Als je het over online security hebt, vliegen er al snel allerlei kreten en afkortingen over tafel. En iedereen heeft daar ook zo zijn eigen interpretatie van. In deze blog zetten we een aantal belangrijke begrippen op een rij, met uitleg. Want over digitale beveiliging kun je je geen misverstanden permitteren.
Nextgen antivirus (NGAV)
Iets meer dan de helft van alle computervirussen die tegenwoordig rondwaren in cyberspace is van een nieuwe generatie. Deze silent malware, zoals dit soort virussen ook wel wordt genoemd, nestelt zich ongezien in je endpoints. Met endpoints of endpoint devices bedoelen we alle apparaten in je netwerk die aan het internet zijn gekoppeld – van servers, desktops en laptops tot tablets, smartphones en IoT (Internet of Things)-apparaten. Traditionele antivirussoftware herkent malware aan de hand van definities of ‘virushandtekeningen’ en is helaas niet tegen nextgen virussen opgewassen – daar heb je andere technieken voor nodig. CrowdStrike biedt bijvoorbeeld een effectieve nextgen antivirus-oplossing. Zo’n beetje de helft van alle Fortune 500-bedrijven en het gros van de banken zet CrowdStrike in. Deze software herkent malware aan verdacht gedrag en maakt daarbij gebruik van kunstmatige intelligentie. Machine learning zorgt dat het systeem vanzelf leert en steeds beter wordt in het opsporen van bedreigingen.
Endpoint Detection and Response (EDR)
Het herkennen en onschadelijk maken van virussen met nextgen antivirussoftware doe je liever niet alleen reactief. Want op het moment dat malware op de een of andere manier de werking van je systemen beïnvloedt, is het al te laat. Het is beter om de problemen voor te zijn en daarbij helpt bijvoorbeeld Endpoint Detection and Response of EDR van Crowdstrike. Met EDR is elk endpoint device in je netwerk uitgerust met een stukje software dat alles vastlegt wat er op het endpoint gebeurt. Deze gegevens gaan naar een monitoringsysteem in de cloud. Dit systeem analyseert de gebeurtenissen continu en zoekt naar verbanden daartussen. Bij onregelmatigheden zorgt het dat er direct actie wordt genomen om verstoringen te voorkomen. Is er bijvoorbeeld sprake van pogingen om een wachtwoord te ontfutselen? Staat er een poort open die dicht hoort te zijn? Of worden er onbedoeld processen ‘onder water’ gestart met een macro in Excel? Onderdeel van EDR is ook threat hunting. Bij threat hunting wordt er actief gezocht naar mogelijke bedreigingen binnen je netwerk.
Naast EDR heb je trouwens ook nog NDR en XDR. NDR staat voor Network Detection and Response, dat omvat de beveiliging van netwerkcomponenten zoals je firewalls en routers. XDR is de afkorting van Extended Detection and Response, dat is de combinatie van NDR en XDR. Ook bij NDR en XDR is het belangrijk om voor nextgen beveiligingsoplossingen te kiezen.
Security Information and Event Management (SIEM) en Security Orchestration, Automation and Response (SOAR)
Een SIEM-oplossing is in feite een hele grote database of datalake, waar alle systemen en apparaten in je netwerk op zijn aangesloten. Dus niet alleen je endpoints, maar bijvoorbeeld ook je routers en firewalls. Doordat via SIEM alle gebeurtenissen op elk onderdeel van je netwerk worden samengebracht en geanalyseerd, kun je in een breder verband relaties leggen tussen verdachte events. Wordt er bijvoorbeeld een bepaalde sessie gestart op een laptop, terwijl iemand vanuit Rusland probeert in te loggen? Een SIEM-systeem ziet het verband en signaleert dat er iets mis is. Een SOAR-oplossing zorgt daarnaast dat vastgestelde bedreigingen automatisch worden opgelost en gerapporteerd. Dat scheelt security-experts veel werk, want in grotere organisaties kan het aantal onveilige events oplopen tot wel honderden per dag. Ze kunnen meer doen in minder tijd en hoeven zich niet met routinewerk bezig te houden.
Security Operations Center – SOC
Vanuit een Security Operations Center of SOC controleren veiligheidsexperts continu wat er allemaal binnen je IT-omgeving gebeurt. Daarbij maken ze gebruik van systemen zoals SIEM en SOAR. Ook threat hunters werken vaak vanuit een SOC. Met SOC-medewerkers in verschillende delen van de wereld is het mogelijk om 24 uur per dag, 7 dagen in de week aan monitoring te doen. Dat heet ook wel het follow-the-sun principe. Om even bij tot de verbeelding sprekende Engelse uitdrukkingen te blijven, survival of the fastest is in deze context ook een mooie. Dat wil zeggen: bedreigingen opsporen mag maximaal één minuut duren, ze onderzoeken en analyseren moet binnen tien minuten zijn gebeurd en ze oplossen of onschadelijk maken mag niet langer dan een uur duren. Zo helpt een SOC je de impact van malware tot een minimum te beperken.
Cyber Security Incident and Response Plan – CSIRP
In een CSIRP leg je vast hoe je omgaat met online security-incidenten. Wat doen we in het geval van een bepaalde bedreiging? Wie heeft welke rol? En hoe lopen de processen? Dit staat heel precies per gebeurtenis beschreven. Een verdacht event kan bijvoorbeeld het zonder duidelijke reden veranderen van de toegangsrechten voor een systeem zijn, het plotseling formatteren van een schijf of het midden in de nacht aanmaken van een account. Het CSIRP geeft aan wat er in zo’n geval moet gebeuren, tot en met het waarschuwen van de juiste personen en de goedkeuring van acties aan toe. Het is een plan op maat van jouw bedrijf.
Meer weten over online security en wat we bij DesktopToWork voor je kunnen betekenen op dit gebied? Neem contact met ons op.
Altijd, overal en op ieder apparaat veilig met elkaar werken.