Select your location
Austria

Austria

Czech Republic

Czech Republic

Germany

Germany

Italy

Italy

The Netherlands

The Netherlands

Romania

Romania

Het beveiligen van welke assets zorgt voor de beste Return on Security Investment (ROSI)? Vier tips voor het beste resultaat

Beveiliging moet altijd de business ondersteunen. Het begint bij de vraag wat belangrijk is voor organisaties. Wat wil men zeker beschermen? In het wilde weg investeren in beveiligingsoplossingen is geen efficiënt gebruik van financiële middelen. De Return On Security Investment (ROSI) moet kloppen.

Daarom is het verstandig om eerst na te denken over wat een organisatie laat draaien en bouwt men de beveiligingsstrategie daaromheen. U doet dan de investeringen die de belangrijkste assets van uw organisatie beschermen. Dat zijn doorgaans degene die u het meeste kosten bij een inbraak. Is dat uw database, uw webwinkel, uw fabriek? Voor elke organisatie is dit anders.

Tip 1: EDR tegen geavanceerde cyberaanvallen

Cyberaanvallen worden steeds geavanceerder. Het duurt veel langer voordat een inbraak wordt gedetecteerd. In die uitdagende context wilt u vooral dat uw business blijft draaien. U moet dus voorkomen dat malware of cybercriminelen op uw toestellen binnendringen.

Klassieke proxies of firewalls bijvoorbeeld vormen een eerste beveiligingslinie. Maar als u uw beveiliging tot deze oplossingen beperkt, geeft dat u een vals gevoel van veiligheid. Deze software houdt immers wel heel wat aanvallen tegen, maar de bescherming is nooit 100%. Deze oplossing probeert inbraken te voorkomen, maar mist functionaliteit om te detecteren.

U moet ervan uitgaan dat er ooit in uw IT-systemen wordt ingebroken. En wat doet u dan? U heeft een tweede beveiligingslinie nodig om te detecteren wanneer een aanval door de eerste breekt. Dat is Endpoint Detection & Response (EDR).

Voor EDR installeert u op elk apparaat (computer, telefoon, tablet) een agent, die inbraken op het toestel detecteert. Dat gebeurt op een slimme manier. De agent kijkt naar het gedrag van de gebruiker en van de programma’s op het toestel. Gebeurt er iets abnormaals, dan slaat de agent alarm.

Zodra malware of een cybercrimineel door de eerste beveiligingslinie gebroken is, begint het werk van EDR. Omdat die continu alle acties op het toestel controleert, zijn er verschillende momenten tijdens de inbraak dat EDR alarm kan slaan. Op het moment dat de malware bijvoorbeeld voor het eerst uitgevoerd wordt, op het moment dat de malware zich wil opslaan, op het moment dat die meer rechten aanvraagt enzovoort.

EDR maakt niet alleen gebruik van lerende processen (machine learning) om verdacht gedrag te herkennen. De technologie kan ook terugvallen op cyber threat intelligence: allerlei informatie van buitenaf over aanvallen in andere organisaties. Zo kan een agent op uw toestel alarm slaan als die gedrag detecteert dat elders reeds als gevaarlijk herkend is.

Endpoint Detection and Response (EDR) tegen geavanceerde cyberaanvallen

Tip 2: NDR om controle terug te krijgen

Door COVID-19 is het thuiswerken en het daarbij horende netwerkverkeer sterk toegenomen. En steeds vaker maken we gebruik van IoT-apparaten of SaaS-toepassingen waarover we minder controle hebben. Hierop kunt u geen agent installeren voor EDR.

Network Detection & Response (NDR) biedt hiervoor een extra beschermlaag bovenop bijvoorbeeld een firewall. Hiermee controleert u niet wat er op apparaten gebeurt, maar wat er tussen apparaten gecommuniceerd wordt. NDR analyseert het netwerkverkeer op verdachte patronen. Omdat de controle op een passieve manier gebeurt, is de impact van deze beschermlaag op de business beperkt.

