Van preventie naar actie: zo pak je aanvallers in je netwerk snel en effectief aan

Van cybersecurity naar cyber resilience fase

De dag begon met een duidelijke boodschap van Remco Geerts, Business Unit Lead Cybersecurity van Cegeka: cybersecurity draait allang niet meer alleen om beschermen. De focus verschuift naar cyber resilience: het vermogen om aanvallen te herkennen én er effectief op te reageren.

Die verschuiving is niet zonder reden. Aanvallers worden slimmer en vinden mede dankzij AI sneller nieuwe kwetsbaarheden. Phishingmails worden overtuigender en technieken geavanceerder. Daardoor is het onrealistisch om te denken dat je aanvallers altijd buiten de deur houdt. 

Binnen die aanpak speelt het Security Operations Center (SOC) een centrale rol. Cegeka’s Modern SOC combineert technologie, processen en mensen om dreigingen continu te monitoren en op te volgen. Het draait dus niet alleen om het buitenhouden van aanvallers, maar vooral om weerbaarheid en inzicht in wat ze doen zodra ze binnen zijn. 

Eén platform in plaats van losse puzzelstukjes 

Die gedachte kwam direct tot leven in het hands-on deel van de workshop, onder begeleiding van security engineer Marcel Kosters van Vectra. Deelnemers werkten met het Vectra AI-platform, dat gericht is op het detecteren en volgen van aanvallersgedrag in het netwerk. In plaats van losse tools en dashboards biedt het platform één overzicht van wat er gebeurt binnen je volledige IT-landschap, van datacenter tot cloud. 

Die integrale aanpak is essentieel. Waar traditionele securityoplossingen vaak afhankelijk zijn van losse logs of agents, kijkt Vectra naar netwerkgedrag. Naar het complete plaatje van al je verkeer. Op basis van metadata en gedragsanalyse detecteert het platform afwijkingen en mogelijke dreigingen.  

Denken als een aanvaller

Tijdens de workshop stapten deelnemers in de rol van security-analist bij het fictieve bedrijf Fictotech. Vanuit die rol volgden ze stap voor stap een aanval die zich door het netwerk bewoog. 

Ze begonnen met een detectie die het platform signaleerde. Al snel werd duidelijk dat dit slechts het begin was. Aanvallers hebben namelijk een doel en volgen logische stappen om dat te bereiken, zoals: 

• het verkrijgen van toegang via een account
• het verkennen van de omgeving
• laterale beweging door het netwerk 
• het escaleren van rechten

Van detectie naar actie

Tijdens de workshop bleek dat detectie pas het begin is. De echte waarde zit in wat je vervolgens doet met die informatie. Welke signalen zijn kritisch? Waar moet je direct op acteren? En welke patronen wijzen op een grotere dreiging?  

Deelnemers leerden hoe ze op basis van detecties beslissingen nemen en responsacties uitvoeren. Bijvoorbeeld door systemen te blokkeren of verder onderzoek te starten. 

Een belangrijk inzicht: aanvallers maken vaak gebruik van bestaande accounts en legitieme tools. Dat maakt het lastig om met zekerheid te zeggen of een account is overgenomen of misbruikt. Daarom kijkt Vectra naar afwijkend gedrag. Als een account ineens actief is vanaf een ongebruikelijke server of andere handelingen uitvoert dan normaal, kan dat in combinatie met andere signalen wijzen op misbruik. 

Tijdens de workshop doorliepen alle deelnemers stap voor stap het aanvalspad in Vectra AI. Wie het snelst en het meest volledig de juiste verbanden legde, viel zelfs in de prijzen. Duidelijk werd dat het herkennen van een aanval vraagt om inzicht, snelheid én de juiste context. 

Waarom alleen preventie niet meer genoeg is 

Het blijft voor organisaties essentieel om je preventie op orde te hebben. Om er alles aan te doen om aanvallers buiten de deur te houden. Maar de praktijk laat zien dat alleen preventie niet genoeg is. Je moet er rekening mee houden dat het kán gebeuren dat aanvallers binnenkomen.  

De focus verschuift naar hoe snel je dat doorhebt en wat je vervolgens doet. Want een aanval wordt pas echt gevaarlijk als hij onopgemerkt blijft. 

Precies dát is de key takeaway van de ochtend: cybersecurity draait niet alleen om buiten houden, maar vooral om begrijpen wat er binnen gebeurt. Dat maakt het verschil tussen een incident en een crisis.