Menu

Commvault Cloud maakt CIS-geharde implementatie mogelijk op marktplaatsen voor hyperscalers in de cloud

Geplaatst op: 12 februari 2025

commvault maakt cis geharde implementatie mogelijk

Commvault, een toonaangevende leverancier van oplossingen voor cyberweerbaarheid en gegevensbescherming voor de hybride cloud, heeft vandaag aangekondigd dat het Commvault Cloud Platform eenvoudig kan worden geïmplementeerd vanaf grote cloudmarktplaatsen met behulp van CIS-geharde images. Deze CIS-geharde images zijn vooraf geconfigureerd met door CIS aanbevolen instellingen en besturingselementen en zijn beschikbaar op de volgende marketplaces: Amazon Web Services (AWS), Microsoft Azure, Google Cloud en VMware.

CIS-geharde images

CIS-geharde installatiekopieën zijn softwarebestanden die vooraf zijn geconfigureerd om te voldoen aan de CIS-benchmarks (Center for Internet Security). Hardening helpt bij het verminderen van kwetsbaarheden in configuraties, zoals te tolerant netwerkbeleid dat kansen kan creëren voor kwaadwillende actoren. Configuratiefouten zijn zelfs een van de meest voorkomende oorzaken van kwetsbaarheden in de cloud en dragen bij aan 23% van de aanvallen op cloudinfrastructuur, zo blijkt uit onderzoek in de sector. De CIS-geharde images van Commvault zijn ontworpen om deze risico’s te verminderen door de implementatie vooraf te configureren om out-of-the-box te voldoen aan strenge beveiligingsbenchmarks, wat vertrouwen geeft aan IT- en beveiligingsteams.

Met de aankondiging van vandaag blijft Commvault zijn focus op cyber security waarmaken, waarbij deze implementatieopties worden toegevoegd aan andere beveiligingscertificeringen, zoals FedRAMP® High Authorized, ISO27001:2013, SOC 2, Type II en FIPS 140-2. Klanten kunnen de nieuwe, door CIS geharde images gebruiken om Commvault Cloud snel en vol vertrouwen te configureren en te implementeren en te profiteren van:

  • Kant-en-klare nalevingscontroles: CIS-geharde images bieden organisaties veilige, geharde omgevingen vanaf het moment van implementatie en geven klanten het vertrouwen dat hun besturingsvlak is geïnstalleerd en geconfigureerd met behulp van door de industrie erkende best practices.
  • Verbeterde cyberbeveiliging: De CIS-geharde images minimaliseren kwetsbaarheden door veelvoorkomende risico’s op verkeerde configuraties aan te pakken en gemoedsrust te bieden tegen misbruik door aanvallers.
  • Gestroomlijnde nalevingstoewijzing: CIS-benchmarks worden toegewezen aan belangrijke beveiligingskaders zoals NIST CSF, HIPAA, PCI-DSS en ISO 27001, waardoor de naleving van complexe wettelijke vereisten wordt vereenvoudigd.
  • Brede beschikbaarheid van marktplaatsen: Organisaties kunnen Commvault Cloud rechtstreeks vanuit AWS-, Azure-, Google Cloud- of VMware-marktplaatsen implementeren, waardoor snelle en veilige installaties met minimale inspanning mogelijk zijn.

Versterking van het Cybersecurity-Ecosysteem

De timing van deze aankondiging komt ook op een moment dat steeds meer organisaties hun overstap naar de cloud versnellen. Volgens IDC zullen de uitgaven aan openbare clouddiensten naar verwachting verdubbelen tot 1,6 biljoen dollar in 2028. In het afgelopen jaar heeft Commvault een groot aantal cloud-first-aanbiedingen geïntroduceerd die zijn ontworpen om klanten veerkrachtiger te maken in de cloud, waaronder Cleanroom Recovery, Cloud Rewind en Clumio Backtrack. Nu tilt het bedrijf de veerkracht in de cloud naar een hoger niveau via CIS-geharde images voor populaire cloudmarktplaatsen.

Waarom is dit belangrijk?

  1. Vermindering van kwetsbaarheden: CIS-geharde installatiekopieën zijn vooraf geconfigureerd om te voldoen aan de CIS-benchmarks, wat helpt bij het verminderen van kwetsbaarheden in configuraties. Dit is cruciaal, omdat configuratiefouten een van de meest voorkomende oorzaken zijn van kwetsbaarheden in de cloud en bijdragen aan 23% van de aanvallen op cloudinfrastructuur.
  2. Verbeterde cyberbeveiliging: De CIS-geharde images minimaliseren kwetsbaarheden door veelvoorkomende risico’s op verkeerde configuraties aan te pakken en bieden gemoedsrust tegen misbruik door aanvallers.
  3. Kant-en-klare nalevingscontroles: CIS-geharde images bieden organisaties veilige, geharde omgevingen vanaf het moment van implementatie en geven klanten het vertrouwen dat hun besturingsvlak is geïnstalleerd en geconfigureerd met behulp van door de industrie erkende best practices.
  4. Gestroomlijnde nalevingstoewijzing: CIS-benchmarks worden toegewezen aan belangrijke beveiligingskaders zoals NIST CSF, HIPAA, PCI-DSS en ISO 27001, waardoor de naleving van complexe wettelijke vereisten wordt vereenvoudigd.
  5. Brede beschikbaarheid van marktplaatsen: Organisaties kunnen Commvault Cloud rechtstreeks vanuit AWS-, Azure-, Google Cloud- of VMware-marktplaatsen implementeren, waardoor snelle en veilige installaties met minimale inspanning mogelijk zijn.

Wilt u meer weten hoe we jouw Cyber Resilency omgeving kunnen hardenen op basis van de CIS standaarden, neem gerust contact met ons op.

Lees meer

Verbeterde cyberweerbaarheid met Commvault en CrowdStrike

Geplaatst op: 10 februari 2025

integratie commvault crowdstrike header

Afgelopen week hebben twee van onze belangrijke vendoren hun samenwerking verder versterkt. Vanuit OpenSight zijn we blij dat de integratie en consolidatie verder voortborduurt binnen onze commited vendoren.

