​​Een veilige IT omgeving​

​​Hoe weet ik dat ik veilig genoeg ben?

Iedereen die zich bezighoudt met het veilig maken van zijn/haar IT-omgeving zal zich op een zeker moment afvragen, ben ik op de goede weg? Doe ik voldoende aan informatiebeveiliging? Is mijn belangrijkste informatie (kroonjuwelen) veilig? Wat is goed genoeg?

Het implementeren van een security framework (zoals bijvoorbeeld de BIO of de ISO27001 en NEN7510), in combinatie met een risico afweging is vaak de meest gevolgde weg. Het implementeren van een framework geeft niet direct antwoord op de hierboven gestelde vragen. Een gestructureerde analyse-aanpak gaat hier wel bij helpen. Tevens kan in de toekomst, met nieuwe bedreigingen, deze aanpak eenvoudig opnieuw doorlopen worden, om efficiënt te bepalen waar extra maatregelen nodig zijn. Zodat je altijd weet dat je veilig genoeg bent.

placeholder

Ken uw vijanden

Een oude wijsheid “Ken uw vijanden” is ook in de IT security de basis voor een veilige IT omgeving. Het begrijpen van je vijanden gebeurt in twee fasen.  De eerste fase draait om het vaststellen van welke dreigingen en type bedreigers de organisatie kunnen schaden; dit wordt vastgelegd in een dreigingsbeeld.

Belangrijk hierbij is dat je ook kijkt naar de fysieke bedreigingen (denk hierbij bijvoorbeeld aan demonstranten die een gebouw binnendringen), en wat hiervan de mogelijke impact is.

De tweede fase is het identificeren van mogelijke type groepen/actoren die de dreigingen van de organisatie kunnen verwezenlijken. Dit kan door, over verschillende assen, te kijken naar het doel van aanvallers (actoren): financieel gewin, bedrijfsspionage, verstoren van de organisatie etc. Type actoren zijn bijvoorbeeld: criminele organisaties, natiestaten of door een staat gesponsorde groepen, maar ook het eigen personeel. Tevens kun je ook van het nationale dreigingsbeeld van het NCSC (CSBN) of een daarvan afgeleid, specifiek sectoraal, dreigingsbeeld gebruik maken. 

Wie zijn de werkelijke vijanden?

Het kennen van uw vijanden geeft dus een beeld van de bedreigingen waartegen je jouw organisatie zou moeten verdedigen, en welke type actoren een mogelijke dreiging vormen.

Maar… wie zijn nu werkelijk de groeperingen die interesse hebben om de organisatie aan te vallen? Er zijn tools beschikbaar die deze groeperingen al hebben geïdentificeerd en beschreven. Deze informatie stelt je in staat vast te stellen welke groeperingen mogelijke aanvallers zijn van je organisatie. Een van de tools die Highberg-experts hiervoor gebruiken is een samengestelde kennisbank over het gedrag van cyberaanvallers, het MITRE ATT&CK Framework. Op basis van de eerder gevonden type actoren bepaal je met deze kennisbank wie nu de werkelijke aanvallers (groepen) zijn.

Hoe word ik aangevallen?

Nadat de werkelijke actoren zijn vastgesteld, kijken we naar hoe deze actoren een organisatie aanvallen. We zien dat groeperingen vaak dezelfde manier van aanvallen gebruiken. Hierdoor is van de meeste groeperingen bekend hoe ze opereren. Dat wil zeggen, welke technieken ze gebruiken, denk hierbij aan phishing of brute force attacks, en hoe hun werkelijke aanval verloopt, bijvoorbeeld via data extractie of data encryptie. Het MITRE ATT&CK Framework geeft hier, door uitgebreide en goed toepasbare beschrijving, een uitstekend inzicht van. 

Verdedigingsstrategie

Wanneer vastgesteld is wat de strategieën zijn van de groepen die de organisatie kunnen aanvallen, ben je in staat op strategische plaatsen de verdediging op te zetten. Het doel hiervan is het blokkeren van de actoren op een effectieve manier, zodanig dat ze niet via hun favoriete weg binnen kunnen komen. Algemeen geldt, een omweg voor een aanval kost meer moeite, tijd en geld. Veel actoren zullen dit niet doen omdat het dan te weinig oplevert. Hierdoor kun je je beveiligingssystemen efficiënt inzetten op specifieke onderdelen in je omgeving.

Uitzonderingen zijn er natuurlijk ook, vooral als het gaat om spionage door staatsactoren (die hebben meer mensen, apparatuur en geld tot hun beschikking), in deze gevallen zal je dus ook de alternatieve routes moeten beveiligen.

Hoe blijf ik veilig?

Nadat je binnen de organisatie de verdediging hebt gerealiseerd met verschillende middelen en systemen, vormen zij samen de volledige beveiliging van je omgeving. Om deze optimaal te laten functioneren is de organisatie verantwoordelijk voor de goede inrichting van monitoring op correcte werking. Alleen dan is er sprake van duurzame effectieve beveiliging. Tevens zijn aanvalstechnieken en kwetsbaarheden erg dynamisch, waardoor er doorlopend veranderingen zijn. Door de dreigingsanalyse, het bepalen van de vijanden en hun strategieën, periodiek opnieuw uit te voeren kun je je verdediging continu actueel houden.

Conclusie

Hoe weet ik of ik veilig genoeg ben?
Is de belangrijkste vraag, door continu gebruik te maken van de beschreven analysemethode, kun je bepalen of alle risico’s van aanvallers voldoende afgedekt zijn.

Ben ik op de goede weg?
Vanuit de analyse weet je wie je aanvallers zijn en hoe ze aanvallen. Dan kun je bepalen of je voldoende systemen/middelen hebt ingezet. Zo niet dan moeten er correcties en/of aanscherpingen worden gedaan.

Doe ik voldoende aan informatiebeveiliging? Wat is goed genoeg?
Uit de analysemethode komt een duidelijk antwoord waartegen en waar je de beveiliging moet inzetten. Let wel, de wereld blijft veranderen dus het periodiek herzien van het dreigingsbeeld en de daarop volgende stappen blijft evident.

Geïnteresseerd in hoe Highberg security experts u kunnen helpen, om te bepalen wat je werkelijke bedreigingen zijn en of je veilig genoeg bent? Dan ben je altijd welkom om eens met ons in gesprek te gaan.

Gerelateerde Insights

divider