Overslaan naar hoofdinhoud
Pulse
een vrouwenzitting bij een bureau voor een laptopcomputer
Leestijd, 6 min.

“Er bestaat geen slecht weer – alleen slechte kleding” aldus het Scandinavische gezegde. En tegenwoordig kunnen we ons daar steeds beter op voorbereiden met nauwkeurige weersvoorspellingen en buienradars die bijna tot op de minuut aangeven wanneer je de eerste druppels kunt verwachten.

Ironisch genoeg is een online buienradar die waarschuwt voor nieuwe beveiligingsproblemen vaak nog ver te zoeken – wat misschien nog het dichtst in de buurt komt, is het uitwisselen van zogenaamde Threat Intelligence. Hierbij wordt geautomatiseerd of handmatig informatie over geslaagde of verijdelde aanvallen of over kwetsbaarheden gedeeld door bedrijven of overheden met het doel anderen te waarschuwen. Dit komt in allerlei vormen en smaken – van trendrapportages zoals het Data Breach Investigations Report of ons eigen Digital Defense Report tot korte dreigingsbulletins.

 

Wat moet je nu doen als je verantwoordelijk bent voor IT of beveiliging en een dergelijke waarschuwing belandt op je bureau? Grote bedrijven hebben vaak hun eigen threat intelligence teams die dit soort meldingen systematisch analyseren – maar wat als zo’n eigen dienst niet aanwezig is binnen de organisatie? We zullen in deze blog stapsgewijs door de analyse, actie en afronding gaan om een afweging te maken over wat te doen in het geval van een beveiligingswaarschuwing of daadwerkelijke dreiging.

Analyse

Allereerst is het goed om de bron van de waarschuwing op waarde te schatten – is dit gebaseerd op objectieve dataverzameling en -interpretatie en kun je er echt iets mee, of is dit niet met zekerheid te zeggen?

De vraag die hierbij wellicht het beste helpt, is: “Wat is het doel van de partij die de waarschuwing uitstuurt?” Gaat het bijvoorbeeld om een leverancier die een beveiligingsproduct probeert te verkopen en het probleem bij zijn oplossing heeft gezocht? Komt het van een bevriende relatie in dezelfde industrie die probeert om het hele ecoysteem van bedrijven veiliger te maken? Komt het van een overheidspartij?

Vervolgens is het zaak om te kijken wat de aard van de beschreven informatie is, door onder meer naar de volgende aspecten te kijken:

  • Gaat het om een bevestigde aanval of kwetsbaarheid? Of beschrijft iemand een meer theoretisch mechanisme dat alleen in heel specifieke situaties voorkomt?
  • Hoe gemakkelijk is de beschreven techniek te repliceren? Een aanval die bijvoorbeeld fysieke toegang vereist, is zeker niet onmogelijk om te realiseren – maar is een stuk lastiger om op grote schaal uit te voeren.
  • Is het beschreven probleem relevant voor mij en mijn organisatie? Wordt software gebruikt die wij ook in gebruik hebben, of is sprake van het actief aanvallen van een bepaalde industrie waar ik ook onderdeel van uitmaak?

Op basis van deze eerste analyse, kan een beknopt plan gemaakt worden. Probeer hierbij te formuleren: “Hoe kan ik bewijzen of ontkrachten dat dit relevant is voor mijn organisatie?”

Actie

Het plan uit de Analysefase is hierbij leidend. Veelal zal in deze fase gekeken worden of bepaalde kwetsbare software in gebruik is, of dat bepaalde Indicators of Compromise (IOCs) – digitale sporen die aangeven dat een aanval uitgevoerd is of voorbereid wordt – aanwezig zijn op je systemen of netwerk.

Een vastomlijnd stappenplan is hiervoor niet direct te geven, maar een aantal elementen zullen vaak terugkeren:

  • Heeft onze organisatie een zo volledig mogelijk en zo actueel mogelijk inzicht van de systemen, software en clouddiensten? Kunnen wij onze omgeving doorzoeken op Indicators of Compromise – bijvoorbeeld of kwaadaardige software op de systemen voorkomt of dat vanuit het netwerk met een kwaadaardig IP-adres op het internet gecommuniceerd wordt?
  • Bevat de binnengekomen melding ook al stappen over hoe het beschreven probleem voorkomen of gedetecteerd kan worden? Zijn deze uitvoerbaar binnen de organisatie?
  • Moeten wij op basis van de eerste bevindingen een meer gedetailleerde triage uitvoeren en op basis daarvan eventueel de incident response procedure opstarten?

Afronding

Na de afronding van de vorige fase (en eventueel incidentonderzoek als er daadwerkelijk iets aan de hand lijkt te zijn), is het verstandig om de bevindingen en geleerde lessen vast te leggen en waar nodig de procedures, tools en afspraken aan te passen. De analysestappen uit de vorige fase zijn eigenlijk een soort vingeroefeningen voor een echt incident – en in veel gevallen loopt men tegen praktische problemen aan die idealiter opgelost dienen te zijn voor de volgende waarschuwing binnenkomt.

Dit kunnen problemen rondom tooling zijn (Kunnen wij snel onze omgeving doorzoeken? Kunnen wij verdachte systemen isoleren?) maar vaak loopt men ook tegen organisatorische aspecten aan (Hebben wij goede afspraken gemaakt over hoe snel leveranciers bepaalde acties moeten uitvoeren?). Ook is het goed om te evalueren hoe effectief de melding verwerkt kon worden – wellicht zijn er nog informele contacten die versterkt kunnen worden om de volgende keer samen een melding te analyseren.

Zorg tot slot voor een goede rapportage. Laat ook de rest van de organisatie weten hoe jullie hier als securityteam mee bezig zijn geweest. Dat helpt niet alleen om te laten zien waar jullie als team aan werken, het helpt ook om collega’s alert te maken en te houden met betrekking tot verdachte zaken die zij wellicht in hun systemen tegenkomen.

Conclusie

Zoals gezegd, een digitale buienradar die tot op de minuut voorspelt wanneer de druppels vallen is in veel gevallen nog een utopie – maar door dreigingsinformatie systematisch te analyseren en te gebruiken als vingeroefening wanneer het nog droog is, kan men stap voor stap de weerbaarheid op een hoger niveau krijgen. Juist als het zonnetje schijnt, is het een goed moment om die goede kleding uit het gezegde te kopen, of om een paraplu klaar te leggen.

Beveiligde toegang – Stappen om te overwegen

een close-up van een logoActiveer Multi-Factor Authenticatie (MFA)
Dit is het beste en meest eenvoudige wat je kunt doen om de beveiliging voor werken op afstand te verbeteren. Schakel MFA in met deze tutorial, en gebruik Conditional Access om MFA minder opdringerig te maken voor de gebruiker.
Een optie is ook om Windows Hello biometrie of applicaties voor smartphone-authenticatie zoals Microsoft Authenticator als tweede factor in te zetten.

een close-up van een logoBegin met het controleren van de Secure Score
Bewaak en verbeter de beveiliging van jouw Microsoft 365 identiteiten, data, applicaties, apparaten en infrastructuur met Secure Score. Hierbij krijg je punten voor het configureren van aanbevolen beveiligingsfuncties, het uitvoeren van beveiliging gerelateerde taken of het toepassen van aanbevelingen met een toepassing of software van derden.

een close-up van een logoActiveer device managementmogelijkheden
Hoewel veel medewerkers werklaptops hebben die ze thuis gebruiken, zal jouw organisatie waarschijnlijk een toename zien in het gebruik van persoonlijke apparaten die toegang hebben tot bedrijfsgegevens. Azure AD Conditional Access en Microsoft Intune app protection policies helpen samen om bedrijfsgegevens in goedgekeurde applicaties, op persoonlijke apparaten, te beheren en te beveiligen.

een close-up van een logoSchakel single sign-on (SSO) in voor uw Cloudapplicaties
Als jouw organisatie tools heeft van bijvoorbeeld Cisco, Slack, Zoom of Facebook naast Office 365, kan je Azure AD Federated SSO met geautomatiseerde user provisioning inschakelen zodat je snel kunt uitrollen naar al je gebruikers en hen vlot toegang kunt geven tot al hun Cloud-applicaties. Klik hier om te beginnen met het integreren van applicaties met Azure AD.

een close-up van een logoZorg voor veilige toegang tot uw lokale applicaties
De meeste organisaties gebruiken veel bedrijfskritische applicaties die mogelijk niet toegankelijk zijn van buiten het bedrijfsnetwerk. Azure AD Application Proxy is een simpele Agent die interne-toegang tot jouw lokale applicaties mogelijk maakt, zonder brede toegang tot je netwerk te openen. Je kunt dit combineren met de bestaande Azure AD authenticatie en Conditional Access policies om gebruikers en gegevens te beschermen.

 

Op zoek naar nog meer beveiligingsoplossingen? Je vindt ze hier.