Commvault en Crowdstrike

Commvault, een toonaangevende speler op het gebied van gegevensbescherming en cyberweerbaarheid voor hybride cloudomgevingen, heeft een strategische samenwerking aangekondigd met CrowdStrike om hun geavanceerde cyberbeveiligingsplatform, Falcon, te integreren. Deze samenwerking is gericht op het verbeteren van de detectie van cyberdreigingen en het garanderen van snel herstel, waardoor bedrijven beter beschermd zijn tegen moderne cyberaanvallen.

Door gebruik te maken van de uitgebreide dreigingsinformatie en beveiligingsgegevens van CrowdStrike, gecombineerd met de cloud-first mogelijkheden van Commvault, biedt deze integratie gezamenlijke klanten een extra beveiligingslaag. Dit wordt bereikt door realtime inzichten in bedreigingen, snellere detectie en herstelprocessen.

Voordelen van de integratie

  • Proactieve detectie van bedreigingen: Met behulp van CrowdStrike’s AI-gestuurde inzichten en Indicators of Compromise (IOC’s) kunnen organisaties bedreigingen vroegtijdig identificeren en snel reageren om de schade te beperken.
  • Sneller herstel van schone gegevens: Bedrijven kunnen hun systemen snel herstellen door de laatst bekende schone versie van hun gegevens te lokaliseren, waardoor verstoringen tot een minimum worden beperkt.
  • Naadloze samenwerking: De integratie zorgt voor soepelere workflows tussen teams voor beveiligingsoperaties (SecOps) en IT-operaties (ITOps), wat leidt tot een effectievere reactie op en herstel van bedreigingen.
  • Continue bedrijfsvoering: Door de hersteltijd en downtime te verminderen, kunnen bedrijven hun kritieke services draaiende houden, zelfs tijdens complexe cyberaanvallen.

Versterking van het Cybersecurity-Ecosysteem

Deze samenwerking met CrowdStrike weerspiegelt de voortdurende inzet van Commvault om zijn cyberbeveiligingsecosysteem uit te breiden. Het bedrijf werkt actief samen met toonaangevende beveiligingsproviders om uitgebreide oplossingen te ontwikkelen voor het detecteren, beperken en herstellen van cyberaanvallen. Door hun respectievelijke sterke punten te integreren, willen Commvault en CrowdStrike bedrijven een solide verdediging bieden tegen cyberdreigingen, waardoor ze snel kunnen herstellen en de schade kunnen beperken.

Wil je meer weten over deze integratie, neem dan gerust contact met ons op.

Lees meer

Webinar ‘Awareness Training’

Geplaatst op: 26 september 2024

Waar gaan we het over hebben?

Lees meer

De toekomst van informatiebeveiliging: waarom Zero Trust en AI nu essentieel zijn

Geplaatst op: 19 september 2024

De toekomst van informatiebeveiliging waarom Zero Trust en AI nu essentieel zijn

De manier waarop we werken en zakendoen, verandert razendsnel. Cloud computing, SaaS-oplossingen, en remote werken zijn de norm geworden. Dit heeft bedrijven enorm veel flexibiliteit gegeven, maar het heeft ook geleid tot nieuwe uitdagingen op het gebied van cyber security. Traditionele beveiligingsmodellen, die vertrouwden op het idee van een veilige perimeter (zoals het ‘kasteel en gracht’-model), voldoen niet langer in deze nieuwe wereld. Ze zijn gewoon niet ontworpen voor de huidige, gedistribueerde IT-omgevingen.

Waarom Zero Trust?

Stel je een bedrijf voor dat opereert als een middeleeuwse burcht: dikke muren, ophaalbruggen, en wachttorens om de indringers buiten te houden. Dit werkte prima toen alle medewerkers binnen de muren van het kasteel werkten, met hun applicaties en data veilig achter de muren. Maar nu iedereen vanaf verschillende locaties werkt, zijn die muren eigenlijk nutteloos geworden. We hebben geen burcht nodig, we hebben een geheel nieuwe manier van denken nodig. Hier komt Zero Trust om de hoek kijken.

Wat maakt Zero Trust zo krachtig?

  1. Geen vertrouwen, altijd verifiëren: Zero Trust draait om het principe dat niemand automatisch vertrouwd wordt. Of iemand nu binnen of buiten het netwerk zit, hun toegang wordt continu gecontroleerd. Dit is een radicale verschuiving van het oude model, waar iedereen binnen de burcht als ‘veilig’ werd beschouwd.
  2. Bescherming tegen lateral movement: Een van de grootste bedreigingen van vandaag is de mogelijkheid voor aanvallers om zich lateraal binnen een netwerk te verplaatsen zodra ze binnen zijn. Zero Trust voorkomt dit door gebruikers alleen toegang te geven tot specifieke applicaties, in plaats van tot het gehele netwerk.
  3. Verbeterde gebruikerservaring: In tegenstelling tot de traditionele methoden, waarbij verkeer terug naar een datacenter werd gestuurd (met alle vertragingen die daarmee gepaard gaan), verbetert Zero Trust de prestaties door gebruikers direct naar de apps die ze nodig hebben te sturen.

De rol van AI in moderne beveiliging?

Als we het hebben over cyber security, is AI vaak de geheime saus die alles net wat beter maakt. We leven in een tijdperk waarin cyber dreigingen steeds geavanceerder en hardnekkiger worden. De dagen dat een simpele firewall voldoende was, liggen ver achter ons. AI stelt ons in staat om op een geheel nieuwe manier naar beveiliging te kijken.

Hoe helpt AI ons?

  1. Realtime dreigingsdetectie: AI kan enorme hoeveelheden data in een oogwenk analyseren en patronen herkennen die wijzen op potentiële dreigingen. Dit maakt het mogelijk om aanvallen te identificeren voordat ze schade aanrichten.
  2. Automatisering van beveiliging: AI maakt het mogelijk om routinetaken, zoals het scannen van bestanden en het monitoren van verkeer, te automatiseren. Dit betekent dat beveiligingsteams zich kunnen concentreren op de écht belangrijke zaken.
  3. Slimme besluitvorming: AI kan helpen bij het nemen van betere, data gestuurde beslissingen. Door context toe te voegen aan dreigingsinformatie, kunnen beveiligingsanalisten sneller en nauwkeuriger reageren.

