Een alarm op je IT-netwerk zoals een alarm op je huis

door Peter Vos | 24 mrt, 2023 | Blog | 0 Reacties

Je kunt van alles bedenken om inbrekers buiten de deur te houden. Goede sloten, ramen sluiten, buitenverlichting, camera’s en natuurlijk een alarm waarbij alle toeters en bellen afgaan als er ongenode gasten het huis betreden. Vandaag de dag zijn cybercriminelen zeer actief. Daarom is het eigenlijk best heel raar als je geen alarm hebt op het IT-netwerk, waarmee je direct gewaarschuwd wordt als iemand die er niet hoort het netwerk betreedt. De meeste bedrijven beschikken wel over monitoring, waarmee je kunt zien wat er allemaal in je netwerk gebeurt. Maar in de praktijk gebeurt er zoveel dat het een redelijke taak is om dat allemaal in de gaten te houden. En heel veel meldingen die door monitoring worden gegenereerd zijn vaak niet zo ernstig van aard, waardoor degene achter de schermen druk is met heel veel ‘false positives’. Een Cyber Alarm zorgt ervoor dat je gewaarschuwd wordt als het nodig is, zodat je direct de netwerksystemen in kunt duiken om de boosdoener(s) op te sporen!

Een Cyberalarm

Maar stel je nou eens voor dat je een cyberalarm hebt, waarmee realtime al je netwerkverkeer wordt geanalyseerd op kwaadaardig gedrag en communicatie met kwaadaardige bestemmingen! Een alarm die doorlopend gevoed wordt vanuit alle gerespecteerde security leveranciers met Cyber Threat Intelligence updates. En daarmee de hoogste vorm van relevante matching heeft van alle zogenaamde Intrusion Detection Systemen (IDS). Waarmee zelfs ‘shadow IT’ zoals TeamViewer, Dropbox, WeTransfer, VPN-tunnels en vele anderen worden gedetecteerd. Wat zou zo’n cyberalarm voor jouw organisatie betekenen?

Analyse en alarmering

Het CyberAlarm analyseert al het netwerkverkeer (de metadata, niet de inhoud) op diverse categorieën. Afhankelijk van de context van het verkeer levert dat alarmmeldingen op in de prioriteiten Urgent, Hoog, Middel, Laag en Informatief (Prio 1 t/m 5). De meldingen zijn relevant en bieden direct inzicht in de bron van het alarm tot op de milliseconde van detectie. Een praktische alias-mogelijkheid op mac-adres en/of ip-adres maakt de analyse nog eenvoudiger. De meldingen worden weergegeven in ons overzichtelijke dashboard. Gebruikers kunnen binnen dit dashboard rollen toegewezen krijgen zoals ‘Beheerder’ (mogen notificaties aanmaken, aanpassen en meldingen whitelisten) of ‘Data Protection Officer’ (DPO – alleen kijken). API en integratie middels Syslog is mogelijk. Daarnaast zijn er diverse andere notificatie-mogelijkheden zodat verschillende mensen binnen de organisatie op de hoogte gesteld kunnen worden.

Voordelen van een netwerk cyberalarm

Een groot voordeel van het IDS ten opzichte van andere oplossingen is dat de metadata van jouw organisatie (versleuteld) wordt bewaard op basis van first-in-first-out. Elke keer als er nieuwe threat intelligence wordt ontvangen controleert het platform ‘oude’ netwerkdata nogmaals. Op die manier kan het systeem met ‘de kennis van nu’ malware uitbraken uit het verleden ontdekken. Dat maakt zoeken naar de datum/tijd/endpoint van de infectie veel eenvoudiger. Daarnaast wordt alle data volledig secure bewaard in Nederlandse datacenters. Ook wordt er actief onderhoud uitgevoerd op de eigen sensor om ervoor te zorgen dat de soft- en hardware up-to-date zijn en correct en stabiel blijven functioneren.

Daarbij worden alle actieve onderdelen van een netwerk meegenomen in de detectie oplossing (en dus niet slechts enkele (virtuele) onderdelen of enkel alleen de end-points). Als een apparaat een IP-adres heeft wordt dat verkeer onderzocht. Er zijn dus geen agents nodig met langdurige implementatietrajecten. Mede hierdoor is de oplossing ‘IoT-proof’.

Doordat de analyzer realtime het verkeer beoordeelt, wordt het detecteren van malware zoals een ransomware in een netwerk een stuk eenvoudiger. De sleuteluitwisseling tussen het netwerk en de cybercrimineel wordt direct gezien zodat adequate acties ondernomen kunnen worden. Elke dag voegt het CyberAlarm bij organisaties waarde toe doordat de bedreiging geëlimineerd kan worden voordat er een grote negatieve impact ontstaat.

Dashboard en rapportage

Het dashboard van ‘Mijn CyberAlarm’ laat jouw organisatie zien wat er gebeurt door gebruik te maken van goed leesbare grafieken.Je kunt hier meteen ook meldingen filteren en whitelisten. Zo kunt je ook binnen het dashboard VLAN’s en/of subnetten in- of ex-cluden. Dit maakt de analyses op specifieke verkeersstromen stukken eenvoudiger. Vanuit het dashboard zijn heel gemakkelijk de beschikbare (maand)rapportages te verkrijgen voor het privacy register welke voldoen aan de eisen die de AVG/GDPR stelt aan bedrijven. En de beschikbaarheid en performance van de sensor wordt gemeten, zodat continuïteit van de analyse wordt geborgd. En mocht je gebruik maken van een eigen SIEM-oplossing, dan kan deze oplossing ontsloten worden door Syslog of API.

Wil jij ook een alarm op je IT-netwerk?

Lemontree helpt je graag verder als je meer informatie wilt over Cyber Alarm. Vul onderstaand formulier in en we nemen contact met je op over de mogelijkheden en prijzen.