Het is bijna onmogelijk te voorspellen hoe, waarom, of wanneer een organisatie slachtoffer wordt van een cyberaanval. Daarom moet elk bedrijf zichzelf zien als potentieel slachtoffer en een stevig verdedigingssysteem in werking stellen. Er is zelfs een grote kans dat er bij veel organisaties al ingebroken is zonder dat ze het weten. Bedrijven moeten daarom hun standpunt aanpassen en ervan uitgaan dat het geen kwestie is of ze aangevallen zullen worden, maar wanneer.
Met deze vijf voorzorgsmaatregelen worden dreigingen zo snel mogelijk opgemerkt en verholpen. Dit beperkt de schade.
1. Creëer inzicht
360-graden inzicht in alle netwerkactiviteiten voorkomt blinde vlekken in het netwerk – de ideale toegangsroute voor hackers. Gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen die data verwerken van meerdere bronnen geven diepgaand inzicht in netwerken. Het correleren van deze data met contextinformatie, maakt de kans op het juist identificeren van een aanval groter. Een enkele gebeurtenis, zoals een gebruiker die inlogt vanaf een koffietentje in Londen, kan op zichzelf onschuldig lijken, maar als diezelfde gebruiker tien minuten daarvóór nog ingelogd was in een kantoor dertig kilometer verderop, moeten de alarmbellen gaan rinkelen.
2. Weet wat ‘normaal’ is
Er gaat continu een enorme hoeveelheid data door het it-systeem in een bedrijf. Zonder inzicht in hoe gebruikers, systemen en applicaties zich normaal gesproken gedragen, is het onmogelijk te weten wanneer er iets afwijkends plaatsvindt. Door een hoofdlijn op te stellen met wat normale activiteit is en hier alles mee te vergelijken, zijn bedrijven in staat om alles te onderzoeken wat wordt gekenmerkt als afwijkend.
3. Negeer dreiging van binnenuit niet
Helaas kan iedereen binnen een bedrijf op het gebied van data net zo’n bedreiging vormen als mensen van buitenaf. Zo blijkt uit onderzoek dat veel organisaties geen systemen hebben om ongeautoriseerde toegang tot data door werknemers te voorkomen. Het is daarom noodzakelijk dat organisaties zich niet alleen richten op het monitoren op ongeoorloofde toegang van buitenaf, maar ook op wat er gebeurt binnen hun eigen muren.
4. Als het niet meteen lukt, ontdek dan waarom
Van fouten leert men. Na een aanval moet je onderzoeken wat er precies is gebeurd en wat er gedaan moet worden om te voorkomen dat het nog eens plaatsvindt. Met de juiste monitoringtools kan elke activiteit in het netwerk geanalyseerd worden. Hierdoor kunnen bedrijven erachter komen hoe ze de dreiging hebben kunnen missen, of er gaten zijn in het securityproces en mogelijk wie de dader was. Ook is het belangrijk te bepalen of de aanval slechts een intern probleem was waarbij geen data is aangetast, of dat er aan een derde partij gerapporteerd moet worden.
5. Deel ervaringen
Weet je eenmaal wat er is gebeurd bij een aanval, dan kan het nuttig zijn om deze informatie met anderen te delen. Dit is met name cruciaal voor organisaties met meerdere locaties, om te voorkomen dat niet iedereen hetzelfde probleem ervaart. Daarnaast kan het slim zijn om ook buiten je organisatie te delen wat er gebeurd is – daar kunnen anderen van leren, en wie weet wordt dit gebaar beantwoord.
Ross Brewer, vice president en algemeen directeur EMEA bij LogRhythm
Om te kunnen beoordelen moet u ingelogd zijn: