Het Security monitoringsvraagstuk!

Veel organisaties zijn bezig met dit vraagstuk. Enerzijds gedreven vanuit wet- en regelgeving maar vaak ook vanuit klanten of toezichthouders. De druk om inzicht te krijgen in dagelijkse digitale activiteiten neemt snel toe. Zeker nu veel mensen gedwongen zijn om thuis te werken. 

Maar wat heb je als organisatie nu precies nodig? 

Wat je precies nodig hebt is grotendeels afhankelijk van jouw wensen en eisen. Raamwerken zoals ISO 27001, NEN7510 en ook Cobit schrijven maatregelen voor, maar beperken zich alleen tot de vertrouwelijkheid en integriteit. 

Hoe breed en waar je naar moet kijken wordt vaak overgelaten aan leveranciers of wordt bepaald door de organisatie zelf. Dit is ook precies het punt waar veel organisaties vastlopen. Welke scenario’s zijn voor ons relevant, wie gaat dit inrichten en belangrijker nog wie gaat er opvolging geven aan een alarm? Techniek is in deze bijna nooit de uitdaging. Het proces, de mensen en daarmee de organisatie zelf vaak wel. 

Een goede vraag om jezelf te stellen is willen we iets bouwen, willen we iets kant en klaars kopen of willen we het uitbesteden. Stel bij zelf bouwen, dan ook de kritische vraag of de benodigde kennis en kunde voorhanden is en hoe je dit gaat borgen op de lange termijn. Iets zelf bouwen kost meer aandacht en onderhoud dan vaak gedacht. 

Welke scenario’s wil je minimaal afdekken? 

Deze zijn essentieel om te bepalen wat je nodig hebt en wat uiteindelijk aangesloten moet worden binnen de oplossing of dienstverlening. Bedenk voordat je een traject start welke scenario’s essentieel zijn en welke een mooie bijkomstigheid zijn.

Drie voorbeeld scenario’s:  

Aanmeldingen van medewerkers

Dit scenario is actueler dan ooit. Nu iedereen vanuit huis werkt is het nog belangrijker te weten waar authenticaties vandaan komen. Denk hierbij aan geografisch onmogelijke aanmeldingen vanuit bijvoorbeeld Nederland en Frankrijk binnen een uur. Maar ook geografisch verdachte locaties.

Account misbruik (Laterale bewegingen)

Het gebruiken van accounts met (verhoogde) rechten om lateraal te bewegen tussen machines om uiteindelijk als aanvaller bij je bestemming te komen. 

Activiteiten van (beheer) accounts

Denk aan het toekennen en verwijderen van privileges, het resetten van wachtwoorden of niet verlopend maken. Maar ook het aanloggen van serviceaccounts of andere niet persoonsgebonden accounts. 

Een voorbeeld uit de praktijk:

Organisatie X heeft besloten een Security monitoring dienst af te nemen. Als eis is gesteld dat opvolging door de leverancier 24/7 en 365 dagen per jaar binnen 4 uur noodzakelijk is. Vrijdagavond negen uur, een pc is besmet met ransomware. Conform afspraak detecteert de leverancier de aanval en probeert zijn contactpersoon bij organisatie X te bereiken om direct de aanval te stoppen. Het nummer van de servicedesk wordt echter niet beantwoord. Organisatie X had wel de eis gesteld aan de leverancier, maar was vergeten zijn eigen organisatie hierop aan te passen. 

Conclusie:

Maak een plan voordat je aan een traject begint. Kan je dit niet zelf, laat je dan adviseren door eXperts op dit gebied. Zorg dat de scenario’s helder zijn en dat de eisen die je wilt stellen aan een leverancier ook haalbaar zijn voor de eigen organisatie. Wees daarin ook eerlijk naar jezelf. Een traject als dit kan ook een groeitraject zijn en niet alles hoeft direct perfect. Onthoud dat iedere actie die je neemt al een stap in de juiste richting is. Nu kost het gemiddeld meer dan 80 dagen om een incident te detecteren, indien jij het in 3 dagen kan is er al enorm veel gewonnen!   

Auteur:Maikel Roolvink

Manager Security Operations