Hoe meet je waar je staat met jouw beveiliging?

Vind de juiste tooling en rapporteer naar het bestuur hoe volwassen je organisatie met cyberdreigingen omgaat.
Naast het vaststellen hoe volwassen je beveiliging is ten opzichte van andere partijen, is het meten welke vooruitgang je boekt in het securityproces een van de belangrijkste stappen. Het bestuur maalt nu eenmaal vooral om resultaat. In dit artikel laten we je zien hoe je dat meten aanpakt.

“Er is geen zilveren kogel of specifieke tool”, begint Verizons beveiligingsspecialist Ashish Khanna. Sommige leveranciers zullen het er misschien niet mee eens zijn, maar er bestaat simpelweg niet één enkel product dat je al het werk uit handen neemt. Je moet blijven meten, herijken en nieuwe tactieken ontwikkelen op basis van nieuwe inzichten van hoe aanvallers te werk gaan. Dit is een kat- en muisspel dat je eventueel kunt uitbesteden aan een dienst die informatiebeveiliging uitvoert, maar wil het succesvol zijn dan vergt het sowieso organisatorische en persoonlijke inbreng vanuit jouw organisatie.

“Als je naar een model wilt van doorlopende beveiliging, is er geen enkele tool die een risicoanalyse doet en je een totaaloverzicht geeft van de securitygevaren die je organisatie loopt”, zegt Khanna. Kijk dan ook niet vanuit een specifieke leverancier, maar zoek meer op een hoger niveau en gebruik bestaande beveiligingsframeworks zoals het NIST Cyber Security Framework, om er vervolgens de tools en appliances bij te zoeken waarmee je dat doel kunt bereiken. We geven hieronder een aantal voorbeelden om je op weg te helpen. Er zijn vier vragen die je op tactisch niveau moet stellen om een beveiligingsstrategie na te streven, legt Khanna uit.

1. Wat zijn je assets?

Om te beginnen is het allerbelangrijkste iets wat we in het vorige artikel in deze reeks ook al aanhaalden: breng de assets van je organisatie in kaart. Het is van groot belang om te kijken naar welke (digitale) bezittingen het belangrijkst zijn om je kritieke bedrijfsprocessen soepel te laten verlopen, want die moeten in de gehele strategie de hoogste prioriteit krijgen.

Onder de AVG kijk je sowieso al specifiek naar de applicaties waarmee persoonsgegevens worden verwerkt en de databases waarin die worden opgeslagen (de kroonjuwelen volgens de Europese privacywetgeving). Bepaalde productiedatabases die door belangrijke enterprise-applicaties worden gebruikt zijn van kritiek belang voor de beveiliging die zich richt op continuïteit van de kritieke bedrijfsprocessen (de kroonjuwelen volgens het bedrijf). Voor het inventariseren van je assets zijn er specifieke tools, zoals software van Solarwinds, Ivanti, Flexera en ServiceNow, om er een paar te noemen.

2. Wat zijn de bestaande risico’s?

Begin met het in kaart brengen van de dreigingen door gebruik te maken van threat modelling frameworks als Octave en STRIDE. Hoe ontwikkelen de aanvallers zich die zich op jouw sector of organisatie richten? Wat zijn de assets die ze met name willen bereiken? Zijn dat specifieke databases met privacygevoelige informatie, zijn dat databases met bedrijfsgeheimen of andere propriëtaire informatie, of gaat het ze om ontwrichting van de kritieke bedrijfsprocessen door de inzet van beschikbaarheidsaanvallen, zoals een DDoS-aanval?

Als je dat weet kun je bepalen wat het risico is en hoe groot de impact voor je bedrijf is als ze applicatie X omver trekken of database Y bereiken. Hoe beperk je de schade voor elk van deze scenario’s? “Kijk bij elk risico wat de beste strategie is: technische mitigatie van het issue, juridische risico-overdracht naar een derde partij, of acceptatie van het risico?” Als het risico minimaal is voor jouw sector of organisatie en de eventuele impact te overzien is, is het soms – omdat je nu eenmaal niet alles kunt doen – strategisch juist om bepaalde risico’s te accepteren. Ook voor deze inschattende stap zijn er tools, onder meer van SAS, Cura, en anderen.

