Overslaan naar hoofdinhoud
Pulse
een vrouwenzitting bij een bureau voor een laptopcomputer
Leestijd, 6 min.

“Er bestaat geen slecht weer – alleen slechte kleding” aldus het Scandinavische gezegde. En tegenwoordig kunnen we ons daar steeds beter op voorbereiden met nauwkeurige weersvoorspellingen en buienradars die bijna tot op de minuut aangeven wanneer je de eerste druppels kunt verwachten.

Ironisch genoeg is een online buienradar die waarschuwt voor nieuwe beveiligingsproblemen vaak nog ver te zoeken – wat misschien nog het dichtst in de buurt komt, is het uitwisselen van zogenaamde Threat Intelligence. Hierbij wordt geautomatiseerd of handmatig informatie over geslaagde of verijdelde aanvallen of over kwetsbaarheden gedeeld door bedrijven of overheden met het doel anderen te waarschuwen. Dit komt in allerlei vormen en smaken – van trendrapportages zoals het Data Breach Investigations Report of ons eigen Digital Defense Report tot korte dreigingsbulletins.

 

Wat moet je nu doen als je verantwoordelijk bent voor IT of beveiliging en een dergelijke waarschuwing belandt op je bureau? Grote bedrijven hebben vaak hun eigen threat intelligence teams die dit soort meldingen systematisch analyseren – maar wat als zo’n eigen dienst niet aanwezig is binnen de organisatie? We zullen in deze blog stapsgewijs door de analyse, actie en afronding gaan om een afweging te maken over wat te doen in het geval van een beveiligingswaarschuwing of daadwerkelijke dreiging.

Analyse

Allereerst is het goed om de bron van de waarschuwing op waarde te schatten – is dit gebaseerd op objectieve dataverzameling en -interpretatie en kun je er echt iets mee, of is dit niet met zekerheid te zeggen?

De vraag die hierbij wellicht het beste helpt, is: “Wat is het doel van de partij die de waarschuwing uitstuurt?” Gaat het bijvoorbeeld om een leverancier die een beveiligingsproduct probeert te verkopen en het probleem bij zijn oplossing heeft gezocht? Komt het van een bevriende relatie in dezelfde industrie die probeert om het hele ecoysteem van bedrijven veiliger te maken? Komt het van een overheidspartij?

Vervolgens is het zaak om te kijken wat de aard van de beschreven informatie is, door onder meer naar de volgende aspecten te kijken:

  • Gaat het om een bevestigde aanval of kwetsbaarheid? Of beschrijft iemand een meer theoretisch mechanisme dat alleen in heel specifieke situaties voorkomt?
  • Hoe gemakkelijk is de beschreven techniek te repliceren? Een aanval die bijvoorbeeld fysieke toegang vereist, is zeker niet onmogelijk om te realiseren – maar is een stuk lastiger om op grote schaal uit te voeren.
  • Is het beschreven probleem relevant voor mij en mijn organisatie? Wordt software gebruikt die wij ook in gebruik hebben, of is sprake van het actief aanvallen van een bepaalde industrie waar ik ook onderdeel van uitmaak?

Op basis van deze eerste analyse, kan een beknopt plan gemaakt worden. Probeer hierbij te formuleren: “Hoe kan ik bewijzen of ontkrachten dat dit relevant is voor mijn organisatie?”

Actie

Het plan uit de Analysefase is hierbij leidend. Veelal zal in deze fase gekeken worden of bepaalde kwetsbare software in gebruik is, of dat bepaalde Indicators of Compromise (IOCs) – digitale sporen die aangeven dat een aanval uitgevoerd is of voorbereid wordt – aanwezig zijn op je systemen of netwerk.

