Van puntoplossingen naar all-in security

2018. Het jaar van één van de grootste datalekken ooit, namelijk bij hotelketen Marriott, waarbij de persoonsgegevens van een half miljard hotelgasten werden buitgemaakt [1]. Het jaar waarin het aantal DDoS-aanvallen op banken, overheid en bedrijven groter was dan ooit [2]. Maar ook het jaar waarin er nadrukkelijk aandacht werd besteed aan het weerbaarder maken van de Nederlandse maakindustrie (OT), bijv. in de vorm van het Cyber Security Centrum Maakindustrie in Twente [3].

Cybersecurity-incidenten kunnen een grote impact hebben op de continuïteit van uw bedrijfsvoering. Het is dan ook zaak om preventieve maatregelen te hebben genomen om het risico op incidenten, evenals de gevolgschade, zo klein mogelijk te houden. In het specifieke geval van cybersecurity zal elke onderneming vroeg of laat — zonder uitzondering — te maken krijgen met incidenten. Het is dan dus zaak deze problemen zo vroeg mogelijk te detecteren om schade zo veel mogelijk te voorkomen.

Welke puntoplossingen zijn er? De markt van cybersecurity wordt nog steeds sterk gedomineerd door puntoplossingen; oplossingen voor één of enkele aspecten van cybersecurity. Zo hebben anno 2019 praktisch alle ondernemingen ‘end-point security’ (bijv. een virusscanner) ingericht, en de beschikking over een firewall. Is de ‘BV Nederland’ daarmee voldoende voorbereid op een incident? In hoeverre hebben virusscanner en firewall overlap in functionaliteit, en belangrijker: waar zitten de gaten? In welke (andere) aspecten van cybersecurity dient te worden geïnvesteerd? Om antwoord te krijgen op deze vragen dient er een integraal beeld van het security-landschap te worden gevormd dat voortdurend wordt gemonitord en bijgewerkt.

[5]https://www.europol.europa.eu/internet-organised-crime-threat-assessment-2018

Het verkrijgen van een integraal beeld van uw onderneming op het vlak van cybersecurity wordt veelal bewerkstelligd door Security Information & Event Management (SIEM) in te richten. In een SIEM kunnen allerlei gegevensstromen worden ontsloten, geanalyseerd en gecorreleerd. Bij deze gegevensstromen kunt u denken aan het volgende:

Actieve gegevensstromen: het scannen van uw netwerk, bijv. in het kader van vulnerabilities.
Passieve gegevensstromen: het opvangen van informatiestromen in en uit uw netwerk d.m.v. een sensor die log-stromen opvangt en netwerkverkeer analyseert.

Het mag voor zich spreken dat zo’n systeem de nodige kosten en investeringen met zich meebrengt. In algemene zin wordt er steeds meer data gegenereerd en vergaard om security te monitoren; denk aan kantoorautomatisering en andere IT-infrastructuur, productiesystemen (OT) en natuurlijk de Cloud. Naast de configuratie en het beheer van het SIEM-systeem zelf dient er natuurlijk ook opvolging van meldingen en incidenten te worden ingericht. Voor al deze werkzaamheden zijn specialisten nodig. De vraag naar (échte) specialisten is groot, terwijl het aanbod klein is. Het kan dus lastig zijn specialisten aan uw onderneming te binden, bijv. vanwege de (beperkte) omvang van uw onderneming of de schaarste van specialisten op de arbeidsmarkt. Het uitbesteden van SIEM in de vorm van een ‘managed (security) service’ is dan ook een logische stap, óók voor het MKB.

Tesorion

De dienstverlening van Tesorion bestaat uit een ‘managed (security) service’, waarbij u het inrichten en beheer van uw security-landschap uit handen wordt genomen. Uw ’trusted advisor’ is bekend met uw bedrijfsvoering en inventariseert uw huidige en gewenste maturiteit op het gebied van cybersecurity. Samen met u stelt hij/zij een plan op voor het uitbouwen van uw cybersecurity-landschap en eventueel het integreren van uw bestaande infrastructuur en componenten. Dit alles op basis van een hypermodern platform waarop uw infrastructuur wordt aangesloten en data wordt geanalyseerd. Dit platform, ontwikkeld door Tesorion, biedt u allerlei voordelen, zoals ‘privacy-by-design’, integrale ondersteuning voor IT, OT en Cloud, automatische mitigatie, etc. In een toekomstige blog-post vertel ik u er graag meer over

2019. Als het aan ons ligt wordt dit het jaar waarin de Nederland een stukje weerbaarder wordt tegen cyber-criminaliteit. Het jaar waarin u niet zelf het Internet hoeft af te struinen op zoek naar een puntoplossing die precies in uw laatste restje IT-budget past, maar kunt profiteren van de all-in dienstverlening van Tesorion. Het wordt tijd om all-in te denken; is mijn onderneming wel veilig? Welke risico’s accepteer ik en welke wil ik afdekken? Wij helpen u graag.

Bronnen

[1] https://www.computable.nl/artikel/achtergrond/security/6524811/1444691/datalek-bij-marriott-is-op-een-na-grootste-ooit.html

[2]https://www.agconnect.nl/artikel/nbip-ddos-aanvallen-blijven-evolueren

[3]https://novelt.com/

[4]https://www.nctv.nl/documenten/publicaties/2018/06/13/cybersecuritybeeld-nederland-2018

[5]https://www.europol.europa.eu/internet-organised-crime-threat-assessment-2018

Wat we regelmatig onderschatten is de noodzaak van zo’n integraal security-beeld van een onderneming. Waar elke puntoplossing zich richt op monitoring binnen de door de ontwikkelaar gestelde kaders, ontbreekt het aan samenhang over kaders heen. En dat is gek in een tijd waarin organisaties als het Nationaal Cyber Security Centrum (NCSC) [4] en de Europese politieorganisatie Europol [5] waarschuwen voor het snel toenemende aantal gerichte en Multi-vector aanvallen; aanvallen die vaak lastig te herkennen zijn wanneer slechts één vector wordt waargenomen door een puntoplossing, en juist een bredere, integrale aanpak vereisen. Een voorbeeld:

Door een groot datalek bijeen partij voor ‘social media’ worden uw inloggegevens gelekt. Deze inloggegevens worden vervolgens publiek beschikbaar.
De gelekte inloggegevens worden gebruikt om toegang te verkrijgen tot de Webmail-omgeving van uw organisatie. Er is een aantal pogingen benodigd om achter de juiste gebruikersnaam te komen, maar uw wachtwoord blijkt identiek aan het gelekte wachtwoord (uit stap 1).
Nu er toegang is verkregen tot uw mailbox kan een cybercrimineel in alle rust meekijken met wat er gaande is in het bedrijf. Er wordt kennis vergaard over uw klanten, de orders die in en uitgaan, en over hoe uw netwerkinfrastructuur er uit ziet.
Uit uw naam stuurt de aanvaller een e-mail aan de afdeling van uw organisatie die orders van klanten afhandelt, met het verzoek om toegang te krijgen tot hun dataopslag in de Cloud, waar alle documenten zijn opgeslagen. Dit wekt bij uw collega’s geen argwaan, aangezien de e-mail uit uw naam is verstuurd.
Niet lang daarna wordt er via e-mail een order naar uw bedrijf gestuurd door een klant, waarna de order in de dataopslag wordt geadministreerd.
De cybercrimineel ziet zijn kans schoon en stuurt, in uw naam, een nepfactuur naar uw klant met daarin het bankrekeningnummer van de cybercrimineel, in de hoop dat dit niet opvalt. Het gevolg: uw klant is zijn geld kwijt en u loopt de betaling mis.’

In bovenstaande schets herkent u meerdere vectoren: (a) threat intelligence, bestaande uit informatie over gelekte inloggegevens (stap 1), (b) e-mail (stap 2, 3 en 6), en (c) dataopslag in de Cloud (stap 4 en 5). Dit laat mooi het belang van kaderoversteigend monitoren zien omdat het geavanceerde aanvallen kan detecteren op basis van verrijking en correlatie.

SIEM

Actieve gegevensstromen: het scannen van uw netwerk, bijv. in het kader van vulnerabilities.
Passieve gegevensstromen: het opvangen van informatiestromen in en uit uw netwerk d.m.v. een sensor die log-stromen opvangt en netwerkverkeer analyseert.