Beheer van security-oplossingen vaak onderschat

De kerstperiode staat voor de deur en traditioneel betekent dat gezelligheid, warmte en vreedzaamheid. Helaas denken (cyber)criminelen hier anders over. Uit onderzoek blijkt dat hackers de feestdagen aangrijpen om meer spam te versturen en zo malware te verspreiden. En er is meer slecht nieuws in securityland. Zo worden Nederlandse directeuren steeds vaker slachtoffer van CEO fraude. Securitydreigingen blijven toenemen en daarmee ook het belang van een gedegen strategie om hier adequaat mee om te gaan. In de praktijk zijn echter nog te weinig organisaties in staat om hun infrastructuur 24/7 in de gaten te houden en tegelijkertijd op de hoogte te blijven van de nieuwste dreigingen, wet- en regelgeving en securitymaatregelen. Vaak wordt gedacht dat het hebben van voldoende security-oplossingen genoeg veiligheid biedt en wordt het beheer van deze oplossingen niet serieus genomen. Een enorme misvatting die de deuren voor cybercriminelen wagenwijd open kan zetten.

Het beheer van security-oplossingen is heel anders dan het beheer van bijvoorbeeld routers of switches. Waar het voor routers en switches vaak voldoende is om in de gaten te houden of ze het nog doen en of de CPU-belasting binnen de normale waarden blijft, komt er voor security-oplossingen meer bij kijken. Er is dan ook een groot verschil tussen het hebben van security-oplossingen en het beheer daarvan.

Het hebben van security is niet genoeg

Technische oplossingen, de hard- en software, en het zorgen dat deze in de lucht blijven is waar het om draait bij het hebben van security. Denk hierbij aan technisch beheer met ITIL-diensten als change, incident, release en problem management. Indien nodig, kan het nog aangevuld worden met monitoring, capacity en availability management. Tot zover is er weinig verschil met het in de lucht houden van de rest van de infrastructuur, zoals routers en switches. Een Network Operating Center (NOC) kan deze taken dan ook prima uitvoeren.

Organisaties die denken dat ze de security hiermee geregeld hebben, doen er goed aan om zichzelf de volgende vragen te stellen: Hoe weet ik wat de status van mijn netwerk is? Wordt er op dit moment een poging tot inbraak gedaan of bevindt er zich reeds malware in mijn netwerk? Hoe toon ik aan dat ik compliant ben, mijn systemen niet kwetsbaar zijn en ik geen datalek heb? Hoe bewaak ik de toegang tot geclassificeerde informatie?

Deze vragen laten zien dat het beheer van goede security niet stopt bij het plaatsen en in de lucht houden van de technische oplossingen. Sterker nog, daar begint het pas.

Dataverzameling is de basis van security

Het beheren van security gaat een stap verder dan alleen het hebben ervan. Het verzamelen van data en deze omzetten naar bruikbare informatie is waar het om draait bij het beheren van security. Denk bijvoorbeeld aan het verzamelen van logging, het monitoren van security events en hierop reageren, het uitvoeren van analyses en het maken van rapportages. Maar ook het bijhouden van threat intelligence: wat gebeurt er in de wereld op securitygebied en welke acties zijn er nodig om een potentieel risico voor te zijn? Om dit te kunnen doen, moet de IT-beheerafdeling een veel actievere rol aannemen dan gebruikelijk is bij infrastructuurbeheer. Dit eist tevens een ander kennisniveau.

Bij het verzamelen van de logging worden alle gedetecteerde security events bijeengebracht op één centraal punt. Vervolgens worden deze gegevens omgezet in een leesbaar formaat, meestal in de vorm van een real-time dashboard met hierin historische informatie en trends in de vorm van bijvoorbeeld grafieken, tabellen en kaarten. Indien gewenst kan er verder gezocht worden naar specifieke gebeurtenissen of rapportages door uitgebreide zoek- en filtermethoden toe te passen. De historische data blijft meestal drie of meer maanden beschikbaar.

Naast het dashboard en handmatige rapportages is er vaak ook behoefte aan een executive-rapportage. De CEO, CISO, CIO, IT-manager of security-manager kunnen deze maandelijkse rapportage, die automatisch wordt gegenereerd, goed gebruiken. Tevens geeft deze rapportage ook weer hoe het staat met het globale dreigingsniveau van de organisatie, het verloop van het aantal events en tickets en een aantal belangrijke ‘top 10’-cijfers.

Securityanalyses met intelligente systeem

Met een intelligent systeem, ook wel Security Incident en Event Manager (SIEM) genoemd,  worden de security-alarmen verder geclassificeerd en geprioriteerd. Dit systeem is in staat om uit de grote hoeveelheid logging alleen de relevante zaken te herkennen en foutieve dreigingen zoveel mogelijk eruit te filteren. Vaak wordt dit systeem gevoed met threat intelligence-informatie vanuit één of meerdere externe bronnen. Op basis van de informatie in het SIEM kan vervolgens een diagnose gesteld worden en een advies worden uitgebracht om verdere schade te voorkomen. Dit vindt meestal plaats binnen een Security Operating Center (SOC) en is een zeer specialistische (mensen)taak.

Voor een optimale securitystrategie is het dus niet voldoende om alleen security-oplossingen te hebben, maar vooral om deze goed te beheren. Vaak ontbreekt het organisaties aan de specifieke kennis en mensen die hiervoor nodig zijn. Uit onderzoek van Telindus onder 266 IT-beslissers blijkt dan ook dat steeds meer organisaties (46%) security in de komende drie jaar gedeeltelijk of volledig willen uitbesteden. Door meer aandacht te besteden aan het beheer van security, ben je er zeker van dat oplossingen effectief zijn en blijven.

Dit is een ingezonden bijdrage van Jan van der Graaf, Pre-Sales Consultant Networking & Security bij Telindus. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.