Security Visualizer geeft direct inzicht

infosecurity05-2013HR2

Niet alle organisaties hebben een volledig geïntegreerd platform dat de veiligheid van netwerk en data monitort. Toch willen ze graag weten of hun netwerk veilig is en of ze wellicht het doelwit zijn van cybercriminelen. Ze willen best investeren in een veilige omgeving, maar weten niet goed waarin. “Door de implementatie van enkele dashboards kan binnen twee weken inzicht worden gekregen in de status van de security zonder grote investeringen”, zegt Rhett Oudkerk Pool van Kahuna.

Het grootste probleem voor veel organisaties is het articuleren van de vraag, zoals Oudkerk Pool het noemt. “Het visueel maken van de status van de security geeft ze inzicht in de knelpunten en welke maatregelen er genomen zouden moeten worden om het netwerk veiliger te maken. Het helpt ze bij het goed articuleren van hun vragen en leidt tot zinvolle en onderbouwde aanpak van informatiebeveiliging.” Kahuna heeft daarvoor een aantal dashboards gecreëerd, die ieder een eigen facet van informatiebeveiliging bestrijken.

Top 10 van aanvallers
In feite is de security visualizer een grote stap in de richting van security monitoring. “De dashboards zijn gebouwd op basis van ervaringen bij andere klanten. Bovendien zijn ze relatief simpel te implementeren,” zegt hij. “Ze hoeven ook niet direct allemaal te worden gebouwd; we kiezen voor de dashboards die we gemakkelijk en snel binnen 10 dagen kunnen implementeren. Blijkt er één te ingewikkeld te zijn om binnen die tijd te bouwen, dan slaan we die in eerste instantie over. Er blijven genoeg dashboards over om de organisatie een goed en helder beeld te geven van de eigen security.” De security visualizer werkt volgens het bekende 80/20-principe: het laaghangende fruit wordt snel zichtbaar gemaakt, net als de grootste bedreigingen.

1205 Kahuna1

Een van de onderdelen van deze aanpak is het opstellen van een 5 dagen tabel van aanvallers op het netwerk van de klant. “Op een dashboard maken we zichtbaar of er uitgaande verbindingen zijn naar een of meer van de betreffende IP-adressen. Als er plotseling wordt gecommuniceerd met de aanvallers, is er duidelijk iets misgegaan. Hoe die verbinding precies is ontstaan is niet belangrijk, maar ergens heeft een firewall of antivirus-product niet goed gewerkt. Met die wetenschap kun je de bron lokaliseren en die vervolgens onderzoeken op virussen of malware.”
Als ander voorbeeld noemt hij het ‘in en uit dienst’ dashboard, dat nauwgezet toont welke user accounts er zijn aangemaakt en welke zijn verwijderd – of dat er ex-medewerkers zijn die nog steeds over een geldig account beschikken. Een andere mogelijkheid is Asset Modeling. “Daaronder verstaan we het registreren van alle servers en die vervolgens allemaal voorzien van een duidelijk profiel. Dat is een van de meest belangrijke onderdelen bij de implementatie van een security-infrastructuur, zodat je snel kunt vaststellen of een alert gaat om een test- of productiesysteem. Je wilt iemand niet ’s nachts uit bed bellen voor een probleempje met een testomgeving.”

Opschoningsfase
De security visualizer levert niet altijd antwoorden op, maar wel gerichte vragen. “De organisatie krijgt immers eindelijk zicht op security en wat er allemaal gebeurt in de infrastructuur. Het geeft bijvoorbeeld ook inzicht in wat er nooit is opgeruimd. Dat maakt de rapportages in het begin wel wat troebel, maar die fase moet je door om uiteindelijk tot een situatie te komen van stabiele rapportages.” Ter verduidelijking geeft Oudkerk Pool het volgende voorbeeld: “Stel, IT heeft twee jaar geleden bepaalde servers uitgezet. Maar de back-up server logt nog steeds iedere nacht in omdat hij van dat systeem een back-up wil maken. Dat geeft een failed log-in in het back-up proces en in de security monitoring. Dat is op zich niet erg, maar vervuilt wel de rapportages. Je kunt het probleem direct oplossen, door de configuratie van het back-up systeem te wijzigen. Maar dat is niet altijd even gemakkelijk te realiseren. We bouwen daar dan ook in eerste instantie filters op.”
Bij de implementatie van de security visualizer hoort dus een soort basis-opschoningsfase. Een essentieel onderdeel van het traject. “De security visualizer helpt de klant een grote stap voorwaarts te zetten. Het laat de medewerkers wennen aan dit soort tools, het helpt kennisoverdracht te organiseren, het laaghangende fruit te rapporteren, en het geeft waanzinnig veel inzicht – die ervaring hebben we bij onze klanten.”

Tot slot
Bij veel organisaties ziet Oudkerk Pool nog steeds dat er voorkeur is voor de meest hippe oplossing die op dat moment verkrijgbaar is. Dat is niet altijd de beste keuze. Optimaliseren van de bestaande maatregelen middels de security visualizer bewijst daarbij goede diensten en het levert inzicht waar de volgende investering noodzakelijk is.
Voor sommige bedrijven geeft de security visualizer voldoende inzicht, andere zullen er wellicht voor kiezen de security visualizer verder uit te bouwen naar een integrale infrastructuur voor security monitoring. Dat kan, maar hoeft niet.”