Hoe meet je waar je staat met jouw beveiliging?

Vind de juiste tooling en rapporteer naar het bestuur hoe volwassen je organisatie met cyberdreigingen omgaat.
Naast het vaststellen hoe volwassen je beveiliging is ten opzichte van andere partijen, is het meten welke vooruitgang je boekt in het securityproces een van de belangrijkste stappen. Het bestuur maalt nu eenmaal vooral om resultaat. In dit artikel laten we je zien hoe je dat meten aanpakt.

“Er is geen zilveren kogel of specifieke tool”, begint Verizons beveiligingsspecialist Ashish Khanna. Sommige leveranciers zullen het er misschien niet mee eens zijn, maar er bestaat simpelweg niet één enkel product dat je al het werk uit handen neemt. Je moet blijven meten, herijken en nieuwe tactieken ontwikkelen op basis van nieuwe inzichten van hoe aanvallers te werk gaan. Dit is een kat- en muisspel dat je eventueel kunt uitbesteden aan een dienst die informatiebeveiliging uitvoert, maar wil het succesvol zijn dan vergt het sowieso organisatorische en persoonlijke inbreng vanuit jouw organisatie.

“Als je naar een model wilt van doorlopende beveiliging, is er geen enkele tool die een risicoanalyse doet en je een totaaloverzicht geeft van de securitygevaren die je organisatie loopt”, zegt Khanna. Kijk dan ook niet vanuit een specifieke leverancier, maar zoek meer op een hoger niveau en gebruik bestaande beveiligingsframeworks zoals het NIST Cyber Security Framework, om er vervolgens de tools en appliances bij te zoeken waarmee je dat doel kunt bereiken. We geven hieronder een aantal voorbeelden om je op weg te helpen. Er zijn vier vragen die je op tactisch niveau moet stellen om een beveiligingsstrategie na te streven, legt Khanna uit.

1. Wat zijn je assets?

Om te beginnen is het allerbelangrijkste iets wat we in het vorige artikel in deze reeks ook al aanhaalden: breng de assets van je organisatie in kaart. Het is van groot belang om te kijken naar welke (digitale) bezittingen het belangrijkst zijn om je kritieke bedrijfsprocessen soepel te laten verlopen, want die moeten in de gehele strategie de hoogste prioriteit krijgen.

Onder de AVG kijk je sowieso al specifiek naar de applicaties waarmee persoonsgegevens worden verwerkt en de databases waarin die worden opgeslagen (de kroonjuwelen volgens de Europese privacywetgeving). Bepaalde productiedatabases die door belangrijke enterprise-applicaties worden gebruikt zijn van kritiek belang voor de beveiliging die zich richt op continuïteit van de kritieke bedrijfsprocessen (de kroonjuwelen volgens het bedrijf). Voor het inventariseren van je assets zijn er specifieke tools, zoals software van Solarwinds, Ivanti, Flexera en ServiceNow, om er een paar te noemen.

2. Wat zijn de bestaande risico’s?

Begin met het in kaart brengen van de dreigingen door gebruik te maken van threat modelling frameworks als Octave en STRIDE. Hoe ontwikkelen de aanvallers zich die zich op jouw sector of organisatie richten? Wat zijn de assets die ze met name willen bereiken? Zijn dat specifieke databases met privacygevoelige informatie, zijn dat databases met bedrijfsgeheimen of andere propriëtaire informatie, of gaat het ze om ontwrichting van de kritieke bedrijfsprocessen door de inzet van beschikbaarheidsaanvallen, zoals een DDoS-aanval?

Als je dat weet kun je bepalen wat het risico is en hoe groot de impact voor je bedrijf is als ze applicatie X omver trekken of database Y bereiken. Hoe beperk je de schade voor elk van deze scenario’s? “Kijk bij elk risico wat de beste strategie is: technische mitigatie van het issue, juridische risico-overdracht naar een derde partij, of acceptatie van het risico?” Als het risico minimaal is voor jouw sector of organisatie en de eventuele impact te overzien is, is het soms – omdat je nu eenmaal niet alles kunt doen – strategisch juist om bepaalde risico’s te accepteren. Ook voor deze inschattende stap zijn er tools, onder meer van SAS, Cura, en anderen.