Praktische toepassingen en voorbeelden

Neem bijvoorbeeld de pandemie in 2020, die een enorme verschuiving veroorzaakte naar remote werken. Veel bedrijven die nog steeds vertrouwden op traditionele beveiligingsmodellen, werden plotseling geconfronteerd met nieuwe kwetsbaarheden. In deze situatie bood Zero Trust een robuuste oplossing. Door elke gebruiker te behandelen als een potentiële bedreiging, konden bedrijven hun systemen beschermen, zelfs terwijl hun personeel vanuit huis werkte.

En dan is er AI. In de strijd tegen cybercriminaliteit heeft AI zichzelf bewezen als onmisbaar. Stel je voor dat een verdachte e-mail je inbox binnenkomt. Traditionele filters zouden dit misschien niet oppikken, maar een AI-systeem, getraind op miljoenen voorbeelden van phishing pogingen, herkent de patronen en blokkeert de e-mail voordat deze schade kan aanrichten.

Conclusie

De combinatie van Zero Trust en AI biedt bedrijven vandaag de dag een krachtige manier om zich te beschermen tegen de steeds toenemende dreigingen in de digitale wereld. Het gaat niet alleen om het versterken van de verdediging; het gaat om het heroverwegen van hoe we beveiliging benaderen in een tijdperk waarin de grenzen tussen fysieke en digitale werelden steeds vager worden. Bedrijven die deze technologieën omarmen, zullen niet alleen beter beschermd zijn, maar ook beter gepositioneerd om te profiteren van de kansen van de toekomst.

Lees meer

Cyber Security Trends voor 2024: Waarom Zero Trust en AI jouw bedrijf veilig houden

Geplaatst op: 19 september 2024

Het is geen geheim dat de wereld van cyber security voortdurend in beweging is. Bedrijven worden dagelijks geconfronteerd met nieuwe uitdagingen en bedreigingen, en het is van vitaal belang om bij te blijven met de laatste trends. Twee technologieën die dit jaar het gesprek domineren, zijn Zero Trust en kunstmatige intelligentie (AI). Maar wat betekent dit echt voor jouw bedrijf? Laten we eens dieper ingaan op deze trends en wat ze voor jou kunnen betekenen.

De transitie naar Zero Trust

Als we het hebben over Zero Trust, hebben we het niet alleen over een nieuwe tool of een hypewoord. Het is een fundamentele verschuiving in de manier waarop we beveiliging benaderen. De traditionele aanpak, waarbij bedrijven vertrouwden op een perimeter gebaseerde beveiliging, heeft zijn beste tijd gehad. Dit model, dat ooit voldoende was om aanvallen buiten te houden, schiet nu tekort in tijd van cloud computing en remote werken.

Waarom is Zero Trust zo belangrijk?

  1. Beveiliging voor een gedecentraliseerde wereld: In een tijd waarin werknemers overal en altijd kunnen werken, is het cruciaal om ervoor te zorgen dat ze veilig toegang hebben tot de resources die ze nodig hebben, zonder het risico te lopen dat onbevoegden toegang krijgen.
  2. Bescherming tegen interne bedreigingen: Niet alle bedreigingen komen van buitenaf. Soms vormen interne actoren, of het nu opzettelijk is of niet, een groot risico. Zero Trust zorgt ervoor dat niemand, zelfs interne gebruikers, toegang krijgt tot meer dan ze nodig hebben.
  3. Flexibiliteit en schaalbaarheid: Naarmate bedrijven groeien en veranderen, biedt Zero Trust een flexibele aanpak die gemakkelijk kan worden aangepast aan veranderende bedrijfsbehoeften.

De invloed van AI op beveiliging

AI is niet zomaar een buzzword in de wereld van cyber security; het is een game-changer. Traditionele beveiligingssystemen zijn vaak reactief, wat betekent dat ze pas reageren als een aanval al aan de gang is. AI verandert dit door een proactieve benadering mogelijk te maken, waarbij bedreigingen worden opgespoord en geneutraliseerd voordat ze kunnen toeslaan.

Hoe maakt AI het verschil?

  1. Vooruitdenken met predictive analytics: Stel je voor dat je kunt voorspellen waar de volgende aanval vandaan komt. AI maakt dit mogelijk door patronen in data te analyseren en potentiële bedreigingen te identificeren voordat ze toeslaan.
  2. Snellere reactietijden: Wanneer een aanval plaatsvindt, is tijd van essentieel belang. AI kan onmiddellijk reageren, bedreigingen neutraliseren en verdere schade voorkomen.
  3. Integratie met bestaande systemen: AI werkt niet in isolatie. Het wordt steeds meer geïntegreerd met bestaande beveiligingssystemen, waardoor een naadloze verdediging ontstaat die zowel breed als diep is.

Wat betekenen deze trends voor jouw bedrijf?

Voor bedrijven betekent de integratie van Zero Trust en AI een aantal zeer tastbare voordelen. Ten eerste betekent het dat je beter beschermd bent tegen de steeds complexere dreigingen van vandaag. Maar het betekent ook dat je bedrijf flexibeler kan reageren op veranderingen in de markt en in de technologie.

Neem bijvoorbeeld een bedrijf dat snel groeit en nieuwe medewerkers aanneemt. Met een traditionele beveiligingsaanpak zou het maanden kunnen duren om iedereen veilig aan te sluiten op de juiste systemen. Met Zero Trust en AI kan dit proces echter veel sneller en veiliger verlopen.

Daarnaast biedt AI je de mogelijkheid om bedreigingen te identificeren die je anders misschien over het hoofd zou zien. Dit betekent dat je niet alleen je gegevens beschermt, maar ook je reputatie en je bedrijfscontinuïteit.

