Blog

Security

Waarom securitybeheer meer is dan het hebben van security-oplossingen

11 mei 2018

Veel organisaties denken dat ze door het hebben van voldoende security-oplossingen goed beveiligd zijn. Security-oplossingen vragen echter om een heel ander soort beheer dan bijvoorbeeld routers en switches. Bij deze laatste categorieën volstaat het veelal om in de gaten te houden of het apparaat het nog doet en of een aantal belangrijke systeemeigenschappen, zoals de CPU-belasting, nog binnen de normale waarden blijven. Bij security-oplossingen werkt het echt anders. In deze blog bespreek ik het beheer van security, zodat u er zeker van bent dat de oplossingen effectief zijn en blijven.

Jan van der Graaf door Jan van der Graaf

Verschil tussen hebben en beheren van security

Laat ik eerst het onderscheid verduidelijken tussen het ‘hebben van security’ en het ‘beheren van security’. Bij het hebben van security draait het vooral om de technische oplossingen, de hardware en software, en zorgen dat deze in de lucht blijft. We hebben het hier over technisch beheer met ITIL-diensten als change, incident, release en problem management. Mogelijk nog aangevuld met monitoring, capacity en availability management. Tot zover is er weinig verschil met het in de lucht houden van de rest van de infrastructuur, zoals routers en switches. Deze taken kunnen dan ook prima door een NOC (Network Operating Center) worden uitgevoerd.

Organisaties die denken dat ze de security hiermee geregeld hebben, zouden zich eens het volgende kunnen afvragen:

  • Hoe weet ik hoe mijn netwerk ervoor staat?
  • Wordt er op dit moment een poging tot inbraak gedaan of bevindt er zich reeds malware in mijn netwerk?
  • Heb ik daadwerkelijk inzicht in het gedrag van de gebruikers?
  • Hoe weet ik of mijn systemen kwetsbaar zijn?
  • Hoe bewaak ik de toegang tot geclassificeerde informatie?
  • Hoe weet ik of ik niet al ergens besmet ben?
  • Hoe toon ik aan dat ik compliant ben en geen datalek heb?

Zomaar een aantal vragen die aangeven dat het bij het beheer van goede security niet stopt bij het plaatsen van de technische oplossingen en deze in de lucht houden. Sterker nog, daar begint het pas.

Onderzoeksrapport security

Security draait om het verzamelen van data

Dit brengt mij bij het ‘beheren van security’. Beheren van security gaat een stap verder dan het hebben van security. Bij het beheren van security draait alles om het verzamelen van data en deze data omzetten tot nuttige informatie. Denk hierbij aan het verzamelen van logging, het monitoren van security events en hierop reageren, het uitvoeren van analyses en het maken van rapportages. Maar ook het bijhouden van threat intelligence: wat gebeurt er in de wereld op securitygebied en welke acties moet ik ondernemen om een potentieel risico voor te zijn? Dit vraagt een veel actievere rol van de IT-beheerafdeling dan gebruikelijk is bij infrastructuurbeheer en het vraagt tevens om een heel ander kennisniveau.

Bij het verzamelen van de logging worden alle security events die gedetecteerd worden door de diverse producten verzameld op een centraal punt. Vervolgens dienen deze gegevens omgezet te worden in een leesbaar formaat. Dit wordt meestal gepresenteerd in de vorm van een real-time dashboard met hierin historische informatie en trends (grafieken, tabellen, kaarten, etc.) met betrekking tot de gemonitorde producten. Indien gewenst kan op basis van uitgebreide zoek- en filtermethoden verder gezocht worden naar meer specifieke gebeurtenissen of specifieke rapportages. In de meeste gevallen blijft de historische data drie maanden of meer beschikbaar.

Naast het dashboard en handmatige rapportages is er ook vaak behoefte aan een executive rapportage. Deze wordt op maandelijkse basis automatisch gegenereerd en heeft als doelgroep de CEO, CIO, CISO, IT-manager of Securitymanager. Deze rapportage geeft bijvoorbeeld weer hoe het staat met het globale dreigingsniveau van de organisatie, het verloop van aantal events en tickets en daarnaast een aantal belangrijke ‘top 10’-cijfers.

Securitybeheer vraagt om analyses middels SIEM

Bij security-analyses worden de security-alarmen verder geclassificeerd en geprioriteerd. Dit gebeurt met behulp van een intelligent systeem ook wel een SIEM (Security Incident en Event Manager) genoemd. Dit systeem is in staat om uit de grote hoeveelheid logging alleen de relevante zaken te herkennen en zogenaamde false-positives zoveel mogelijk eruit te filteren. Vaak wordt dit systeem gevoed met threat intelligence informatie vanuit één of meerdere externe bronnen. Op basis van de informatie in het SIEM kan vervolgens een diagnose worden uitgevoerd en een advies worden uitgebracht om verdere schade te voorkomen. Dit is zeer specialistisch (mensen)werk en vindt meestal plaats binnen een zogenaamd SOC (Security Operating Center).

Voor een goede en afdoende securitystrategie is het dus niet voldoende om alleen security-oplossingen te hebben, maar vooral om deze ook goed te beheren. Vaak ontbreekt het organisaties aan de specifieke kennis en mensen die hiervoor nodig zijn. Mensen met een dergelijke specialisatie zijn ook zeer schaars en daarom is het uitbesteden van het securitybeheer voor veel organisaties een aantrekkelijk alternatief.

Geïnteresseerd?

Jan van der Graaf
Neem contact op met onze specialist Jan van der Graaf

Jan van der Graaf is pre-sales consultant Networking & Security bij Telindus. Hij heeft al meer dan 25 jaar ervaring op het gebied van netwerkinfrastructuren (LAN, WAN) en (cyber)security. Binnen Telindus richt hij zich vooral op geïntegreerde security-oplossingen inclusief het beheer ervan. Vanuit zijn grote schat aan operationele ervaring helpt hij organisaties om de juiste keuzes te maken op het gebied van netwerk- & security-infrastructuren. Keuzes die daadwerkelijk helpen en ontzorgen.

geen reacties
Plaats een reactie