3. Wat zijn de relevante kwetsbaarheden?

Daaruit volgt welke kwetsbaarheden voor jouw omgeving het relevantst zijn. Patchen is geen sinecure, maar sowieso moeten de meest kritieke software – die je aan de hand van assetmanagement en risicobeheer hebt geïdentificeerd – en de belangrijkste databases voorzien zijn van de laatste updates. Een aanvaller die binnenkomt door het exploiteren van een kwetsbaarheid in bepaalde software, wat bijna onvermijdelijk is, moet bij laterale beweging in je omgeving geen toegang kunnen krijgen tot die allerbelangrijkste applicaties en data. Voor dit proces zijn er Continuous Vulnerability Management-platforms van bedrijven als Qualys, McAfee, Beyond Security, Rapid 7 en andere leveranciers.

Een ander voorbeeld dat Khanna noemt is software als ShadowPlex. “Dat is ontworpen om penetraties snel op te merken, zodat maatregelen kunnen worden genomen voordat aanvallers voet aan de grond krijgen en data geëxfiltreerd kan worden.” Hij wijst erop dat de meeste aanvallen weken of zelfs maanden niet worden opgemerkt en in die tijd kan er forse schade worden aangericht.

“Verder laten aanvallers meestal een forensisch spoor achter, maar het probleem is dat aanwijzingen niet zwart-wit zijn. Te veel losse gebeurtenissen zorgen ervoor dat de beveiligingsanalist wordt overspoeld met informatie. De kans is dan groot dat iets niet wordt opgemerkt. Een tool als Acalvio kan helpen door belangrijke assets te beschermen en de aanvaller in de vroege stadia van exploitatie de pas af te snijden.”

4. Wat zijn je controlemiddelen?

Ten slotte, maar zeker niet onbelangrijk, moet je zien te kwantificeren of je strategie succes heeft. Op deze manier maak je resultaten zichtbaar voor het bestuur en kun je de ROI aantonen van het beveiligingsbudget. Zoals we in het vorige artikel aangaven, is dat van levensbelang voor de businesskant van IT. De tooling die een continue monitoring levert, geeft je een beeld van je relatieve positie ten opzichte van andere partijen in je marktsector. Je brengt zo in kaart hoe er is gereageerd op specifieke risico’s die zich over een periode hebben ontwikkeld en daarmee maak je het inzichtelijk met praktische resultaten.

Bron: computerworld.nl



Breng je (naburige) draadloze netwerken in kaart

Doet je eigen wifi wat nukkig of wil je gewoon weten welke andere draadloze netwerken actief zijn? Dan kun je er een tool als CobraTek Wifi Manager op loslaten.

Doet je eigen wifi wat nukkig of wil je gewoon weten welke andere draadloze netwerken zoal in je onmiddellijke omgeving actief zijn, dan kun je er een tool als CobraTek Wifi Manager op loslaten.

ESSID

CobraTek Wifi Manager werkt als de meeste andere wifi-detectietools. Zodra je de tool hebt opgestart krijg je meteen een oplijsting van de gedetecteerde draadloze netwerken in je buurt. Je verneemt onder meer de ESSID, gebruikte encryptie-algoritme, signaalsterkte, enz. Een opvallende ontbrekende is het gebruikte kanaal, en laat dat net toch wel een interessant gegeven zijn om mogelijke storingen (met name binnen de 2,4 GHz-band) te pinpointen.

Opvallend aan deze tool is wel de ingebouwde wachtwoordendatabase. Met een druk op de knop kun je de talrijke wachtwoorden (weliswaar voornamelijk combinaties van cijfers) op zo’n draadloos netwerk loslaten om te zien of het wachtwoord van het netwerk wel voldoende sterk is – en dus niet om op die manier te proberen het wachtwoord van je buren te achterhalen. Je kunt overigens ook eigen wachtwoorden aan deze database toevoegen.

Google Maps-kaartje

Verder bevat het programma nog een ingebouwd Google Maps-kaartje om je huidige locatie (of dat van het access point) vast te stellen, maar erg nauwkeurig bleek dat toch niet te zijn.

Kortom, CobraTek Wifi Manager is een nuttig instrument om snel de omgevende draadloze netwerken op te lijsten. Alleen jammer dat de kanaalnummers niet mee werden opgenomen.

Bron: www.clickx.be