Conclusie

Zero Trust en AI zijn essentiële tools voor bedrijven die willen overleven en gedijen in een steeds veranderende digitale wereld. Door deze technologieën te omarmen, kun je ervoor zorgen dat je bedrijf niet alleen veilig blijft, maar ook klaar is voor de uitdagingen van morgen. Het is tijd om na te denken over de toekomst van jouw bedrijfsbeveiliging en de stappen te nemen die nodig zijn om die toekomst veilig te stellen.

Lees meer

De belangrijkste zaken uit het 2024 Threat Hunting Report

Geplaatst op: 19 september 2024

De Belangrijkste zaken uit het 2024 Threat Hunting Report

“Als Cyber Security Specialist bij OpenSight heb ik dagelijks te maken met de complexe wereld van cyber security, waarbij we verwikkeld zijn in een ratrace met criminelen en staats actoren. Als Cyber Security Specialist weet je dat je voor een vak gekozen hebt waarin continu leren en ontwikkelen een must is. Je tegenstanders staan namelijk ook niet stil. Zo nemen we ook vaak de rapportages van belangrijke spelers in deze wereld door. Recentelijk heb ik het CrowdStrike 2024 Threat Hunting Report doorgenomen en het lijk me leuk om enkele van mijn bevindingen en adviezen met jullie te delen. Dit rapport geeft niet alleen inzicht in de nieuwste trends op het gebied van cyber dreigingen, maar benadrukt ook de noodzaak van een proactieve aanpak om deze bedreigingen effectief te bestrijden. Laten we eens dieper ingaan op wat dit betekent voor jou en jouw organisatie.”

De sluwheid van moderne aanvallers

“Wat me het meest opviel tijdens het lezen van dit rapport, is de voortdurende evolutie van aanvallers. De tactieken van cyber criminelen worden steeds verfijnder en dynamischer. Waar ze vroeger afhankelijk waren van eenvoudige, geautomatiseerde aanvallen, zien we nu een sterke toename van zogenaamde ‘interactive intrusions’. Dit zijn aanvallen waarbij de aanvaller daadwerkelijk in real-time achter de toetsen zit, klaar om de beveiligingsmaatregelen te omzeilen zodra ze zich voordoen.”

“Dit heeft natuurlijk grote implicaties voor hoe we onze netwerken beschermen. De snelheid en sluwheid waarmee deze aanvallers werken, maakt het noodzakelijk dat we niet alleen vertrouwen op geautomatiseerde beveiligingsmaatregelen, maar dat we ook over goed getrainde mensen beschikken die in staat zijn om deze geavanceerde aanvallen te detecteren en af te slaan. CrowdStrike benadrukt in het rapport het belang van snelheid in detectie en respons, wat perfect aansluit bij mijn eigen ervaringen.”

Cross-domain dreigingen: een toename van complexiteit

“Een ander belangrijk inzicht uit het rapport is de groeiende dreiging van cross-domain aanvallen. Dit zijn aanvallen waarbij verschillende delen van de IT-infrastructuur tegelijkertijd worden aangevallen, zoals identiteitssystemen, endpoints en cloud-omgevingen. Wat deze aanvallen zo gevaarlijk maakt, is dat ze vaak moeilijk te detecteren zijn, omdat de activiteiten verspreid zijn over meerdere domeinen, waardoor ze afzonderlijk minder verdacht lijken.”

“De uitdaging hier is om deze activiteiten in samenhang te zien en te begrijpen hoe ze verband houden. Dit vereist niet alleen geavanceerde technologie, zoals de AI-gestuurde oplossingen van CrowdStrike, maar ook een diepgaande kennis van de verschillende IT-domeinen en hoe aanvallers deze kunnen misbruiken.”

Insider threats: het onzichtbare gevaar

“Het rapport werpt ook licht op een van de meest verraderlijke dreigingen waarmee we te maken hebben: insider threats. Dit zijn bedreigingen die van binnenuit de organisatie komen, vaak door medewerkers die bewust of onbewust schadelijke activiteiten uitvoeren. Wat ik bijzonder zorgwekkend vond, is het voorbeeld van FAMOUS CHOLLIMA, een groep aanvallers die erin slaagde om zich bij meer dan 100 bedrijven in de VS in te schrijven als medewerkers, om vervolgens van binnenuit toegang te krijgen tot gevoelige informatie.”

“Deze insiders gebruikten hun toegang om Remote Monitoring and Management (RMM)-tools te installeren, waardoor ze op afstand konden werken en hun kwaadwillende activiteiten konden uitvoeren zonder dat dit direct opviel. Dit benadrukt de noodzaak van strikte toegangscontrole en voortdurende monitoring van gebruikersactiviteit, zelfs binnen de organisatie.”

De oplossingen: proactief dreigingsjagen en AI

“Naar mijn mening is de sleutel tot het beveiligen van organisaties tegen deze complexe dreigingen een combinatie van proactieve dreigingsjacht en het gebruik van AI. Zoals het rapport aangeeft, is de tijd die een aanvaller nodig heeft om lateraal binnen een netwerk te bewegen (de zogenaamde “breakout time”) vaak slechts enkele minuten. Dit betekent dat er geen tijd te verliezen is bij het detecteren en reageren op een aanval.”

“AI kan hier een cruciale rol spelen door het analyseren van enorme hoeveelheden data in real-time en het identificeren van patronen die wijzen op een dreiging. CrowdStrike’s Falcon-platform is een uitstekend voorbeeld van hoe AI gebruikt kan worden om niet alleen aanvallen te detecteren, maar ook om automatisch te reageren en verdere schade te voorkomen. Dit soort technologie is onmisbaar in de strijd tegen moderne cyber dreigingen.”