Een vastomlijnd stappenplan is hiervoor niet direct te geven, maar een aantal elementen zullen vaak terugkeren:

  • Heeft onze organisatie een zo volledig mogelijk en zo actueel mogelijk inzicht van de systemen, software en clouddiensten? Kunnen wij onze omgeving doorzoeken op Indicators of Compromise – bijvoorbeeld of kwaadaardige software op de systemen voorkomt of dat vanuit het netwerk met een kwaadaardig IP-adres op het internet gecommuniceerd wordt?
  • Bevat de binnengekomen melding ook al stappen over hoe het beschreven probleem voorkomen of gedetecteerd kan worden? Zijn deze uitvoerbaar binnen de organisatie?
  • Moeten wij op basis van de eerste bevindingen een meer gedetailleerde triage uitvoeren en op basis daarvan eventueel de incident response procedure opstarten?

Afronding

Na de afronding van de vorige fase (en eventueel incidentonderzoek als er daadwerkelijk iets aan de hand lijkt te zijn), is het verstandig om de bevindingen en geleerde lessen vast te leggen en waar nodig de procedures, tools en afspraken aan te passen. De analysestappen uit de vorige fase zijn eigenlijk een soort vingeroefeningen voor een echt incident – en in veel gevallen loopt men tegen praktische problemen aan die idealiter opgelost dienen te zijn voor de volgende waarschuwing binnenkomt.

Dit kunnen problemen rondom tooling zijn (Kunnen wij snel onze omgeving doorzoeken? Kunnen wij verdachte systemen isoleren?) maar vaak loopt men ook tegen organisatorische aspecten aan (Hebben wij goede afspraken gemaakt over hoe snel leveranciers bepaalde acties moeten uitvoeren?). Ook is het goed om te evalueren hoe effectief de melding verwerkt kon worden – wellicht zijn er nog informele contacten die versterkt kunnen worden om de volgende keer samen een melding te analyseren.

Zorg tot slot voor een goede rapportage. Laat ook de rest van de organisatie weten hoe jullie hier als securityteam mee bezig zijn geweest. Dat helpt niet alleen om te laten zien waar jullie als team aan werken, het helpt ook om collega’s alert te maken en te houden met betrekking tot verdachte zaken die zij wellicht in hun systemen tegenkomen.

Conclusie

Zoals gezegd, een digitale buienradar die tot op de minuut voorspelt wanneer de druppels vallen is in veel gevallen nog een utopie – maar door dreigingsinformatie systematisch te analyseren en te gebruiken als vingeroefening wanneer het nog droog is, kan men stap voor stap de weerbaarheid op een hoger niveau krijgen. Juist als het zonnetje schijnt, is het een goed moment om die goede kleding uit het gezegde te kopen, of om een paraplu klaar te leggen.

Beveiligde toegang – Stappen om te overwegen

een close-up van een logoActiveer Multi-Factor Authenticatie (MFA)
Dit is het beste en meest eenvoudige wat je kunt doen om de beveiliging voor werken op afstand te verbeteren. Schakel MFA in met deze tutorial, en gebruik Conditional Access om MFA minder opdringerig te maken voor de gebruiker.
Een optie is ook om Windows Hello biometrie of applicaties voor smartphone-authenticatie zoals Microsoft Authenticator als tweede factor in te zetten.

een close-up van een logoBegin met het controleren van de Secure Score
Bewaak en verbeter de beveiliging van jouw Microsoft 365 identiteiten, data, applicaties, apparaten en infrastructuur met Secure Score. Hierbij krijg je punten voor het configureren van aanbevolen beveiligingsfuncties, het uitvoeren van beveiliging gerelateerde taken of het toepassen van aanbevelingen met een toepassing of software van derden.

een close-up van een logoActiveer device managementmogelijkheden
Hoewel veel medewerkers werklaptops hebben die ze thuis gebruiken, zal jouw organisatie waarschijnlijk een toename zien in het gebruik van persoonlijke apparaten die toegang hebben tot bedrijfsgegevens. Azure AD Conditional Access en Microsoft Intune app protection policies helpen samen om bedrijfsgegevens in goedgekeurde applicaties, op persoonlijke apparaten, te beheren en te beveiligen.

