Security operations: een bittere noodzaak

Door: Arnold Derksen (Sales Manager bij Giant ICT)

In de media lees je (bijna) dagelijks over thema’s als datalekken, datadiefstal, ransomware incidenten enzovoorts. Vaak betreft het dan berichtgeving over bekende instanties of aansprekende commerciële bedrijven. De voorbeelden liegen er niet om. De impact van een dergelijk incident gaat vaak veel verder dan het tijdelijk niet beschikbaar hebben van primaire processen (ofwel de core business) en de gevolgen daarvan in geld en reputatie. Data is het nieuwe goud, zo wordt vaak gezegd. Er zit een verdienmodel achter voor de kwaadwillende.

De berichtgeving in de media vormt helaas nog maar het topje van de ijsberg. Het is niet de vraag of een organisatie ooit getroffen zal worden door een cyberincident, maar met name wanneer en op welke wijze. Kernvragen daarbij zijn meestal:

  • Welke risico’s loop je als organisatie bij een cyberincident (+ impact)?
  • Welke IT-security maatregelen zijn er reeds succesvol ingeregeld en operationeel?
  • Welk budget is er beschikbaar voor bestaande en nieuwe maatregelen/initiatieven?
  • In hoeverre staat IT-security als (top)prioriteit op de kalender bij directies?
  • Hoe is het beheer op vlak van IT-security ingeregeld en wordt er proactief gesignaleerd op afwijkingen binnen het IT landschap? (eventueel aangevuld met incident response beleid?)
  • In hoeverre ben je in staat om bij een cyberincident snel en adequaat te kunnen reageren? Is er een (beproefd) plan/draaiboek beschikbaar rondom een calamiteit? En weet je dan ook zeker dat je (liefst zonder kleerscheuren) terug kunt naar een eerdere ‘schone’ situatie?

In de basis gaat het erom dat je je IT-security huishouden op orde hebt en houdt. Dat bestaat uit een set aan (basis)maatregelen. Je kunt hier als organisatie uiteindelijk zo ver in gaan als je zelf wenst of nodig acht. Uiteraard hangt daar wel een bijbehorend prijskaartje aan. De kern is dat iedere organisatie voor zichzelf moet bepalen welke (basis)maatregelen ze inrichten op vlak van IT-security, hoe deze maatregelen op de juiste wijze ingezet en onderhouden worden en dat er blijvende aansluiting wordt gevonden bij de primaire processen van een organisatie. Basismaatregelen zijn bijvoorbeeld tijdige patching/firmware updates, next-gen firewalls, MFA (multi-factor authenticatie), immutable back-ups (als onderdeel van dataprotectie), EDR (Endpoint Detection & Response), Vulnerability Management en ga zo maar door.

Organisaties hebben in veel gevallen al significant geïnvesteerd in IT-security gerelateerde oplossingen, variërend van hard- en software oplossingen tot (passende) dienstverlening door specialisten. Dit kunnen specialisten zijn binnen de eigen organisatie, of door middel van expertise geleverd vanuit externe IT dienstverleners. Uiteraard kan dit ook in een gemixte vorm toegepast worden.

Anno 2022/2023 is de urgentie torenhoog om de al dan niet succesvol geïmplementeerde oplossingen op de juiste wijze te monitoren en alert te zijn op dreigende verstoringen binnen het ICT-landschap (lees: een cyberincident). Hierop is de term security operations van toepassing. In hoeverre heb je als organisatie continu grip op bijvoorbeeld firewall logs, endpoints (servers, storage, laptops enzovoorts) en kwetsbaarheden binnen het ICT-landschap? Met name het genereren van meldingen (of signalering) op het vlak van Endpoint Detection & Response en Vulnerability Management en de interpretatie/opvolging van deze meldingen zijn van cruciaal belang om je IT-huishouden zo goed mogelijk te beschermen tegen de boze buitenwereld. Uiteraard moet een organisatie, al dan niet met een kennispartner, deze meldingen interpreteren en opvolgen waar nodig (op basis van prioriteitstelling). Dit is een proces dat scherpte en energie vergt.

Kortom, de IT-security gereedschapskist en de dienstverlening (op maat) maken het verschil. 100% zekerheid op het voorkomen van een cyberincident is geen reële verwachting, maar met de juiste maatregelen, signalering en opvolging wordt het voor de kwaadwillende een stuk lastiger om toegang te krijgen tot (gevoelige) bedrijfsdata.

Giant ICT, onderdeel van de Klaver Giant Groep/VDK Groep, heeft als managed services dienstverlener en kennishuis op vlak van IT infrastructuren & de moderne werkplek een laagdrempelig aanbod voor organisaties voor wat betreft security operations. Deze dienstverlening bestaat uit proactieve signalering op vlak van Endpoint Detection & Response en Vulnerability Management. Vanuit ervaring merken wij dat IT-afdelingen binnen organisaties niet de resources of tijd hebben om serieus werk te maken van security operations en met name vulnerability management, terwijl dit juist bittere noodzaak is. Giant ICT ondersteunt organisaties en biedt meerwaarde op dit vlak.

MEDR (Managed Endpoint Detection & Response)

Endpoint Detection & Response is feitelijk antivirus 2.0, waarbij het niet meer gaat om het up-to-date hebben van virusdefinities (feitelijk een reactief receptuur op een incident dat reeds plaatsgevonden heeft), maar waarbij naar afwijkend gedrag op de endpoints wordt gekeken. Bij afwijkend gedrag heeft de tooling (in dit geval SentinelOne) een signaalfunctie en reageert in bepaalde situaties autonoom zodat een aanval gestopt wordt, compleet met een roll-back mogelijkheid. Giant ICT biedt rondom Endpoint Detection & Response een managed service aan in de vorm van MEDR (Managed Endpoint Detection & Response).

MVS (Managed Vulnerability Services)

Vulnerability Management is waardevol als middel om periodiek (bijvoorbeeld wekelijks) te scannen en zodoende belangrijke kwetsbaarheden binnen het IT-landschap te signaleren. Er wordt hierbij op basis van prioriteitstelling geadviseerd actie te nemen op deze mogelijke ‘openingen’ voor de kwaadwillende. Met Tenable.io als achterliggende tooling worden organisaties geïnformeerd over kwetsbaarheden die nog niet of juist wel actief gebruikt worden om bij organisaties binnen te komen. Giant ICT biedt rondom Vulnerability Management een managed service aan in de vorm van MVS (Managed Vulnerability Services).

Wil je meer weten over onze Managed Services mogelijkheden en specifiek de genoemde IT-security diensten? Benader ons dan via info@giantict.nl of bel met (072) 5751010.