Gratis eBook: Geef je medewerkers de middelen om creatief te zijn en veilig samen te werken

Floreer in een snel veranderende, digitale wereld door je mensen de vrijheid en flexibiliteit te geven om overal productief te zijn en samen te werken

Overzicht van Secure Score

Krijg de zichtbaarheid, inzichten en begeleiding die je nodig hebt om het beveiligingspostuur van je organisatie te maximaliseren.

Ontdek meer gerelateerde artikelen per branche:

Educatie

  • Jouw onderwijsinstelling optimaal beveiligen aan de hand van het Zero Trust framework

    Jouw onderwijsinstelling optimaal beveiligen aan de hand van het Zero Trust framework

    Onderwijs verloopt allang niet meer centraal via het klaslokaal. Is jouw beveiliging meegegroeid? Alleen indringers buiten de deur proberen te houden, is niet meer voldoende. Deze traditionele methode wordt momenteel gezien als gedateerd en zelfs onveilig. Aan de hand van het Zero Trust principe zorgen onderwijsinstellingen dat hun beveiliging optimaal ingericht is. Hoe je dat […]

  • Surface Laptop SE

    Verander je leeromgeving met Microsoft Surface Laptop SE 

    Met de Surface Laptop SE, speciaal ontwikkeld voor Windows 11 SE, biedt Microsoft de ideale oplossing voor scholieren. De Surface Laptop SE is vanaf 8 december in Nederland verkrijgbaar voor een prijs van 299 euro (adviesprijs incl. btw).   Surface Laptop SE: geoptimaliseerd voor ( hybride) leren  Surface Laptop SE is ontwikkeld voor scholieren en geeft, […]

Government

  • Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Gemeente Katwijk in een kwartier over op Microsoft Teams Phone

    Binnen enkele minuten belde de gemeente Katwijk met Microsoft Teams in plaats van de traditionele PBX-centrale. “De overgang was de snelste die ik ooit zag!” Projectleider ICT Gemeente Katwijk Steven Shukrula kijkt tevreden terug hoe soepel de ommekeer verliep en hoe goed het communicatie- en samenwerkingsplatform zijn collega’s nu en in de toekomst ondersteunt.   […]

Overheid

  • een groep mensen staat naast een hond

    Belgische politie voltooit veilige, mobile-first transformatie

    Het delen van informatie is nu veel gemakkelijker voor functionarissen en ondersteunend personeel – dankzij Microsoft Teams op een krachtig en veilig digitaal platform.

  • Verhoog je digitale weerbaarheid in 3 stappen

    Verhoog je digitale weerbaarheid in 3 stappen

    Uit het nieuwe tweejaarlijkse Dreigingsbeeld van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) blijkt dat de digitale weerbaarheid bij gemeenten achterblijft. Het aantal cyberaanvallen op Nederlandse gemeenten is het afgelopen jaar sterk toegenomen. Van 150 in 2021 naar 300 incidenten nu. De afgelopen twee jaar waren er zeker vijf grote cyberincidenten. Ook zijn […]

Productie

Retail

Zorg

  • Een operatieteam in actie

    Maasstad Ziekenhuis: Werken als één medisch team tijdens een crisis

    In tijden van crisis rekent een organisatie erop dat het leiderschap het voortouw neemt. Toen COVID-19 zich begin 2020 door heel Europa verspreidde, maakte de CEO van het Maasstad Ziekenhuis Peter Langenbach zich op om de reactie op de crisis te coördineren zoals hij altijd deed, door aanwezig en zichtbaar te zijn en te vertrouwen […]

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

Klantverhalen

Partners

  • Dad baking with kids using HPSpectrex360

    We are here for our partners

    At Microsoft, as part of our response to the impact of COVID-19, we have shifted tens of thousands of employees to working remotely. Many of our partners and customers have asked us to share the details of how we enable remote work for such a large workforce. We wanted to share with you some of […]

Pers / Nieuws

Security & Privacy

Tips

Webinars

  • Vanuit huis en kantoor weer gelijkwaardig vergaderen

    Vanuit huis en kantoor weer gelijkwaardig vergaderen

    ‘Niemand werkt nog vijf dagen op kantoor, mensen werken vijf dagen thuis.’ Als iemand dit meer dan twee jaar geleden zo ter discussie had gesteld, waren we nu nog niet uitgepraat. Ook wij niet. De manier waarop we werken als gevolg van de pandemie is 180 graden veranderd. Gelukkig is er inmiddels een betere ‘hybride’ […]