Blinde vlekken netwerkverkeer inzichtelijk maken en realtime monitoren
Tom Stitt is Senior Director of Security Product Marketing van ExtraHop
Cybersecurity-oplossingen geven vertrouwen. Ze kunnen zichtbaar sterk aanwezig zijn, of geconfigureerd en daarna vergeten. Digitale muren houden slimme hackers tegenwoordig echter niet meer tegen. Mede daarom is het paard van Troje een synoniem geworden voor malware. Tot voor kort was cybersecurity sterk gefocused op het buiten de deur houden van kwaadwillenden. Bedrijven hebben vooral geïnvesteerd in oplossingen om de toegangspunten tot het netwerk te beveiligen, zoals antivirussoftware en firewalls. Als gevolg daarvan missen IT-managers echter inzicht in bijna de helft van het netwerkverkeer, ook wel de ‘darkspace’ genoemd. Om cybercriminelen effectiever tegen te houden, is het belangrijk inzicht te krijgen in uw blinde vlekken!
Beter inzicht netwerkverkeer
Bedrijfsnetwerken zijn de laatste jaren complexer en groter geworden, terwijl ze ook zo snel veranderen dat de traditionele buitengrenzen verdwijnen. Door het ‘nieuwe werken’ met cloudsoftware, apps en allerlei mobiele apparaten, krijgen cybercriminelen meer kansen dan securityteams kunnen overzien. Om te voorkomen dat die worden benut, is het belangrijk alle blinde vlekken inzichtelijk te maken.
Allereerst moeten securityteams van bedrijven realtime inzicht verwerven in elk gedeelte van hun hybride netwerkomgeving en doorgronden hoe alle apparaten met elkaar communiceren. Dat geldt vooral voor het vaak verwaarloosde interne ‘Oost-West’ verkeer, dat veel blinde vlekken veroorzaakt. Realtime inzicht in de inhoud en context van alle communicatie is nodig om veilig en verdacht verkeer van elkaar te onderscheiden.
Tevens is het belangrijk het betere inzicht uit te breiden naar versleuteld verkeer, omdat meer dan 40% van alle malware daarin wordt verstopt. Uiteraard verdienen cloud services en apparatuur met toegangsrechten buiten de traditionele bedrijfsgrenzen ook speciale aandacht.
Beter inzicht in het normale netwerkverkeer en -gedrag helpt securityteams afwijkingen en bedreigingen snel te signaleren en bij een succesvolle inbraak te voorkomen dat er data wordt gestolen. Monitoren op gedrag kan veel effectiever zijn dan tools en policies om verdachte activiteiten te detecteren. Als elk stadium van een aanval inzichtelijk is, van inbraak tot datadiefstal, zijn zelfs de meest geavanceerde aanvallen te stoppen.
Managementinformatie in plaats van alerts
Gezien de omvang van veel bedrijven en hun supply chains, worstelen securityteams ook regelmatig met het filteren van nuttige managementinformatie uit alle alerts en data. Valse alerts en gebrekkige informatie leiden namelijk tot tijd- en geldverspilling en soms zelfs tot volstrekt overbodige beveiligingsmaatregelen die de bedrijfsprocessen belemmeren, in plaats van te beschermen.
Goede managementinformatie is noodzakelijk om effectief en snel te kunnen reageren. Het reduceren van ruis helpt analisten en securityteams hun organisatie beter te verdedigen. Zelfs als dat een keer mislukt, kunnen zij leren en zich beter voorbereiden op de volgende aanval. Inzicht in de darkspace of blinde vlekken levert zowel waardevolle informatie op voor forensische analyses, als het verbeteren van controles en processen.
Sinds het invoeren van de AVG in het voorjaar van 2018 is beter inzicht in al het netwerkverkeer ook handig om te kunnen voldoen aan de meldingsplicht voor datalekken en daarbij behorende rapportages. Zowel richting de toezichthouder als klanten.
Elk bedrijf dat zich effectief wil beschermen tegen cyberdreigingen moet de blinde vlekken in z’n infrastructuur inzichtelijk maken en blijven monitoren. Securityteams hebben lange tijd vertrouwd op het beveiligen van alle netwerktoegangspunten, terwijl er tegenwoordig realtime patrouilles binnen de eigen grenzen nodig zijn.