Zonder monitoring ben je eigenlijk blind. Dit antwoord gaf Michel van Eeten (TU Delft) tijdens een congres over informatiebeveiliging op de vraag waarom monitoring zo belangrijk is. Helaas zijn veel organisaties inderdaad blind als het om informatiebeveiliging gaat. Een zorgelijke ontwikkeling, zeker nu de Autoriteit Persoonsgegevens per 1 januari 2016 de meldplicht datalekken heeft ingevoerd. Mede hierdoor is het onderwerp monitoring namelijk actueler dan ooit.

Om het belang van monitoring toe te lichten, is het handig te bespreken dat een hack over het algemeen plaatsvindt in 7 stappen:

  1. Crimineel verkent het doelwit
  2. Crimineel start met het versturen van gepersonaliseerde e-mails
  3. Crimineel laat gebruiker malware installeren via link of bijlage
  4. Crimineel zet met de verkregen informatie een achterdeur open in het systeem
  5. Crimineel verhoogt zijn rechten in het netwerk
  6. Crimineel verzamelt data
  7. Crimineel downloadt data naar zijn eigen systeem

Kill-Chain-beeld

Tijdens de verkenningsfase is het bijvoorbeeld mogelijk dat de crimineel in de wachtruimte bij de receptie meeluistert met gesprekken, om zo te achterhalen wie uw Hoofd Financiën is, wie er mag tekenen voor pakketjes en wie toegang heeft tot de serverruimte. Ook gebruikt hij social media als LinkedIn, Facebook en Twitter om functies, maar ook hobby’s en andere persoonlijke gegevens te achterhalen. Deze informatie kan hij gebruiken om voor hem belangrijke personen binnen de organisatie een gerichte email te sturen. Juist doordat hij zulke specifieke informatie noemt, klikken veel ontvangers op een link of openen ze de bijlage. Met alle gevolgen van dien!

Menselijke aspect informatiebeveiliging

Mensen spelen dus een cruciale rol in dit proces. Helaas hebben veel organisaties een blinde vlek wanneer het gaat om het vertrouwen van hun medewerkers. Het is van het grootste belang dat organisaties het menselijke aspect van informatiebeveiliging erkennen en op waarde schatten. Dat vergt discipline en een cultuurverandering, waar technologie wel een bijdrage aan kan leveren. Denk bijvoorbeeld aan het uitvoeren van zogenaamde phishing-testen, waarbij medewerkers een mail krijgen die ze eigenlijk niet zouden moeten vertrouwen. Als je vervolgens monitort hoeveel medewerkers de mail openen, kun je gerichte opleidingen en adviezen aanbieden. Zorg daarbij altijd voor een positieve benadering; straffen zorgt ervoor dat mensen het niet meer melden als ze de mist in gaan.

Monitor de inzet van uw maatregelen

De meeste organisaties hebben inmiddels geïnvesteerd in firewalls, antivirus, (online) back-up’s en systeembeheer. Hoe effectief die maatregelen zijn om hun netwerk veilig te houden is hen echter niet duidelijk. Dit is de blindheid waar Michiel aan refereert: u kunt investeren in hardware, software en processen, maar als u niet monitort hoe goed die ingezet worden, vaart u eigenlijk blind. Dat wordt nog eens verder bevestigd door het gegeven dat uit onderzoek blijkt dat een hack pas na gemiddeld 210 dagen opgemerkt wordt (en dan meestal ook nog eens door een externe partij!).

Monitoring is dus van groot belang. Daar komt nog bij dat de Autoriteit Persoonsgegevens monitoring genoemd heeft als maatregel om een datalek te voorkomen. En mocht er toch een datalek plaatsvinden, dan levert monitoring historische data waarmee u kunt onderzoeken waar het mis ging. Bijkomend voordeel is dat u kunt laten zien wat u heeft gedaan om het datalek te voorkomen.

Monitoring, wat is dat eigenlijk?

Onder monitoring verstaan we bij Guardian360 het doorlopend scannen van netwerkomgevingen en/of websites. Deze scanning vindt plaats vanaf het publieke internet, maar nog belangrijker: ook vanuit het interne netwerk. Omdat dit netwerk vaak open staat voor vertrouwde gebruikers, is het zaak daar te monitoren of systemen wel goed afgeschermd zijn op het moment dat een gebruiker gehackt is.

De resultaten van de verschillende scans kunnen vervolgens gebruikt worden om te bepalen welke kwetsbaarheden als eerste verholpen worden. Omdat veel organisaties geen middelen hebben om kwetsbaarheden direct op te lossen, is een inventarisatie van kwetsbaarheden belangrijk. We zorgen er daarom voor dat alle gegevens in een overzichtelijk dashboard worden gepresenteerd, zodat vervolgacties snel bepaald kunnen worden. Het is ook cruciaal vooraf vast te stellen welke systemen het meest van belang zijn voor u. Zo zullen kwetsbaarheden op een server met patiëntdata eerder verholpen moeten worden, dan die op een testserver.

Schermafbeelding 2016-04-04 om 11.23.58

De juiste monitoring

Door de juiste monitoring toe te passen, is een crimineel in uw netwerk sneller te detecteren. Een voorbeeld hiervan is de Canary, een “bewegingsmelder” in een bedrijfsnetwerk die fungeert als een kanarie in een kolenmijn. Mijnwerkers wisten dat ze snel naar buiten moesten als de kanarie van z’n stokje ging, systeembeheerders weten dat er iets mis is als de Canary begint te “fluiten.”

guardian360-security-operations-center

Het goede nieuws is dat blindheid voor informatiebeveiliging relatief eenvoudig te verhelpen is. Een aantal maatregelen zijn organisatorisch van aard en vergen alleen een investering in tijd. Andere maatregelen hebben een technisch karakter, en kunnen doorlopende monitoring en rapportage bieden.

Waar u als eerste mee aan de slag zou moeten, hangt af van de aard van uw bedrijfsvoering. Wat zijn de kroonjuwelen binnen uw netwerk, en wat is de mogelijke schade die daaraan berokkend kan worden? Als dat inzichtelijk is, dan kunt u gericht investeren in monitoring. Want dat u monitoring nodig heeft, staat als een paal boven water!

Wilt u meer weten over deze onderwerpen, download dan onze branche specifieke whitepapers via https://www.guardian360.nl/branches.


Deze bijdrage is ook verschenen op de website van Het Ondernemersbelang