Staan de systemen of applicaties in de cloud? Welke besturingssystemen en applicaties draaien er op de systemen? Welke systemen zijn er überhaupt aangesloten op het netwerk? Dit is nog maar het topje van de ijsberg.

Voorkomen is beter dan genezen

Om beveiligingsincidenten te beperken of waar mogelijk te voorkomen, is het belangrijk om de IT-security goed op orde te hebben. Het is bijvoorbeeld een must om altijd de laatste security updates te installeren op de systemen, netwerkcomponenten en applicaties. Het gebeurt echter zelden dat organisaties dit goed ingeregeld hebben en daarnaast ook de controle hierop afdoende hebben ingericht. Dit is ook wel logisch, want het is een kostbare, arbeidsintensieve en soms zelfs vervelende bezigheid om alles constant actueel te houden, dit goed te managen en de resultaten te controleren. Helaas weten cybercriminelen dit ook. Dit resulteert al snel in de eerste gaten in de beveiliging. Het gebeurt nog te vaak dat iemand per ongeluk op een link in de mail klikt, of een geïnfecteerde USB stick van thuis gebruikt.

rij-met-schaduw_6475-605-615x57

Gelukkig zijn er uitstekende oplossingen beschikbaar om automatisch het IT-landschap te voorzien van updates en te scannen op kwetsbaarheden. Er bestaat zelfs tooling waarmee je het hele vulnerability management proces volledig geautomatiseerd kunt laten plaatsvinden. Van het informeren van de systeemeigenaren over de gevonden kwetsbaarheden tot het automatisch controleren of de herstelwerkzaamheden naar behoren zijn uitgevoerd.

Op zoek naar de verschillen

Er gaat veel dataverkeer over het netwerk alle kanten op. Helaas liften hier ook wel eens ongenode gasten mee. Het is dan ook belangrijk om constant mee te kijken. Niet zozeer wat er allemaal voorbij komt, maar voornamelijk welke afwijkingen er voorbij komen. Goede voorbeelden van dergelijke afwijkingen zijn virussen, onverwacht grote dataoverdracht en de ransomware WannaCry van mei dit jaar. Dergelijke zaken zijn met de juiste monitoring tools snel te herkennen. Uiteraard zitten de cybercriminelen niet stil en zoeken constant naar nieuwe manieren om binnen te dringen, gevoelige data te stelen of data te gijzelen en tegen betaling weer beschikbaar te stellen.

Het is daarom aan te raden om een Cyber Security Sensor in het netwerk te plaatsen die dagelijks wordt gevoed met nieuwe dreigingen en deze kan herkennen.

Het lastige is dat er voor de analyse en opvolging vaak veel specifieke kennis nodig is. Iets dat niet altijd bij elke organisatie aanwezig is.

Logfile analyse

Maar wat nou als een Cybercrimineel toch een gaatje heeft gevonden en onzichtbaar is gebleven? Er komen immers dagelijks nieuwe zero-day kwetsbaarheden bij en cybercriminelen worden met de dag slimmer.

Door logfiles van allerlei bronnen te verzamelen en deze slim te correleren en te analyseren is het mogelijk om deze onzichtbaar gebleven cybercriminelen alsnog te ontdekken. Het zou bijvoorbeeld raar zijn als een directe collega op het financiële systeem is ingelogd vanuit Nederland en een uur later vanuit een land aan de andere kant van de wereld. Dit is een simpel voorbeeld, maar het illustreert wel de kracht van het gebruik van logfile analyse. Het voorbeeld zoals hierboven beschreven vertoont veel uiterlijke kenmerken van een SIEM. Een kostbare investering voor organisaties. Gelukkig zijn er tegenwoordig SIEM-oplossingen die van nieuwe technieken en inzichten zijn voorzien en daarnaast ook goed betaalbaar zijn. Zelfs voor de wat kleinere organisaties.

Conclusie

vamp-180x300 Cyber Security Monitoring is hard nodig. Door een combinatie van goed Vulnerability Management, een Cyber Security Sensor die de afwijkingen in het netwerkverkeer in de gaten houdt en een next generation SIEM is het mogelijk cybercriminelen een stap voor te blijven.

titan-180x300 Nováccent heeft in nauwe samenwerking met haar klanten een tweetal ondersteunende producten ontwikkeld onder de naam VAMP en TITAN. Deze set met tools kan tevens in één platform worden samengebracht waardoor er een Integraal Cyber Security dashboard ontstaat met een compleet zicht op het kwetsbaarhedenlandschap vanuit diverse invalshoeken. Deze real-time inzichten in combinatie met de analyses en het advies van de security analisten uit ons Security Operations Center, zorgen ervoor dat u kunt vertrouwen op de betrouwbaarheid van uw IT-omgeving waardoor u zich weer kunt focussen op uw core business. Nieuwsgierig naar meer details? Neem contact op met info@novaccent.nl.

Luck Bron, Director Security Operations Nováccen