Hoe houd je zicht op jouw netwerk? Zodat hackers en malware meteen worden gesignaleerd en uitgeschakeld? Dat gaan wij bekijken in deze vierde, en laatste, blog. De crux van een actieve bewaking is verdacht gedrag signaleren. Maar hoe bepaal je wat verdacht is? En waar moet je zoeken naar tekenen dat er iets mis is?
Logbronnen
Logbronnen zijn de eerst aangewezen plaats. Die zijn er bij allerlei diensten en producten. Je kunt bijvoorbeeld kijken naar Active Directory, een firewall, DNS, Office 365 en naar logging van specifieke bedrijfsapplicaties zoals een CRM, ERP, EPD of LMS.
Moet je die allemaal in de gaten houden? Niet per se. Dat is een kwestie van bewust kiezen, op basis van gedefinieerde risico’s.
Detectie
Die risico’s bepaal je op twee manieren. Allereerst is er statische detectie. Die kijkt naar ‘usual suspects’: bekende gevaren die je vooraf geselecteerd hebt. Een voorbeeld is dataverkeer naar een bekende botnet-controlserver. Als dat plaatsvindt, moet er een alarm afgaan.
Dynamische detectie gaat verder. Die neemt de normale gang van zaken binnen jouw organisatie in ogenschouw en kijkt vervolgens naar verschijnselen die daarvan afwijken. Denk bijvoorbeeld aan een financieel medewerker die geregeld hogere betalingen doet dan haar collega’s: dat is dan iets waarnaar gekeken moet worden.
Dat soort detectie is alleen mogelijk met machine-learning: het systeem moet immers leren wat normaal is in jouw organisatie.
Netwerkverkeer en endpoints
Het tweede dat je in de gaten moet houden, is het netwerkverkeer. Al die data die heen en weer flitsen over jouw bedrijfsnetwerk moeten geanalyseerd worden op dreigingen. Zo kun je kwaadwillenden betrappen voordat ze toe kunnen slaan.
Het maakt hierbij niet uit of jouw netwerk draait in een eigen datacenter, bij een serviceprovider of bij een van de grote cloudaanbieders: je moet er zelf zicht op houden!
Ook de activiteiten op de endpoints horen hierin meegenomen te worden. Moderne producten voor ‘endpoint detection and response’ (EDR) blokkeren niet alleen malware, maar leveren ook data voor analyses.
Overzicht en inzicht
Tot zover is het simpel. Maar al deze informatiebronnen produceren een gigantische stroom aan data. Het is volstrekt onmogelijk voor een levend wezen om daar zicht op te krijgen.
De techniek komt je te hulp in de vorm van SIEM-oplossingen. SIEM staat voor Security Information & Event Management. Zo’n oplossing organiseert niet alleen de data, maar voert er ook de gewenste analyses op uit.
Maar het SIEM vertelt je hoogstens dat er iets raars gebeurt op een bepaald IP-adres. Om te weten wáár de dreiging vandaan komt, heb je nog iets extra’s nodig, bovenop het SIEM. Dat is User and Entity Behavioural Analytics (UEBA). Die kijkt naar individuele medewerkers, accounts en devices.
Wat kun je zelf doen?
Je ziet het: er is van alles mogelijk. Maar dat vraagt menskracht en – schaarse – expertise. Je hebt er in feite een SOC voor nodig: een Security Operations Center.
Wil je een eigen SOC? Dan moet je gespecialiseerde expertise in huis halen. En op peil houden, met trainingen, cursussen, workshops en certificeringen! Want cybersecurity blijft een race tussen jouw organisatie en de criminelen.
Daarnaast is het raadzaam om jouw verdediging geregeld te testen. Dat kan bijvoorbeeld met de inzet van een ‘red team’: externe experts die proberen bij je in te breken. Alleen dan weet je of jouw SOC écht werkt. En als dat tegenvalt, kun je in ieder geval zien wat er precies verbeterd moet worden.
De snelste en gemakkelijkste optie is echter om een extern SOC als dienst af te nemen. Dan weet je zeker dat de expertise op peil is en blijft. En dat de experts 24 uur per dag, 7 dagen per week paraat zijn. Want een cybercrimineel valt het liefst aan als jouw IT’ers langs de lijn staan bij de voetbaltraining van hun kinderen.
Continu aandacht
Dat laatste punt is kenmerkend voor cybersecurity. Het is niet iets wat je af en toe eens kunt doen, als het even uitkomt. Waakzaamheid moet er voortdurend zijn.
En heel de organisatie moet er rekening mee houden. Denk bijvoorbeeld aan de afdeling inkoop: een slimme koelkast kan heel handig zijn, maar is hij niet te hacken? En krijgt hij ook tijdige software-updates? Een ander voorbeeld is de afdeling HRM. Die moet zorgen dat er ook trainingen voor cyberawareness worden gevolgd.
Cybersecurity is dus niet alleen een zaak voor de IT’ers. Het moet beleid zijn voor het lijnmanagement en de directie. Met een structureel budget en structurele aandacht. Ook aan de top van het bedrijf! Want een weerbare organisatie vereist een actieve leiding.
