Monitoring: NCSC en AIVD publiceren handreiking

Monitoring: NCSC en AIVD publiceren handreiking

DearBytesBlogMonitoring: NCSC en AIVD publiceren handreiking

Een veelbesproken thema momenteel is security monitoring. Ook ons recente onderzoek onder klanten toont aan dat het inrichten daarvan 1 van de topprioriteiten is in het nieuwe jaar. Niet verwonderlijk na alle aandacht die de industrie en overheid erin hebben gestoken om dit onderwerp op de agenda te krijgen. Het doel: meer controle krijgen over security incidenten, ze tijdig herkennen en erop reageren zodat verstoringen en datalekken kunnen worden voorkomen. En ja: dat is hard nodig.

Handreiking detectie oplossingen

NCSC - Handreiking DetectieHet Nationaal Cyber Security Centrum (NCSC) heeft nu een handreiking gepubliceerd om detectieve maatregelen effectief in te richten. Daarin heeft het NCSC samengewerkt met de AIVD. En ook dat is niet onlogisch. Het is de AIVD tenslotte die veel aandacht vraagt voor het groeiende probleem van cyberspionage en de noodzaak van monitoring als basismaatregel daartegen.

Zoals in de handreiking vermeld staat, als argument voor het inrichten van detectie naast preventie:

Bedrijfsspionage en aanvallen van georganiseerde misdaad, terreurgroepen en diverse buitenlandse inlichtingendiensten vormen een serieuze dreiging. Bij dergelijke dreigingen, die ook wel bekend staan als Advanced Persistent Threats (APT’s), beschikken de actoren over voldoende geld, middelen en tijd om een aanval met geavanceerde middelen uit te voeren en kunnen zij deze gedurende een langere periode volhouden.

En de AIVD is ook helemaal niet zo’n gekke raadgever: wie het netwerk gaat monitoren op verdacht gedrag, doet technisch gezien tenslotte nagenoeg hetzelfde als een inlichtingendienst doet bij het tappen en analyseren van internetverkeer. (Ja: er zijn natuurlijk ook verschillen…). Eigenlijk spelen we met het implementeren van detectie en monitoring dus inlichtingendienstje in ons eigen netwerk.

DBDrawing 015 - NCSC_AIVD Monitoring

Detectie oplossingen: IDS, IPS en SIEM

Dus wat adviseren het NCSC en AIVD nu in deze handreiking? Drie oplossingen worden besproken en uitgediept:

  • Intrusion Detection System (IDS), een type systeem dat in staat is om malafide acties op een netwerk of systeem te detecteren en hierover te alerteren.
  • Intrusion Prevention System (IPS), een type systeem dat niet alleen malafide acties kan detecteren, maar ook blokkeren.
  • Security Information and Event Management (SIEM), oplossingen waarbij één systeem logging- informatie vanuit allerlei componenten in het netwerk verzamelt om deze informatie vervolgens te normaliseren, te correleren en te aggregeren teneinde alerts en andere rapportages beschikbaar te kunnen maken.

NCSC - 4 factoren van detectieTaken en processen

Maar het plaatsen van een tool op zichzelf is nooit een oplossing. Detectie en monitoring moeten exact worden aangesloten op de kenmerken van de specifieke organisatie. En dus gaat een belangrijk gedeelte van de handreiking over taken en processen. Daarbij is het hiernaast weergegeven model geplaatst waarin de vier factoren van detectie terug komen.

DearBytes Security Monitoring Service

Nu is de kans groot dat een organisatie niet in staat is om monitoring zelf uit te voeren, bij gebrek aan tijd en/of kennis. Outsourcing van die taak is dan een oplossing, en DearBytes levert daarom de Security Monitoring Service (SMS).

Security Monitoring Service web adv

Wij werken met technologie van Intel Security, AlienVault, Fortinet, FireEye en RedSocks om de bedoelde oplossingen (en meer dan dat) mee in te richten. Maar ook kunnen wij aansluiten op een bestaande security architectuur wanneer die al de benodigde functionaliteit al biedt. En bovendien werken wij inderdaad vanuit kennis over uw kroonjuwelen door samen te bepalen welke use cases (bovenop onze baseline) in uw omgeving interessant zijn.

Preventie > Detectie > Correctie

protect-detect-correctDetectie is niet zaligmakend. Zoals het NCSC stelt:

Het is en blijft van belang om het grotere geheel te zien. Dit betekent dat preventieve maatregelen zoals het versleutelen van data, het beveiligen van verbindingen en het creëren van bewustzijn over risico’s bij gebruikers nog altijd net zo belangrijk zijn.

Daarom is een onderscheidende waarde van DearBytes als Managed Security Service Provider, dat wij ook het beheer van preventieve en correctieve maatregelen kunnen verzorgen. Wij zullen u dan niet midden in de nacht wakker bellen om een firewall rule aan te passen, maar laten u ’s ochtends vroeg weten dat wij dat voor u gedaan hebben. Als u weet dat een aanvaller meestal binnen een uur tot zijn doel komt, dan begrijpt u wel wat het belang is van die combinatie.

Meer weten over onze Security Monitoring Services? Laat het hieronder weten.