Mijn advies voor bedrijven

Op basis van de bevindingen in het rapport en mijn eigen ervaringen in het veld, zijn hier enkele adviezen die ik zou willen meegeven aan bedrijven die hun beveiliging willen verbeteren:

  1. Blijf leren en aanpassen: De wereld van cyber security verandert voortdurend. Blijf op de hoogte van de nieuwste trends en technieken, en zorg ervoor dat je beveiligingsstrategie hierop aansluit.
  2. Investeer in proactieve threathunting: Wacht niet tot een aanval plaatsvindt om actie te ondernemen. Zorg ervoor dat je een team hebt dat constant op zoek is naar potentiële bedreigingen, zowel binnen als buiten het netwerk.
  3. Maak gebruik van AI en Machine Learning: Traditionele beveiligingssystemen schieten vaak tekort als het gaat om het detecteren van de complexe aanvallen van vandaag. Investeer in AI-gestuurde oplossingen die in staat zijn om patronen te herkennen en snel te reageren op verdachte activiteiten.
  4. Beheer toegang strikt: Insider threats zijn een serieus gevaar. Zorg ervoor dat je strikte toegangscontroles hebt en dat je voortdurend monitort wie toegang heeft tot welke systemen en data.
  5. Monitor cloud-omgevingen nauwkeurig: Met de verschuiving naar cloud computing is het essentieel om een duidelijk beeld te hebben van wat er gebeurt in jouw cloud-omgevingen. Aanvallers richten zich steeds meer op deze gebieden, dus zorg ervoor dat je cloudbeveiliging op orde is.

Conclusie

“Het CrowdStrike 2024 Threat Hunting Report biedt waardevolle inzichten in het moderne dreigingslandschap en bevestigt veel van wat we al weten: de bedreigingen worden complexer, de aanvallen verfijnder en de tijd om te reageren korter. Voor mij als Cyber Security Specialist is het duidelijk dat de toekomst van beveiliging ligt in een proactieve, op intelligentie gebaseerde aanpak, ondersteund door de kracht van AI. Door deze benaderingen te combineren, kunnen we ervoor zorgen dat onze organisaties niet alleen beschermd zijn tegen de dreigingen van vandaag, maar ook voorbereid zijn op de uitdagingen van morgen.”

“Laten we samen werken aan een veiligere digitale toekomst!”

“Heb je vragen of wil je meer weten over hoe je jouw organisatie beter kunt beveiligen? Neem gerust contact op via mijn LinkedIn-profiel!”

~ Marcel Krommenhoek

Lees meer

Het NIST Domein ‘Recover’ – Het belang van een goed Disaster Recovery Plan

Geplaatst op: 28 augustus 2024

Het NIST Domein - Recover

Afgelopen maand was weer eens zo’n dag, er was een wereldwijde verstoring die werd veroorzaakt door een fout in software. Helaas bleek de fout zodanig ernstig dat Windows machines in een blue-screen of death gingen (BOSD). Dus ondanks dat CrowdStrike binnen 90 min het issue had verholpen en de foute update niet meer pushte, was het kwaad al geschied. Ik leef mee met de IT afdelingen die hier mee te maken hadden want dit moet een enorme chaos hebben opgeleverd.  Dit incident, waarbij problemen met de CrowdStrike-beveiligingssoftware wereldwijd tot storingen in computersystemen leidden, onderstreept de noodzaak van een robuust Disaster Recovery (DR) plan. Dit artikel bespreekt het belang van een goed DR-plan en belicht de essentiële stappen: inventariseren, plannen, testen, leren en herhalen.

Inventariseren: begrijp wat je moet beschermen

De eerste stap in het opstellen van een effectief DR-plan is inventariseren. Dit houdt in dat je een volledige en gedetailleerde lijst maakt van alle kritieke IT-assets binnen je organisatie.

Dit omvat servers, netwerkapparatuur, softwaretoepassingen, dataopslag en zelfs fysieke locaties. Begrijpen welke systemen en gegevens cruciaal zijn voor je kernprocessen helpt bij het prioriteren van beschermingsmaatregelen, maar ook bij het uitwerken van het plan.

Bij het inventariseren is het belangrijk om ook afhankelijkheden tussen systemen te identificeren. Dit betekent dat je inzicht moet hebben in hoe verschillende componenten van je IT-infrastructuur met elkaar verbonden zijn en hoe een storing in het ene systeem impact kan hebben op andere systemen. Het is aan te raden hierbij vooral te kijken naar de kern processen van de organisatie en vanuit die blik te bepalen hoe je deze processen weer in de lucht kan krijgen als het mis gaat.

Plannen: ontwikkel een strategisch DR-plan

Met een grondige inventarisatie kun je overgaan tot de planningsfase. Een strategisch DR-plan moet duidelijke procedures bevatten voor verschillende rampenscenario’s, zoals natuurrampen, cyber aanvallen, hardware storingen en menselijke fouten. Het is essentieel om specifieke verantwoordelijkheden toe te wijzen aan teamleden en ervoor te zorgen dat iedereen weet wat er van hen wordt verwacht in geval van een noodsituatie.

Een goed DR-plan omvat ook een communicatieplan. Dit plan moet beschrijven hoe je intern en extern communiceert tijdens en na een ramp. Het incident met CrowdStrike benadrukt het belang van transparante communicatie om paniek te voorkomen en klanten en partners op de hoogte te houden van de genomen herstelmaatregelen.

Testen: zorg voor regelmatige oefeningen

Een DR-plan is slechts zo effectief als de testen die je uitvoert. Regelmatige tests zijn cruciaal om te verifiëren of je plan in de praktijk werkt. Dit kan variëren van tabletop-oefeningen, waarbij je theoretisch door rampenscenario’s loopt, tot volledige tests waarbij je de werking van je DR-plan in een realistische situatie beoordeelt.

Het testen van je DR-plan helpt om zwakke punten en mogelijke knelpunten te identificeren. Door deze problemen aan het licht te brengen voordat een echte ramp toeslaat, kun je ervoor zorgen dat je plan up-to-date en effectief blijft.

Leren: trek lessen uit elk incident

Na elke test of daadwerkelijke ramp is het belangrijk om een evaluatie uit te voeren en te leren van de ervaringen. Dit proces omvat het analyseren van wat goed ging, wat niet goed ging en welke verbeteringen kunnen worden doorgevoerd. Het leren van incidenten en testen helpt om je DR-plan continu te verbeteren en aan te passen aan nieuwe bedreigingen en technologieën.