Zelfs als het netwerkverkeer versleuteld is, levert zo’n analyse nuttige informatie op. Zo kan een plotselinge toename van versleuteld verkeer naar een onbekende server wijzen op een besmetting door malware.

Als NDR verdacht netwerkverkeer detecteert, kan het aan een firewall de opdracht geven om communicatie met dit apparaat of die server te blokkeren.

Tip 3: Brand intelligence als aanvulling op EDR en NDR

Voor een goede beveiliging volstaat het niet meer om te kijken naar wat er in uw eigen infrastructuur omgaat. De cyberonderwereld wordt immers steeds groter. U heeft geen tijd om dat zelf allemaal te controleren. Als er bijvoorbeeld ongemerkt een cyberinbraak bij u gebeurd is, bestaat de kans dat de gestolen data op het dark web aangeboden worden. Heeft u daar zicht op?

Ook als er een domeinnaam geregistreerd wordt die heel erg op de domeinnaam van uw organisatie lijkt wilt u dit zo snel mogelijk weten. De kans is immers groot dat die domeinnaam gebruikt zal worden in een phishingcampagne om uw gebruikers of klanten om de tuin te leiden.

Hetzelfde als er een valse mobiele app van uw organisatie in de appwinkels van Apple of Google verschijnt. Hoe sneller u dit detecteert, hoe sneller u een aanval daarmee kan tegenhouden.

Deze analyse van wat er buiten uw eigen infrastructuur gebeurt noemen we brand intelligence. Het is een essentiële aanvulling op EDR en NDR om uw organisatie te beschermen.

Tip 4: XDR voor een holistische beveiligingsaanpak op maat van uw organisatie

EDR, NDR en brand intelligence lossen elk deelproblemen op, maar beveiliging is een multidimensionaal probleem. Dat kunt u nooit volwaardig aanpakken met deeloplossingen die elk op hun eigen eilandje werken. U heeft een holistische aanpak van beveiliging nodig.

Een oplossing die beveiliging in zijn geheel aanpakt, is eXtended Detection and Response (XDR). Naast EDR, NDR en brand intelligence, gebruikt XDR ook SIEM en SOAR:

  • Een SIEM (Security Information and Event Management) verzamelt logs van allerlei bronnen (servers, toepassingen, netwerkapparatuur, etc.), correleert die data en levert realtime analyse en meldingen op van verdachte gebeurtenissen.
  • SOAR (Security Orchestration, Automation and Response) is een systeem dat geautomatiseerd reageert op incidenten die uit EDR, NDR, brand intelligence en SIEM komen. Op die manier koppelt het de verschillende deeloplossingen op een flexibele manier aan elkaar, op maat van de pijnpunten van uw organisatie. Als u bijvoorbeeld brand intelligence binnenkrijgt over een phishingsite, blokkeert u automatisch alle communicatie naar die website.

Met een XDR verandert ook de taak van het SOC (Security Operations Center). Het team van een ‘Modern SOC’, bestaat niet alleen uit analisten die uw IT-infrastructuur op bedreigingen monitoren. Er zijn ook SOC-ingenieurs bij die uw beveiligingstaken automatiseren in SOAR-playbooks.

Conclusie

Uw organisatie zal nooit 100% beschermd zijn en uw budgetten zijn niet onuitputtelijk. Maar met een continu proces om beter te worden en een focus op de Return On Security Investment, wordt uw organisatie elke dag een beetje veiliger. We noemen dit cyber resilience. Bent u cyber resilient, dan geeft u evenredig aandacht aan de vier componenten van het continue beveiligingsproces:

  • Assess: Begrijp uw risico’s.
  • Prevent: Houd aanvallen zo vroeg mogelijk tegen.
  • Detect & respond: Detecteer inbraken is en reageer daarop.
  • Recover: Herstel snel en efficiënt van een inbraak.

Met cyber resilience wordt uw organisatie elke dag een beetje veiliger

Op deze manier beschermt u uw organisatie tegen de nieuwste trends in cybercrime.

NL - CTA - Cybersecurity - eBook Reduce Cybersecurity Risks - NL - 600x200