“Ik klikte op een virus, nou en?!“, zou het antwoord kunnen zijn van een gebruiker die absoluut vertrouwen heeft in de veiligheid van zijn ICT.
De praktijk is vaak anders. In paniek wordt contact opgenomen met de helpdesk en komt de vraag, wat moet ik doen? Wat je eigenlijk wilt is dat het virus direct onschadelijk wordt gemaakt en het betreffende bestand in quarantaine wordt geplaatst.
Geautomatiseerde response vereist
Dat vereist een detectie en respons mechanisme dat snel reageert, ook op nog onbekende dreigingen. Aan de hand van gedrag kan met behulp van kunstmatige intelligentie kan worden vastgesteld of een programma zich afwijkend gedraagt. Deze informatie wordt dan gedeeld met de rest van de organisatie waarmee wordt voorkomen dat het ook andere medewerkers kan treffen. Een dergelijk systeem vereist de inzet van tools die 24-7 werken en na detectie ook direct de juist actie ondernemen zoals het isoleren van een systeem of gebruiker.
Een dergelijk systeem noemen we XDR (eXtended Detection and Response). Een XDR systeem heeft informatie nodig uit meerdere bronnen. Hierdoor kan het verbanden leggen en beslissingen nemen op basis van realtime informatie.
Een gemiddeld IT-landschap van een organisatie omvat naast de computers van medewerkers ook e-mail en documentbeheer diensten en veelal 1 or meerdere applicaties die uit de Cloud worden afgenomen of op een (virtuele) server draaien. Al deze systemen samen vormen 1 geheel dat ook qua beveiliging als zodanig beschouwd moet worden. Het beveiligen is niet alleen een kwestie van scannen op gebeurtenissen maar ook het constant controleren van de status quo. Is alles up to date? Staan er geen onbedoelde netwerkpoorten open? Is de geïnstalleerde software wel toegestaan?
Centrale logging van informatie
Het is van belang dat de beveiliging van deze systemen centraal wordt gekoppeld. In de praktijk kunnen hiervoor tools als Microsoft Sentinel worden ingezet. Sentinel is een Security Information Event Management (SIEM) systeem. Er wordt als het ware een grote bak met data verzameld waaruit waar patronen kunnen worden ontdekt en indien nodig automatisch actie wordt ondernomen.
In het geval dat de gebruiker per ongeluk cryptoware heeft geïnstalleerd, is de IT ServiceDesk al op de hoogte en heeft Sentinel het support ticket al aangemaakt nog voordat de gebruiker zelf in actie komt.
In het geval dat de computer van een gebruiker besmet raakt met ongewenste software, zou je het liefst willen dat die computer wordt gemarkeerd als onveilig en daarmee de toegang wordt ontzegd tot overige systemen of applicaties totdat het systeem weer “clean” is. Als gebruiker krijg je een vervolgens netjes een telefoontje dat er een extra scan wordt gedraaid op je systeem waarna deze weer wordt vrijgegeven.
Een ander voorbeeld is het detecteren van mislukte login-pogingen vanaf een bepaald IP adres, waarna er vanaf datzelfde IP adres ongewenste e-mail wordt gestuurd. Door deze informatie te koppelen kan volledig geautomatiseerd worden gereageerd. Aangezien dergelijk gebeurtenissen 24-7 kunnen plaatsvinden met een snelheid die voor mensen niet meer bij te houden is, is software nodig die dit voor ons doet. Het monitoren hoe de software werkt en de uitzonderingen analyseren om b.v. patronen te ontdekken is dan nog mensenwerk.
Schuldige gebruikers (sorry dat ik klikte) of trotse gebruikers (fijn dat ik kon bijdragen)!
Voor een engineer biedt dit incident belangrijke inzichten aangezien er nu bepaalde informatie beschikbaar is waarmee de beveiliging nog beter kan worden aangescherpt. Het was even vervelend dat kortstondig niet doorgewerkt kon worden, maar het probleem is snel opgelost. In een dergelijk scenario hoeft een medewerker zich niet schuldig te voelen over het feit dat dit is gebeurd, hij/zij heeft immers een belangrijke bijdrage kunnen leveren. Zo zou het toch moeten zijn!
Bij Universal zorgen we voor het verzamelen van data door alle gebruikte systemen te voorzien van de juiste software om een snel te kunnen reageren op ongewenste situaties. Het is een constante race tegen de aanhoudende dreigingen die dag en nacht aanwezig zijn.