Herhalen: continu verbeteren en bijwerken

Het ontwikkelen van een DR-plan is geen eenmalige taak. Het is een continu proces dat regelmatig moet worden herhaald en bijgewerkt. Technologieën evolueren, nieuwe bedreigingen ontstaan en bedrijfsbehoeften veranderen. Door je DR-plan regelmatig te herzien en aan te passen, kun je ervoor zorgen dat je altijd voorbereid bent op de nieuwste uitdagingen.

Het incident met CrowdStrike benadrukt hoe kwetsbaar zelfs de meest geavanceerde IT-systemen kunnen zijn en hoe belangrijk het is om een robuust en actueel DR-plan te hebben. Door te inventariseren, plannen, testen, leren en herhalen, kun je de impact van rampen minimaliseren en de continuïteit van je bedrijfsprocessen waarborgen. De IT-keten is maar zo sterk als de zwakste schakel!

Het is natuurlijk goed om in gedachte te houden dat ondanks dat CrowdStrike dit catarostrofale incident heeft veroorzaakt, ze nog altijd meer downtime voor klanten hebben voorkomen dan veroorzaakt. 

OpenSight Back To School Series

Tijdens de OpenSight Back To School Series publiceren we wekelijkse blogs die dieper ingaan op de vijf NIST Security Domains:

  1. Identify
  2. Protect
  3. Detect
  4. Respond
  5. Recover

Door de maatregelen die bij deze domeinen horen te implementeren, kan je de kans op cyberaanvallen en de impact van mogelijke incidenten verkleinen.

Lees meer

Het NIST Domein ‘Respond’ – Reageren kan je leren

Geplaatst op: 22 augustus 2024

Bij cyber security is het cruciaal om niet alleen te weten hoe je een aanval kunt voorkomen, maar ook hoe je effectief kunt reageren wanneer er toch iets misgaat. Het NIST (National Institute of Standards and Technology) Cybersecurity Framework biedt een gestructureerde aanpak voor organisaties om hun cyber security te verbeteren. Eén van de belangrijke onderdelen van dit framework is het ‘Respond’ domein. In dit blog bespreken we de belangrijkste aspecten van dit domein, waaronder Response Planning, 24/7 Security Operations Center (SOC), Cyber Security Incident Response Team (CSIRT), Security Orchestration Automation en Response (SOAR), en Incident Management Tools.

Response Planning: verwacht het onverwachte

In onze vorige NIST blogs kwam het onderwerp Response Planning regelmatig langs als implementatie tip. In deze blog gaan we wat dieper in op wat Response Planning eigenlijk concreet inhoudt en waarom dit nou zo belangrijk is. Response planning is de ruggengraat van een effectieve responsstrategie. Het houdt in dat je een plan ontwikkelt en implementeert. Dit plan bevat procedures en protocollen die ervoor zorgen dat elke teamlid weet wat ze moeten doen in het geval van een incident. Zo heb je gegarandeerd minder paniek wanneer er daadwerkelijk iets misgaat.

Hoe pas je Response Planning concreet toe in je organisatie?

  • Stel een dynamisch plan op: Zorg ervoor dat je response plan flexibel genoeg is om aanpassingen door te voeren wanneer nieuwe dreigingen of technologieën opkomen. Dit betekent regelmatige updates en herzieningen.
  • Train je team: Oefening baart kust! Regelmatige oefeningen en simulaties van incidenten zorgen ervoor dat iedereen binnen het team precies weet wat zijn of haar rol is tijdens een echt incident.
  • Communicatie is Key: Zorg voor een duidelijk communicatieplan dat beschrijft hoe informatie tijdens een incident wordt gedeeld, zowel intern als extern.
Het NIST Domein - Detect pagina

24/7 SOC: de digitale nachtwakers

Een Security Operations Center (SOC) is een centrale eenheid of team binnen een organisatie die 24/7 verantwoordelijk is voor het bewaken, detecteren, en reageren op beveiligingsincidenten. Ze monitoren alles wat er gebeurt, en als er iets verdachts opduikt, zijn ze er als de kippen bij.

Hoe implementeer je een SOC succesvol?

  • Stel een Team samen: Stel een team samen van ervaren beveiligingsexperts die verantwoordelijk zijn voor het bewaken en reageren op beveiligingsincidenten. Dit kan een intern team of uitbesteed team zijn
  • 24/7 monitoring: Zorg ervoor dat er altijd iemand aan het werk is. Dreigingen houden zich niet aan kantooruren. Zorg voor een robuust rooster zodat je SOC altijd bemand is, inclusief weekenden en feestdagen, zonder je team te overbelasten.
  • Gebruik slimme tools: Geautomatiseerde monitoring tools kunnen je SOC-team helpen sneller en efficiënter te werken.
  • Snelle Escalatie Protocollen: Zorg ervoor dat het SOC-team duidelijke protocollen heeft voor escalatie wanneer een kritieke bedreiging wordt ontdekt.

CSIRT: “The A-Team” van cyber incidenten

Het Cyber Security Incident Response Team (CSIRT) is je eerste verdedigingslinie wanneer het misgaat. Dit team is er om direct in actie te komen, de schade te beperken en je organisatie weer op de rails te krijgen. CSIRT is dus eigenlijk een soort brandweer, maar dan voor cyber security.

Tips voor het opstellen en inzetten van CSIRT binnen je organisatie:

  • Creëer een multidisciplinair team: Zorg voor een mix van verschillende experts – van IT tot juridische zaken – zodat je alle hoeken hebt gedekt. Net als bij SOC hoeft dit team niet per se intern te zijn, een CSIRT kan ook bestaan uit externe experts. Zorg wel voor een heldere rolverdeling. Maak het voor iedereen duidelijk wie de leiding heeft tijdens een incident en wie verantwoordelijk is voor welke taak.
  • Snel schakelen: Een goede triage bij incidenten zorgt ervoor dat de meest kritieke bedreigingen als eerste worden aangepakt.
  • Evaluatie en Feedback: Zorg voor een grondige evaluatie en feedbacksessie om leerpunten te identificeren en processen te verbeteren.

SOAR: Slimmer reageren

SOAR (Security Orchestration, Automation, and Response) bevat alle hulpmiddelen die je cyber security veel efficiënter maken. Het automatiseert een groot gedeelte van de tijdrovende taken en zorgt ervoor dat je team zich kan concentreren op de echt belangrijke dingen. Minder tijd verspillen, sneller reageren – dat is waar SOAR om draait.

