In het cybersecurity landschap is het belangrijk om te weten waar je aan toe bent. Meten is weten is in dit vakgebied een veel gehoorde uitspraak. Met het treffen van maar één voorzorgsmaatregel ben je er niet. Er zijn veel onderwerpen waarover nagedacht dient te worden. Eén van de onderdelen waar je over moet nadenken is detectie. In deze blog zoomen we in waarom het zo belangrijk is.
Hoelang is een hacker al binnen?
Er zijn veel cases bekend dat een hacker al voor een langere tijd in het systeem heeft kunnen rondkijken. Dit is voor een hacker uiteraard het beste scenario. Hij kan rustig op zoek naar potentiële kwetsbare systemen of verouderde versies van applicaties. Gemiddeld is een hacker een half jaar binnen, voordat hij toeslaat. Zo waren de hackers die de Universiteit van Maastricht geransomwared hadden al enkele maanden binnen op het netwerk en ook bij de hack bij Allekabels.nl konden de hackers bijna een half jaar lang ongestoord hun gang gaan.
Een ander ‘mooi’ voorbeeld komt uit Amerika. Hier meldt cybersecurity bedrijf Symantec dat een door de staat gesponsorde hackersgroep al bijna een jaar rondsluipt in netwerken. Hoe zijn bovenstaande toch mogelijk is een vraag die vaak gesteld wordt. Het antwoord is simpel: bedrijven denken vaak dat dit hen niet overkomt. Ze investeren te weinig in tijd, financiën, kennis in het ontwikkelen van detectie mogelijkheden en het herkennen van verdachte activiteiten.
Inzicht is key
Het is heel belangrijk om zicht te hebben op jouw interne IT landschap. Wat gebeurt er? Wie heeft toegang tot wat? En zien we geen verdachte activiteiten? Het internet-facing gedeelte is wellicht nog belangrijker. Juist hierbij kan detectie helpen.
Detectie heeft veel vormen van softwareproducten tot hardware producten. Dit is meestal in de vorm van een IDS en/of een IPS. Een IDS, Intrusion Detection System, helpt bij het monitoren van netwerkverkeer. Dit kan in zijn totaliteit of als specifiek op één onderdeel van het netwerk. Een IPS, Intrusion Prevention System, zorgt voor het actief blokkeren van opvallende gebeurtenissen binnen het netwerk. Beide oplossingen helpen bij het vergroten van de zichtbaarheid van uitgevoerde handelingen op het gemonitorde netwerk. Het is al te laat als je nu denkt aan ‘dat overkomt ons toch niet!’. Meten is weten en zonder zicht op mogelijke kwaadwillende in je systeem is het einde zoek.
Detectie is troef
Door de eerste tekenen van een hack snel te signaleren en daar direct op te acteren worden vervolgkosten van een aanval drastisch gereduceerd. Zoals eerder aangegeven zit een hacker vaak al langere tijd in jouw netwerk. Geen ideale situatie. Een Managed Detection & Response oplossing geeft snelheid aan het opvolgen van meldingen en zoeken naar verdachte activiteiten. In plaats van een half jaar die het gemiddeld genomen kost om te detecteren dat er een hack heeft plaatsgevonden, kan een MDR dienstverlening dit drastisch verlagen naar uren, zo niet korter.
Het spoedig detecteren en het oplossen van cyberdreigingen is van groot belang. Je moet volmondig ‘ja’ kunnen zeggen op de vraag waar we deze blog mee begonnen. Hoe minder tijd een cybercrimineel heeft, hoe meer kans de organisatie heeft om business impact te minimaliseren. Dit kunnen we niet vaak genoeg zeggen. Indien een cyberdreiging tijdig gedetecteerd is kan men zich blijven concentreren om de kerntaken van de organisatie.
Wil je weten waar je moet beginnen? Of wil je met één van onze experts sparren over dit onderwerp? Neem dan contact met ons op. Wij helpen je graag vrijblijvend op weg.