ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

Bescherming tegen cybercrime

Door 18 juli 2022 Blog

Hoe houdt u zicht op uw netwerk? Zodat hackers en malware meteen worden gesignaleerd en uitgeschakeld? Dat gaan we bekijken in deze vierde, en laatste, blog. De crux van een actieve bewaking is verdacht gedrag signaleren. Maar hoe bepaalt u wat verdacht is? En waar moet u zoeken naar tekenen dat er iets mis is?

Logbronnen

Logbronnen zijn de eerst aangewezen plaats. Die zijn er bij allerlei diensten en producten. U kunt bijvoorbeeld kijken naar Active Directory, een firewall, DNS, Office 365 en naar logging van specifieke bedrijfsapplicaties zoals een CRM, ERP, EPD of LMS.

Moet u die allemaal in de gaten houden? Niet per se. Dat is een kwestie van bewust kiezen, op basis van gedefinieerde risico’s.

Detectie

Die risico’s bepaalt u op twee manieren. Allereerst is er statische detectie. Die kijkt naar ‘usual suspects’: bekende gevaren die u vooraf geselecteerd hebt. Een voorbeeld is dataverkeer naar een bekende botnet-controlserver. Als dat plaatsvindt, moet er een alarm afgaan.

Dynamische detectie gaat verder. Die neemt de normale gang van zaken binnen uw organisatie in ogenschouw en kijkt vervolgens naar verschijnselen die daarvan afwijken. Denk bijvoorbeeld aan een financieel medewerker die geregeld hogere betalingen doet dan haar collega’s: dat is dan iets waarnaar gekeken moet worden.

Dat soort detectie is alleen mogelijk met machine-learning: het systeem moet immers leren wat normaal is in uw organisatie.

Netwerkverkeer en endpoints

Het tweede dat u in de gaten moet houden, is het netwerkverkeer. Al die data die heen en weer flitsen over uw bedrijfsnetwerk moeten geanalyseerd worden op dreigingen. Zo kunt u hackers betrappen voordat ze toe kunnen slaan.

Het maakt hierbij niet uit of uw netwerk draait in een eigen datacenter, bij een serviceprovider of bij een van de grote cloudaanbieders: u moet er zelf zicht op houden!

Ook de activiteiten op de endpoints horen hierin meegenomen te worden. Moderne producten voor ‘endpoint detection and response’ (EDR) blokkeren niet alleen malware, maar kunnen ook data leveren voor analyses.

Overzicht en inzicht

Tot zover is het simpel. Maar al deze informatiebronnen produceren een gigantische stroom aan data. Het is volstrekt onmogelijk voor een levend wezen om daar zicht op te krijgen.

De techniek komt u te hulp in de vorm van SIEM-oplossingen. SIEM staat voor Security Information & Event Management. Zo’n product organiseert niet alleen de data, maar voert er ook de gewenste analyses op uit.

Maar het SIEM vertelt u hoogstens dat er iets raars gebeurt op een bepaald IP-adres. Om te weten wáár de dreiging vandaan komt, heeft u nog iets extra’s nodig, bovenop het SIEM. Dat is User and Entity Behavioural Analytics (UEBA). Die kijkt naar individuele medewerkers, accounts en devices.

Wat kunt u zelf doen?

U ziet het: er is van alles mogelijk. Maar dat vraagt menskracht en – schaarse – expertise. U heeft er in feite een SOC voor nodig: een Security Operations Center.

Wilt u een eigen SOC? Dan moet u gespecialiseerde expertise in huis halen. En op peil houden, met trainingen, cursussen, workshops en certificeringen! Want cybersecurity blijft een race tussen u en de criminelen.

Daarnaast is het raadzaam om uw verdediging geregeld te testen. Dat kan bijvoorbeeld met de inzet van een ‘red team’: externe experts die proberen bij u in te breken. Alleen dan weet u of uw SOC écht werkt. En als dat tegenvalt, kunt u in ieder geval zien wat er precies verbeterd moet worden.

De snelste en gemakkelijkste optie is echter om een extern SOC als dienst af te nemen. Dan weet u zeker dat de expertise op peil is en blijft. En dat de experts 24 uur per dag, 7 dagen per week paraat zijn. Want een cybercrimineel valt het liefst aan als uw IT’ers langs de lijn staan bij de voetbaltraining van hun kinderen.

Continu aandacht

Dat laatste punt is kenmerkend voor cybersecurity. Het is niet iets wat u af en toe eens kunt doen, als het even uitkomt. Waakzaamheid moet er voortdurend zijn.

En heel de organisatie moet er rekening mee houden. Denk bijvoorbeeld aan de afdeling inkoop: een slimme koelkast kan heel handig zijn, maar is hij niet te hacken? En krijgt hij ook tijdige software-updates? Een ander voorbeeld is de afdeling HRM. Die moet zorgen dat er ook trainingen voor cyberawareness worden gevolgd.

Cybersecurity is dus niet alleen een zaak voor de IT’ers. Het moet beleid zijn voor het lijnmanagement en de directie. Met een structureel budget en structurele aandacht. Ook aan de top van het bedrijf! Want een weerbare organisatie vereist een actieve leiding.

Close Menu