3. Wat zijn de relevante kwetsbaarheden?

Daaruit volgt welke kwetsbaarheden voor jouw omgeving het relevantst zijn. Patchen is geen sinecure, maar sowieso moeten de meest kritieke software – die je aan de hand van assetmanagement en risicobeheer hebt geïdentificeerd – en de belangrijkste databases voorzien zijn van de laatste updates. Een aanvaller die binnenkomt door het exploiteren van een kwetsbaarheid in bepaalde software, wat bijna onvermijdelijk is, moet bij laterale beweging in je omgeving geen toegang kunnen krijgen tot die allerbelangrijkste applicaties en data. Voor dit proces zijn er Continuous Vulnerability Management-platforms van bedrijven als Qualys, McAfee, Beyond Security, Rapid 7 en andere leveranciers.

Een ander voorbeeld dat Khanna noemt is software als ShadowPlex. “Dat is ontworpen om penetraties snel op te merken, zodat maatregelen kunnen worden genomen voordat aanvallers voet aan de grond krijgen en data geëxfiltreerd kan worden.” Hij wijst erop dat de meeste aanvallen weken of zelfs maanden niet worden opgemerkt en in die tijd kan er forse schade worden aangericht.

“Verder laten aanvallers meestal een forensisch spoor achter, maar het probleem is dat aanwijzingen niet zwart-wit zijn. Te veel losse gebeurtenissen zorgen ervoor dat de beveiligingsanalist wordt overspoeld met informatie. De kans is dan groot dat iets niet wordt opgemerkt. Een tool als Acalvio kan helpen door belangrijke assets te beschermen en de aanvaller in de vroege stadia van exploitatie de pas af te snijden.”

4. Wat zijn je controlemiddelen?

Ten slotte, maar zeker niet onbelangrijk, moet je zien te kwantificeren of je strategie succes heeft. Op deze manier maak je resultaten zichtbaar voor het bestuur en kun je de ROI aantonen van het beveiligingsbudget. Zoals we in het vorige artikel aangaven, is dat van levensbelang voor de businesskant van IT. De tooling die een continue monitoring levert, geeft je een beeld van je relatieve positie ten opzichte van andere partijen in je marktsector. Je brengt zo in kaart hoe er is gereageerd op specifieke risico’s die zich over een periode hebben ontwikkeld en daarmee maak je het inzichtelijk met praktische resultaten.

Bron: computerworld.nl



Telenet lanceert onder merknaam ‘Tadaam’ tv en internet zonder kabel

Telenet lanceert een aanbod om te surfen en televisie te kijken zonder dat er een kabel aan te pas komt, maar dat werkt via mobiel internet. Het doet dat niet onder de eigen merknaam, maar als Tadaam. De goedkoopste formule kost 40 euro per maand. Klanten mogen echter niet veeleisend zijn: kinderziektes zijn mogelijk.

De techsite Tweakers lanceerde het nieuws als eerste, nadat enkele surfers de dienst hadden opgemerkt. Telenet heeft zelf geen communicatie uitgestuurd over de nieuwe formules. Aan de website Tadaam.be is ook niet meteen te zien dat Telenet erachter zit. “Tadaam is een zelfstandige eenheid binnen Telenet”, luidt het.

Het is een moeilijke kwestie voor Telenet. Enerzijds heeft het bedrijf jarenlang geïnvesteerd in de traditionele kabel en heeft het er dus alle belang bij om klanten aan die kabel te binden, maar anderzijds zijn er steeds meer jongeren die alleen nog tv kijken via streaming en geen traditioneel tv-aanbod meer willen. 

Met Tadaam biedt Telenet de flexibiliteit waar de kabelknippers om vragen: het is een aanbod zonder datalimiet en open om te gebruiken naast Netflix of andere streamingdiensten, zonder opgedrongen decoder.

40 euro per maand

Voor 40 euro per maand biedt Tadaam een modem die het 4G-signaal omzet in wifi, om overal in België te surfen. Televisie kijken kan op verschillende manieren, onder meer via smartphone, tablet, Android TV of Apple TV. Voor nog 10 euro extra is de snelheid hoger (tot 50 mbps in plaats van 40 mbps) en kan op drie schermen tegelijk gekeken worden.

Het televisieaanbod bevat 16 kanalen. Het gaat om de Vlaamse zenders van de drie grote omroepen, de Franstalige openbare omroep RTBF en de kinderzenders Nick Jr. en Nickelodeon Spike.

Kinderziektes

Tadaam waarschuwt potentiële klanten wel dat het nog om een testproduct gaat, “waarbij zowel bepaalde technische als operationele elementen worden onderzocht en opgevolgd”. Kleine kinderziektes zijn niet uitgesloten, luidt het. “En klanten mogen niet dezelfde eisen stellen aan Tadaam dan aan een volledig doorontwikkeld product inclusief klantenondersteuning.”

Bron: www.hln.be