Blog: Monitoring en response? Onmisbaar!
Stel u komt ’s avonds thuis en ontdekt dat uw deur is opengebroken. Ondanks alle sloten met keurmerk is het toch iemand gelukt uw huis binnen te dringen. U stapt geschrokken naar binnen en de angst slaat u om het hart. Al uw waardevolle spullen zijn verdwenen. U zakt neer in uw stoel die staat voor de plek waar eens uw televisie aan de muur hing en denkt: “Had ik maar camerabeelden van wat zich hier heeft afgespeeld. Dan kon ik misschien de dader identificeren”. Terwijl uw hoofd in uw handen zinkt bedenkt u: “Ik zou eigenlijk een melding moeten krijgen op mijn smartphone als zoiets gebeurt. Dan kan ik tenminste meteen ingrijpen!”
Helaas is dat voor dit incident al te laat, maar voor de toekomst zijn er mogelijkheden!
Hetzelfde geldt voor uw digitale infrastructuur. Ook hier wilt u niet dat er onbevoegden inbreken, ronddwalen en waardevolle informatie stelen, veranderen of vernietigen. Als dit, ondanks alle aanwezige state-of-the-art beveiligingsmaatregelen, toch gebeurt, dan wilt u dat weten. U wilt dan direct kunnen ingrijpen om de indringer te stoppen en verdere schade voorkomen. Dit kunnen we realiseren met de juiste inrichting van monitoring & response.
Alle actieve componenten binnen een ICT-infrastructuur kunnen gebeurtenissen in deze infrastructuur loggen. Iedere firewall, router, switch, server, IDS/IPS, etc. is voorzien van deze functionaliteit. Dit betekent dat een indringer op al deze componenten digitale sporen na laat. Sporen waaruit stukjes van de identiteit van deze persoon afgeleid kunnen worden. In veel gevallen is zelfs af te leiden wat zijn mogelijke bedoelingen zijn. Weten wat iemand van plan is, helpt bij het verijdelen van deze snode plannen.
Digitale sporen kunnen verzameld en geanalyseerd worden door speciale tooling. Deze tooling genereert een alarm als er verdacht gedrag is gedetecteerd. Dit stelt u in staat direct hierop te reageren. Maar hoe precies? Wat is de juiste actie? Door een goede analyse van de digitale sporen is het in veel gevallen mogelijk een inschatting te maken over wat de indringer van plan is. Dit geeft richting aan de mogelijke acties die u dan kunt ondernemen. Een goede analyse van de digitale sporen is hierbij cruciaal.
Snelle actie geboden
Net als bij inbrekers in uw huis wilt u graag snel weten dat men is binnengedrongen. Zodra u hiervan op de hoogte bent, kunt u direct passende acties nemen. Wat deze acties zijn hangt natuurlijk van de situatie af. Kunt u zelf iets doen om de schade te beperken of heeft u wellicht de hulpdiensten hierbij nodig? Eén ding is zeker: Als u weet wie of wat er in uw netwerk rondspookt kunt u in ieder geval iets doen, in plaats van af te wachten en achteraf de schade te inventariseren!
Onderzoek wijst uit dat inbrekers gemiddeld 200 dagen actief zijn in een netwerk alvorens ze ontdekt worden. En als ze dan ontdekt worden is dit meestal door externe meldingen. Denk hierbij aan meldingen van relaties die plotseling vreemde mailtjes met attachments van uw organisatie ontvangen.
Gewaarschuwd worden door uw relaties dat u een digitale indringer hebt… Dat laat u toch niet gebeuren zeker?
Twan van der Meer, Adviseur (IBD)