een close-up van een logoSchakel single sign-on (SSO) in voor uw Cloudapplicaties
Als jouw organisatie tools heeft van bijvoorbeeld Cisco, Slack, Zoom of Facebook naast Office 365, kan je Azure AD Federated SSO met geautomatiseerde user provisioning inschakelen zodat je snel kunt uitrollen naar al je gebruikers en hen vlot toegang kunt geven tot al hun Cloud-applicaties. Klik hier om te beginnen met het integreren van applicaties met Azure AD.

een close-up van een logoZorg voor veilige toegang tot uw lokale applicaties
De meeste organisaties gebruiken veel bedrijfskritische applicaties die mogelijk niet toegankelijk zijn van buiten het bedrijfsnetwerk. Azure AD Application Proxy is een simpele Agent die interne-toegang tot jouw lokale applicaties mogelijk maakt, zonder brede toegang tot je netwerk te openen. Je kunt dit combineren met de bestaande Azure AD authenticatie en Conditional Access policies om gebruikers en gegevens te beschermen.

 

Op zoek naar nog meer beveiligingsoplossingen? Je vindt ze hier.

Gratis eBook: Geef je medewerkers de middelen om creatief te zijn en veilig samen te werken

Floreer in een snel veranderende, digitale wereld door je mensen de vrijheid en flexibiliteit te geven om overal productief te zijn en samen te werken

Overzicht van Secure Score

Krijg de zichtbaarheid, inzichten en begeleiding die je nodig hebt om het beveiligingspostuur van je organisatie te maximaliseren.

Educatie

Financiële dienstverlening

  • 216 Accountants: Een moderne organisatie met een moderne IT-infrastructuur

    216 Accountants: Een moderne organisatie met een moderne IT-infrastructuur

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft graag een rol in speelt. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien welke oplossingen ondernemers helpen de volgende stap te zetten om zo meer uit hun onderneming […]

  • Een man loopt op de voorgrond door een groot gebouw

    Werkt jouw device voor jou, of andersom?

    Het draaien van een financiële rapportage, het inzien van klantdata of het identificeren van een investeringskans is onderdeel van jouw dagelijks werk. En hoewel je hier technologie voor nodig hebt, moet dit vooral ondersteunend zijn. Niets is zo frustrerend als minuten wachten op je desk- of laptop die de zwaarte van jouw financiële pakket niet […]

Overheid

  • een vrouw die aan een tafel zit

    Meer privacytransparantie voor onze commerciële cloudklanten

    Bij Microsoft luisteren we naar onze klanten en streven we ernaar hun vragen en feedback zo goed als mogelijk te beantwoorden. Een van onze basisprincipes is immers om onze klanten te helpen succesvol te zijn. Vandaag kondigt Microsoft een update aan van de privacybepalingen in de Microsoft Voorwaarden voor Online Diensten (VOD) in onze commerciële […]

  • een mens die zich voor een computer bevindt

    Sneller en efficiënter burgers van dienst zijn dankzij Power Apps

    De samenleving maakt een digitale groeispurt door en overheidsinstellingen moeten aan de nieuwe verwachtingen van burgers voldoen. Een interne gestroomlijnde, digitale organisatie, beslissen op basis van data en een 24/7 persoonlijke dienstverlening zijn een must. Dat vraagt om snelle digitale innovatie. Met een nieuw software platform lukt dat nu veel sneller en goedkoper. We doen […]

Productie

  • Rustig slapen tijdens een verbouwing

    Rustig slapen tijdens een verbouwing

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft en haar partners graag een rol in spelen. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien hoe technische oplossingen ondernemers helpen om alle elementen in hun bedrijf te […]

  • De haven van North Sea Port.

    North Sea Port integreert en beveiligt haar operatie met Microsoft 365

    De fusie van het Belgische Havenbedrijf Gent en het Nederlandse Zeeland Seaports tot North Sea Port, ging gepaard met een keuze voor Microsoft 365. Het bedrijf koos voor een flexibele oplossing om hun IT-infrastructuur volledig te integreren. Cruciaal in deze operatie was het garanderen van de beveiliging in de organisatie. Voor de meer dan 300 […]

Retail

Zorg