4 tips voor een succesvolle implementatie van SOAR:

  • Automatiseer repetitieve taken: Laat SOAR taken zoals loganalyse en incidentclassificatie afhandelen zodat je team zich op complexere zaken kan focussen.
  • Stel een draaiboek op: Maak standaardprocedures voor veelvoorkomende incidenten om snel te kunnen reageren.
  • Integreer met bestaande tools: Zorg ervoor dat je SOAR-platform integreert met je bestaande beveiligingstools zoals SIEM-systemen voor een naadloze workflow.
  • Meldingen en Alerts: Stel meldingen in voor belangrijke gebeurtenissen in SOAR, zodat relevante teams onmiddellijk op de hoogte worden gesteld.

Incident Management Tools: de toolbox voor cyber incidenten

Incident management helpt je om alles georganiseerd te houden, van de eerste melding van een incident tot de uiteindelijke oplossing. Den tools helpen teams om georganiseerd en efficiënt te werken, vooral wanneer meerdere incidenten tegelijkertijd moeten worden beheerd. Met de juiste tools kun je de hele incidentrespons coördineren zonder dat er paniek uit hoeft te breken.

Hoe zet je de Incident Management tools effectief in?

  • Kies de juiste tool(s): Kies een incident management tool die past bij de omvang en behoeften van je organisatie. Het moet schaalbaar zijn en verschillende soorten incidenten aankunnen.
  • Integratie met Andere Systemen: Zorg ervoor dat je incident management tool naadloos integreert met je SOC, SIEM, en andere beveiligingssystemen.
  • Incidentenregistratie: Leg elk incident gedetailleerd vast in de tool, inclusief tijdstempels, betrokken systemen, en genomen acties voor toekomstige referentie.
  • Automatiseer Workflows: Gebruik de tool om zoveel mogelijk workflows te automatiseren, van incidentdetectie tot rapportage.

Conclusie

Het NIST ‘Respond’ domein is cruciaal om kalm, georganiseerd en effectief te reageren op cyberdreigingen. Door aandacht te besteden aan response planning, een 24/7 SOC, een scherp CSIRT, en het gebruik van SOAR en incident management tools, kan je organisatie zich beter voorbereiden op en reageren op cyberdreigingen. Dit helpt niet alleen om schade te beperken, maar ook om het vertrouwen van stakeholders te behouden in tijden van crisis.

Heb je vragen over deze blog of heb je hulp nodig bij het implementeren van het Respond domein? Neem gerust contact met ons op, wij bij OpenSight staan voor je klaar!

OpenSight Back To School Series

Tijdens de OpenSight Back To School Series publiceren we wekelijkse blogs die dieper ingaan op de vijf NIST Security Domains:

  1. Identify
  2. Protect
  3. Detect
  4. Respond
  5. Recover

Door de maatregelen die bij deze domeinen horen te implementeren, kan je de kans op cyberaanvallen en de impact van mogelijke incidenten verkleinen.

Lees meer

Het NIST Domein ‘Detect’ – Het belang van effectieve detectie in cyber security

Geplaatst op: 22 augustus 2024

Het NIST Domein - Detect

Vandaag is het ‘detect’ domein van de NIST aan de beurt. Dit onderdeel is vrij technisch, maar ook weer onmisbaar voor de cybersecurity van je organisatie. We kijken samen naar de belangrijkste onderdelen van dit domein, namelijk: Intrusion Detection Systems (IDS), Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Identity Detection and Response (IDR), en het Security Operations Centre (SOC).

Intrusion Detection Systems (IDS) – De digitale waakhond

Een Intrusion Detection System (IDS) is een beveiligingssysteem dat wordt gebruikt om ongeoorloofde toegang tot een computer- of netwerkbron te detecteren. Het IDS werkt eigenlijk als een waakhond, maar dan digitaal en zonder vacht. Wanneer deze verdacht gedrag ziet slaat hij aan. IDS is essentieel voor het waarborgen van de integriteit en het beschermen van gegevens.

3 tips om IDS succesvol te implementeren:

  • Kies de juiste IDS: Maak een keuze tussen een Network-based IDS (NIDS) of Host-based IDS (HIDS) afhankelijk van wat werkt voor jouw organisatie. NIDS bewaakt je netwerkverkeer, terwijl HIDS de activiteiten op individuele apparaten controleert.
  • Configuratie en tuning: Stel je IDS zo in dat het past bij je netwerkverkeer. Vermijd false positives door regels en filters aan te passen aan je specifieke behoeften.
  • Update je IDS: Hou je IDS altijd up-to-date zodat de nieuwste digitale inbraaktechnieken gedetecteerd worden.
Het NIST Domein - Detect pagina

Security Information en Event Management (SIEM) – Het brein achter cyber security

Security Information en Event Management, ook wel afgekort tot SIEM, verzamelt en analyseert alle beveiligingsgegevens van verschillende bronnen, zoals jouw IDS, firewalls en andere beveiligingssystemen. Het kan patronen herkennen die wijzen op een aanval en je direct waarschuwen. SIEM is dus een belangrijke aanvulling op het IDS.

Tips om SIEM effectief in te zetten in je organisatie:

  • Definieer wensen: Bepaal vooraf wat je wilt bereiken met SIEM, zoals het naleven van regelgeving, het verbeteren van de beveiliging of het snel detecteren van incidenten. Dit gaat samen met het identificeren en inventariseren van de digitale kroonjuwelen van de organisatie.
  • Kies de juiste Software: De juiste SIEM-software helpt je beveiligingsdreigingen op te sporen door informatie uit verschillende bronnen te combineren. Bi het kiezen van de juiste software moet je als organisatie afwegen wat de kosten zijn, of de software gebruiksvriendelijk is en hoe betrouwbaar de software en leverancier zijn.
  • Voer gegevensintegratie in: Zorg ervoor dat je SIEM-systeem gegevens verzamelt van alle relevante bronnen, zoals firewalls, IDS, antivirussoftware en netwerkapparaten.
  • Begin klein: Begin met een basisconfiguratie om een ‘overload’ van informatie en onnodig dataverbruik te voorkomen. Sluit daarom alleen componenten aan die relevant zijn voor beveiligingsmonitoring.

