Gelukkig, het alarm ging af. Mede hierdoor zette de inbreker het op een rennen en nam hij alleen twee kandelaars mee. Dat is in een notendop wat wij in dit artikel met detecteren bedoelen, alleen dan in relatie tot uw digitale kantooromgeving. Zodra er bij een klein signaal snel wordt ingegrepen, voorkomen wij de desastreuze gevolgen van een hack. Hoe een intelligent detectiesysteem hierbij helpt, vertellen wij u hieronder.
Wat is een opvallend signaal en wanneer is gedrag dermate bijzonder dat er een ‘alarm’ afgaat? In een vorig blog uit de XINNO Security Special las u wat een professionele MSP (Managed Service Provider) doet om de voor- en achterdeur en de ramen van uw omgeving gesloten te houden. Toch kan er, door verschillende redenen, door kwaadwilligen aan de deur worden geklopt of naar binnen worden geglipt.
Digitaal weerbaarder door een intelligente oplossing
Voor een MSP dat zich, net als wij, richt op een beroepsgroep waar informatiebeveiliging hoog in het vaandel staat, is het van belang eigentijdse technologie in te zetten. Dat is de enige manier om de steeds slimmer wordende hackers een stapje voor te zijn. Slimme software die wij hiervoor gebruiken is SOC SIEM software. SIEM staat voor Security Information & Event Management, SOC voor Security Operations Center. De combinatie van die twee leidt ertoe dat wij als MSP zorgen dat computerdreigingen, denk aan hacks of malware, beter en sneller detecteren. Het betreft dus een intelligent systeem dat gedrag in uw netwerk 24/7 bekijkt. Deze technologie (SIEM) snapt wat normaal gedrag is en wat niet en kan vervolgens bij malafide bewegingen een notificatie aan het team aan specialisten (SOC) sturen.
Een paar voorbeelden
Is er bijvoorbeeld al drie jaar niet ingelogd met een bepaald account, of als het tijdstip of de locatie rondom het inloggen afwijken van normaal, dan is dat bijzonder te noemen. Ook kan het zijn dat er opvallend veel data van A naar B gaat of dat er bepaalde gegevens worden bewerkt (ransomware). De intelligentie achter een dergelijke detectie applicatie leert wat normaal gedrag is en wat niet. Is er afwijkend gedrag gesignaleerd, dan wordt er een melding naar het SOC gestuurd, in ons geval een gespecialiseerd security team: een groep security specialisten die dit soort meldingen bekijkt en analyseert. Is de dreiging serieus? Dan zijn, om de dreiging te isoleren, bijvoorbeeld de volgende noodhandelingen mogelijk:
- het uitzetten van de server;
- het platleggen van het hele netwerk of;
- het in overleg met ons bepalen wat een vervolgactie is (als de nood niet direct extreem hoog is).
Op die manier dam je de hack direct in en kunt u eventueel een back-up terugzetten. In een volgend blog (stap 3 uit de XINNO Security Special) leest u hoe schade na een hack snel hersteld kan worden.
Altijd handig voor de verzekeraar
Daarnaast screent deze intelligente oplossing alle componenten in uw netwerk. Denk aan de versie updates van software, security updates etc. Is een component nog niet geupdate, dan kan uw ICT-partner daarmee aan de slag. Krijgt u alsnog te maken met een aanval dan zal uw security verzekeraar vragen of u dit hebt zien aankomen. Ook wordt u gevraagd of u een SOC SIEM oplossing heeft draaien op uw omgeving. Een verzekeraar verplicht het (nog) niet, maar heeft u een dergelijke oplossing niet dan wordt uw premie hoger.
Vergelijking met een creditcard
Intelligente detectie software is ook te vergelijken met een creditcardmaatschappij. Detecteert uw maatschappij vreemde transacties of opvallende geografische locaties, dan nemen zij contact met u op. Ons SOC team is de creditcardmaatschappij, maar dan op informatiebeveiliging van uw werkomgeving.
Security Special
Dit blog is onderdeel van de XINNO Security Special: een drieluik aan blogs over de hedendaagse beveiliging van MSP’s die zich richten op advocatenkantoren. Tot deze drieluik behoren ook de blogs: Stap 1: Hoe houden we dreigingen buiten de digitale kantoormuren en Stap 3: het beperken van schade.
Deel dit artikel
