Blog

Security

Threat intelligence-oplossingen in dreigingslandschap security

20 jun 2019

Uit mijn vorige blog bleek dat het dreigingslandschap voor Nederland niet fundamenteel veranderd is volgens het Cybersecuritybeeld. Maar dat de diversiteit toeneemt, is duidelijk te zien. Dit betekent dat de securityproducten en –diensten telkens moeten meebewegen om effectief te blijven. De effectiviteit van verschillende securityproducten en -diensten worden in sterke mate bepaald door de kwaliteit van de toegepaste threat intelligence-oplossing. Het voordeel van het werken met ‘Proven Technology’ is dat de geïntegreerde threat intelligence-bronnen dynamisch zijn ingericht zodat deze samen met het dreigingslandschap meebewegen. Hierdoor worden de meest relevante dreigingen van dat moment automatisch herkend en opgevangen vanuit de securityproducten zelf. In deze blog ga ik hier dieper op in.

Ron Hehemann door Ron Hehemann

MIJN VORIGE BLOG

Plotselinge veranderingen

In het geval van plotselinge veranderingen zoals het verschijnen van nieuwe zero-day aanvalstechnieken of malware is er een periode waarin de toegepaste threat intelligence-technologie nog niet voldoende informatie heeft om deze aanval te kunnen identificeren. Daardoor zijn de aangesloten securityproducten op dat moment nog niet in staat om deze dreigingen automatisch te blokkeren. In deze gevallen is het aan Telindus om klanten te informeren over mitigerende maatregelen in relatie tot nieuwe acute dreigingen. Voor bedrijven die gebruik maken van onze Managed Services, passen wij direct de juiste maatregelen toe op de securityproducten die wij in beheer hebben. Tijdens dergelijke aanvallen wordt gedurende enkele uren steeds meer informatie bekend over de aanval en welke kenmerken deze heeft. Door adequaat custom-detectieregels in te voeren kunnen securityproducten deze kenmerken herkennen en de dreiging mitigeren. Zo kunnen wij onze klanten binnen enkele uren vanuit ons incident handelingsproces beschermen tegen grootschalige uitbraken van voorheen onbekende dreigingen.

Door gebruik te maken van producten met kwalitatief hoogstaande threat intelligence-oplossingen, alsmede het direct acteren bij nieuwe dreigingen met veel impact hebben wij een effectief, proactief en snel antwoord op veranderingen in het dreigingslandschap.

Het analyseren van incidenten en het voorkomen van herhaling
Ondanks dat het voorkomen van incidenten de hoogste prioriteit heeft kan het gebeuren dat zich een securityincident voordoet. Op dat moment is het van groot belang om snel en accuraat te kunnen bepalen hoe het incident zich heeft kunnen manifesteren en in welke mate er sprake is van aantasting van systemen of onderdelen daarvan. Afhankelijk van de in gebruik zijnde securityproducten kan er door het analyseren van logging bepaald worden hoe een incident heeft plaatsgevonden en hoe het zich vervolgens gemanifesteerd heeft. Door gebruik te maken van de geïntegreerde intelligence diagnoses van de securityproducten en databronnen kunnen wij hier vervolgens de vertaalslag leggen om mitigerende maatregelen te treffen in een klant zijn securityoplossingen. Zo wordt voorkomen dat eenzelfde incident zich herhaalt in een ander netwerksegment van een andere klant.

Insider threat risico’s op securitygebied

Wat daadwerkelijk insider threat risicos zijn op securitygebied is niet eenduidig te beantwoorden. Er zijn namelijk meerdere scenario’s hierin te bedenken. Mogelijke opties kunnen zijn:

• Een vertrouwd persoon die opzettelijk of met kwaadwillige bedoelingen schade veroorzaakt. Dit komt dan neer op een werknemer die zeer ontevreden is of zich door de organisatie benadeeld voelt, en bewust het bedrijf schade wil berokkenen.

• Een vertrouwd persoon die onbewust geïnfecteerd is geraakt en de organisatie schade toe brengt door de malware die op haar/zijn laptop actief is.

In beide gevallen is een goede DNS-security zoals Umbrella, beschreven in mijn blog, een noodzaak om gemakkelijk een beschermingsschil te creëren. Daarnaast is een deugdelijke endpoint bescherming voor servers, laptop, tablet en desktop ook van groot belang, zie hiervoor de blog van mijn collega Jan van der Graaf.

Geïnteresseerd?

Ron Hehemann
Neem contact op met onze Security- specialist Ron Hehemann

Ron Hehemann is Security Consultant bij Telindus. Ron heeft meer dan 30 jaar internationaal ervaring op het gebied van besturingssystemen, networking, virtualisatie, informatietechnologie en -beveiliging. Als trainer en consultant op het gebied van CISSP, Ethical Hacking en voorheen Foundstone, heeft beveiliging al sinds het begin van de jaren negentig een grote invloed gehad op zijn manier van denken. Het draait nog veel meer om de mindset dat wat jij triviaal vindt voor de kwaadwillende medemens, een ingangspunt is in jouw organisatie. Vandaag de dag zijn er nog veel gebruikers in kleine en grote organisaties die dat bewustzijn ontberen. Men beseft nog te weinig dat imagoschade heel erg moeilijk te herstellen is en veel tijd kost. De associatie die men heeft met goede en matige merknamen kan je zelf invullen. Na werktijd is Ron actief in de sportschool, op de tennisbaan en is hij duikinstructeur.

geen reacties
Plaats een reactie