Endpoint Detection and Response (EDR) – De persoonlijke lijfwacht van je apparaten

Endpoint Detection and Response, oftewel EDR is nog zo’n alarmsysteem. Denk aan EDR als je persoonlijke lijfwacht voor al je apparaten, zoals je laptop, smartphone en tablet. EDR houdt deze apparaten in de gaten, detecteert verdachte activiteiten en reageert snel om dreigingen te stoppen. EDR gaat daarmee verder dan traditionele antivirussoftware door verdachte activiteiten op elk endpoint in real-time te monitoren. Stel je voor dat je telefoon plotseling vreemde berichten begint te versturen; EDR zou dit meteen opmerken en actie ondernemen om te voorkomen dat er iets ergs gebeurt.

Deze tips helpen je met het inzetten van EDR in jouw organisatie:

  • Kies een betrouwbare EDR-oplossing: Selecteer een EDR-tool die bij jouw organisatie past en compatibel is met al de apparaten die je gebruikt. Let op functionaliteiten zoals real-time monitoring, threat intelligence, en responsmogelijkheden.
  • Toets de EDR tool: Zorg ervoor dat je zeker weet dat de EDR-tool goed werkt en dat deze geen conflicten veroorzaakt met bestaande software door eerst een test te runnen. Zo weet je ook of het gebruiksvriendelijk is en of je team er mee overweg kan.
  • SIEM Integratie: Verbind de EDR-oplossing met je SIEM-systeem om beter inzicht te krijgen in beveiligingsincidenten en sneller op bedreigingen te kunnen reageren.
  • Periodieke Reviews: Voer regelmatig beoordelingen uit van de effectiviteit van je EDR-oplossing. Analyseer incidenten, pas detectieregels aan, en optimaliseer het systeem om nieuwe bedreigingen het hoofd te bieden.
  • Regelmatige Rapportages: Maak gebruik van de rapportagemogelijkheden van de EDR-oplossing om regelmatig updates te geven aan het management en om de effectiviteit van de beveiliging te beoordelen.

Identity Detection and Response (IDR) – Op de man af

Identity Detection and Response (IDR) richt zich specifiek op identiteiten binnen jouw netwerk. Dit is dus minder gericht op systemen en meer op mensen. IDR zorgt ervoor dat alleen de juiste mensen toegang hebben tot bepaalde gegevens en toepassingen. Het houdt verdachte inlogpogingen in de gaten en reageert snel om ongeautoriseerde toegang te voorkomen. Als iemand jouw wachtwoord probeert te raden merkt IDR dit op en zorgt het ervoor dat jouw account veilig blijft.

Waar moet je rekening mee houden bij het implementeren van IDR?

  • Kies de juiste IDR-tool: Bepaal wat je wilt bereiken met IDR en waar je behoeftes en risico’s liggen. Selecteer daarna een IDR-oplossing die goed integreert met je bestaande identiteits- en toegangsbeheer (IAM) en andere beveiligingstools zoals SIEM en EDR.
  • Implementeer een responsplan: Stel een incidentresponsplan op voor het geval er een identiteit gerelateerd incident wordt gedetecteerd. Dit moet stappen bevatten voor bijvoorbeeld het isoleren van verdachte accounts en herstel.
  • Houdt rekening met wet- en regelgeving: Zorg ervoor dat je IDR-oplossing voldoet aan de relevante regelgeving en normen, zoals GDPR (AVG) of andere branche-specifieke vereisten.

Security Operations Centre (SOC) – Het digitale commando centrum

Het Security Operations Centre, oftewel SOC is de laatste afkorting die we bespreken in deze blog. SOC is het zenuwcentrum van jouw beveiliging. Het SOC-team bestaat uit experts die 24/7 jouw netwerk bewaken, bedreigingen analyseren en reageren op beveiligingsincidenten. Zie het als een commandocentrum waar alles samenkomt. Als er iets misgaat, zorgt het SOC ervoor dat er snel en effectief wordt gereageerd om de schade te beperken.

Hoe zet je SOC concreet in binnen je organisatie?

  • SOC team: Stel een team samen van ervaren beveiligingsexperts die verantwoordelijk zijn voor het bewaken en reageren op beveiligingsincidenten. Dit kan een intern team of uitbesteed team zijn. Deze beveiligingsexpert zorgen samen voor een bewakingssysteem wat 24/7 alert is.
  • Geavanceerde tools: Implementeer geavanceerde monitoring- en analysetools zoals SIEM, EDR en threat intelligence-platforms om SOC te ondersteunen en aan te vullen.
  • Oefeningen en simulaties: Voer regelmatig incidentrespons oefeningen en simulaties uit om je SOC-team voor te bereiden op echte bedreigingen.

Conclusie

Het “Detect” domein van de NIST mag dan wat technisch zijn en vol afkortingen zitten, het is een onmisbaar domein voor de cyber security van elke organisatie. We hebben gekeken naar IDS, SIEM, EDR, IDR en SOC. Elk van deze componenten speelt een belangrijke rol in het detecteren en reageren op beveiligingsdreigingen. Samen zorgen ze ervoor dat jouw netwerk en gegevens veilig blijven, zelfs in een wereld vol cyberdreigingen.

Heb je naar aanleiding van deze blog vragen of opmerkingen? Of heb je behoefte aan hulp met het implementeren van de juiste tools en systemen? Neem dan gerust contact met ons op. Wij bij OpenSight helpen graag!

OpenSight Back To School Series

Tijdens de OpenSight Back To School Series publiceren we wekelijkse blogs die dieper ingaan op de vijf NIST Security Domains:

  1. Identify
  2. Protect
  3. Detect
  4. Respond
  5. Recover

Door de maatregelen die bij deze domeinen horen te implementeren, kan je de kans op cyberaanvallen en de impact van mogelijke incidenten verkleinen.

Lees meer

Bellen
Mailen