Kun je iets beveiligen dat je niet ziet?

Stay tuned, abonneer!

Het beschermen van IT-systemen tegen aanvallen is zowel een technische als een beheeruitdaging. Elke dag zijn er systemen die gepatcht moeten worden – en dat is een complexe zaak. Bovendien komt er een goed onderbouwd prioriteitenplan aan te pas, gebaseerd op een diepgaand begrip van de risico’s waaraan het bedrijf wordt blootgesteld en een compleet inzicht in, bewustwording van en kennis over alle assets die binnen de IT-afdeling aanwezig zijn.

Wat heb je te verliezen?

Tegenwoordig is het voor bedrijven niet meer haalbaar om de volledige IT-omgeving te beschermen. Met alle veranderingen die de laatste jaren hebben plaatsgevonden zijn infrastructuren daar nu namelijk te complex voor. In plaats daarvan moet je prioriteiten stellen. Ben je bezig met het bepalen van de securitystrategie van de organisatie? Dan kun je deze vraag het best zo letterlijk mogelijk benaderen: wat heb je te verliezen?

De moderne enterprise-IT-omgeving omvat een grote hoeveelheid verschillende apparaten. En apparaten die op het netwerk zijn aangesloten zijn overal aanwezig: van standaard apparaten als laptops en servers, telefoons en tablets, tot routers en printers, en zelfs koffiezetapparaten en andere IoT-apparatuur. Het is van belang dat dit digitale universum in kaart wordt gebracht en nauwkeurig wordt beheerd. Zonder nauwkeurige, up-to-date lijst, is goede beveiliging onmogelijk.

Het knelpunt zit hem in het samenstellen van een complete lijst. Apparaten zijn namelijk op elk moment met het netwerk te verbinden en ook weer los te koppelen. De situatie wordt nog lastiger doordat er verschillende applicaties worden gebruikt. Naast de aangeschafte pakketten die lokaal op een werkplek draaien, maken bedrijven steeds vaker gebruik van cloud- en Software-as-a-Service-applicaties (SaaS) voor hun bedrijfsvoering. Voor de security-, IT- en compliance-professionals die al deze assets moeten bijhouden, vormt dit een groot probleem. Teams kunnen namelijk vaak zelf applicaties of assets implementeren, zonder daarvoor toestemming te hoeven vragen aan de IT-afdeling.

Dit heet ook wel ‘Shadow IT’ en verwijst naar applicaties en apparaten die werknemers gebruiken voor hun dagelijkse werkzaamheden en die niet worden beheerd door de organisatie. Sterker nog, de organisatie weet vaak niet eens van het bestaan van die applicaties of apparaten. Onder Shadow IT vallen onder andere persoonlijke smartphones of computers, of extra hardware, clouddiensten en applicaties.

De juiste manier om hiermee om te gaan, is het combineren van open gesprekken met stakeholders met effectieve monitoring van nieuwe of kwetsbare assets. Beide zaken zijn belangrijk: het is essentieel dat stakeholders het gevoel hebben dat ze kunnen praten over de tools die ze gebruiken zonder bang te zijn daarvoor gestraft te worden. Daarnaast moeten IT-teams de mogelijkheid hebben om nieuwe IT-assets of software zo snel mogelijk te ontdekken als ze worden aangesloten op het netwerk. Door dit soort open gesprekken aan te moedigen, behouden IT-securityteams de controle over de risiconiveaus.

Weet je wat je kwetsbaarheden zijn?

Sun Tzu schreef in The Art of War: “Hij die de vijand en zichzelf kent, zal in geen honderd gevechten in gevaar zijn; hij die de vijand niet kent maar wel zichzelf zal soms winnen en soms verliezen; hij die noch de vijand noch zichzelf kent, zal in ieder gevecht gevaar lopen.”

Oftewel: kennis is macht. Voor IT-securityprofessionals is de eerste stap weten welke assets er in de omgeving aanwezig zijn. Hierna prioriteer je wat je gaat beoordelen, beschermen, verdedigen, beveiligen en oplossen.

Een data-gedreven aanpak helpt hierbij, gebaseerd op kennis van wat in het netwerk aanwezig is en wat de status ervan is. Met deze lijst van assets en software is het eenvoudiger om problemen effectief te prioriteren en na te denken over waar je je resources op focust. Om dat te doen, is het goed als je weet welke dreigingen en kwetsbaarheden om onmiddellijke actie vragen, en welke kunnen wachten.

Hiervoor heb je een overzicht met softwarekwetsbaarheden nodig die relevant zijn voor jouw omgeving, hoe serieus de problemen zijn en hoe eenvoudig er misbruik van te maken is. Met behulp van gespecialiseerde sensoren en online diensten is het mogelijk om inzicht te krijgen in alle apparaten die met een bedrijf zijn verbonden – waar ze zich ook bevinden. De benodigde oplossingen of updates zijn zo in te plannen dat ze op een vast moment worden geïnstalleerd, waardoor je niet hoeft te wachten tot gebruikers ze zelf uitvoeren.  

Prioriteiten stellen

Voor moderne bedrijven omvat security het inschatten van de omstandigheden in de praktijk en de potentiële verstoringen van de businesscontinuïteit die worden veroorzaakt door het oplossen van een issue. Om de risico’s onder controle te houden, is het zaak dat je weet wat er in je netwerk speelt, welke dreigingen bestaan en hoe je je resources het best inzet. Met meer nauwkeurig inzicht in wat er binnen het bedrijf speelt, zijn zowel assetmanagement als de beveiliging van die assets effectiever te plannen.

Dit is een ingezonden bijdrage van Marco Rottigni, Chief Technical Security Officer bij Qualys. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.