Weet jij welk verkeer er binnen jouw netwerk actief is? Heb jij zicht op of verkeer dat door de firewall is toegelaten niet toch kwaadaardig is, of is geworden? Elke dag zie je in het nieuws organisaties voorbij komen die slachtoffer zijn geworden van een cyberaanval: systemen worden platgelegd of er wordt gedreigd met het publiceren van gegevens. Genoeg redenen om zicht te houden op wat er zich binnen jouw netwerk afspeelt.
Het verkeer van een organisatie gaat niet alleen in en uit het netwerk, dus in en uit firewalls. Servers zijn tegenwoordig immers niet meer beperkt tot een fysieke locatie, maar vrij om over een virtualisatie laag te bewegen en zelfs van IP-adres te wisselen: in een eigen datacenter of in de cloud. De vaak gehoorde reactie vanuit organisaties ‘we hebben toch preventieve maatregelen aangeschaft, dan zijn we toch beschermd?’ gaat in de meeste situaties dus niet meer op.
Krijg zicht op het daadwerkelijke verkeer
Met een Network Detection & Response (NDR) -oplossing krijg je zicht op het verkeer dat werkelijk actief is binnen jouw netwerk. Onder andere de server-naar-server communicatie, oftewel de zijwaartse Oost-West stromen, kan je hiermee monitoren. Of het nu een fysiek datacenter is of een locatie in de cloud, iedere verandering in het gedrag wordt door NDR tijdig gedetecteerd. Maar je monitort er ook het verkeer mee dat van en naar endpoints gaat waarop geen Endpoint Detection & Response (EDR)-agent geïnstalleerd kan worden, zoals IoT-devices of OT-machines.
Het netwerkverkeer wordt in eerste instantie gebruikt om een baseline van normaal gedrag te verkrijgen. Als de NDR-oplossing vervolgens afwijkende of verdachte patronen detecteert, volgt er een alert. Voor deze detectie wordt gebruik gemaakt van Machine Learning (ML) en Artificial Intelligence (AI). Bij een alert kan de NDR-tool vervolgacties aangeven of in gang zetten, soms volautomatisch. Denk hierbij aan het sturen van commando’s naar een firewall om verdacht verkeer te blokkeren.
Daarnaast worden nieuwe, frauduleuze of onbeheerde apparaten op het netwerk automatisch gedetecteerd, en de apparaten gevonden die niet worden gedekt door bestaande beveiligingstools en die communiceren met kritieke systemen op manieren die niet zouden moeten. Dankzij deze tijdige detectie kan de juiste, aanvullende bescherming geplaatst worden. Inzicht is dus de belangrijkste factor voor een veilige organisatie.
Ongewenst bezoek gesignaleerd, en nu?
Wanneer het toegestane verkeer in je infrastructuur toch kwaadaardig blijkt te zijn, is het van belang dat je er direct bij bent. Kortom, blijf de situatie actief monitoren. In een Security Operations Center (SOC) houdt een toegewijd team van cyber security-specialisten dit voor je nauwlettend in de gaten. Is er daadwerkelijk sprake van een beveiligingsincident, dan initieert de cyber security-specialist ook een onderzoek naar hoe dit heeft kunnen plaatsvinden. Waar komt het ongewenst bezoek in het systeem vandaan en belangrijker nog: hoe kan dit verdedigt en in de toekomst voorkomen worden? De aanvaller zal immers de volgende keer eerst even proberen of hij gewoon weer via dezelfde deur naar binnen kan komen.
Een NDR-oplossing heeft zijn eigen kracht. Combineer het met een endpoint- en SIEM-oplossing en ze versterken elkaar. Het inzetten van zowel een SIEM-, als een EDR- en NDR-oplossing noemen we de ‘circle of visibility’: samen brengen ze jouw potentiële beveiligingsincidenten aan het licht. Download hieronder het gratis visiedocument en ontdek hoe je een veilige IT-infrastructuur voor jouw organisatie kunt opbouwen en behouden.