Enabling Trust and Business Continuity™

Security Operations

De Heilige Graal van Informatiebeveiliging

Security Operations

SECURITY OPERATIONS UBA CASB SIEM DLP EPP IAM

SIEM, UBA, VM, CTI, IoC’s, DLP, EPP, EDR, CASB, IAM en SOC; wat is dat voor een alfabetsoep? Bedrijven willen – terecht – alles uit de software halen wat erin zit. Maar er komt meer bij kijken dan alleen de aanschaf van een goede tool. De echte waarde zit hem in de analyse en interpretatie van de gegevens, het beoordelen van de impact daarvan en het nemen van de juiste stappen: Security Operations.

SECWATCH kan security operations optimaal zijn werk laten doen. Wij installeren de juiste software die bij uw vraagstuk past, stemmen de inrichting af op uw wensen en stroomlijnen de configuratie helemaal met uw werkomgeving. Daarbij bieden we u de keuze om naast volledige eigendom van de oplossing diverse flexibele servicecontracten, zoals monitoring en escalatie of volledige managed security services. Zodat u de mogelijkheden van de tools en onze kennis maximaal kunt benutten.

Vrijblijvende intake voor uw security operations


Er zijn veel diverse beveiligingshulpmiddelen die bedrijven gebruiken om gebruikersactiviteit te controleren, kwetsbaarheden te beoordelen, inbraak te detecteren, realtime beveiligingsanalyses uit te voeren, rapporten over beveiligingsevenementen te maken en naleving te garanderen op security beleid en procedures. Zie het als een eigen recept waarin iedereen naar eigen smaak zijn ingrediënten toevoegt. Elk van de genoemde hulpprogramma’s kan worden geïmplementeerd op locatie of in de cloud. Naast Threat Intelligence (TI) zijn SIEM, UBA, VM, DLP, CASB en IAM de belangrijkste ingrediënten bij Security Operations.


Security Operations: Ingrediënten


User Behaviour Analytics & Security OperationsSecurity Operations omvat diverse, soms elkaar overlappende technologieën en benaderingen. Het begint altijd met Threat Intelligence; In de wereld van de cybersecurity neemt Threat Intelligence (TI) een steeds belangrijkere plaats in. Het probleem is dat veel organisaties niet weten welke risico’s zij lopen en of en in hoeverre zij in staat zijn om zichzelf naar behoren te beschermen. Zij kunnen niet meer doen dan reactief handelen of het probleem ‘compliance-driven’ aan te pakken, en hebben geen heldere visie of blauwdruk om cybersecurity op een andere manier aan te pakken.

SECWATCH laat deze technieken samengaan. De heilige graal van informatiebeveiliging is om een holistisch systeem te bieden dat de voordelen van alle ISOC-systemen combineert door twee soorten gegevens te verwerken: loggegevens (SIEM, CASB) en contextuele gegevens (UBA). De baseline van UBA kijkt naar anomalieën (afwijkingen) en gebruikersgedrag (middels machine learning) met betrekking tot een bepaald apparaat. De kern van de oplossing is om de oorsprong te achterhalen uit een veelheid van aangesloten systemen.

Terwijl beveiligingsanalyse (SIEM, CASB, enz.) zich voornamelijk richt op IP-adressen, maakt UBA de gebruiker het centrum van analyses. Het is moeilijk om de regels van een correlatiemotor hard te coderen en alle mogelijke use-cases te behandelen, maar het is mogelijk om gebruikersgedrag en anomalie-toegang te modelleren op basis van heuristiek en machine learning. Het echte omdenken vindt pas plaats in een systeem dat is ontworpen om de voordelen van beide te combineren.

  • Threat Intelligence (TI): Veel organisaties gaan momenteel halsoverkop aan de slag met TI en schaffen standalone programma’s aan die in hun eigen hokje werken, waardoor ze niet in staat zijn om een proactieve houding aan te nemen en securityoplossingen zo efficiënt op te zetten dat ze er optimaal van kunnen profiteren. Maar het is niet genoeg om rondom uw eigen systeem nieuwe controles uit te voeren en nieuwe technologieën toe te passen. Om de kracht van TI optimaal te gebruiken, moet uw organisatie overstappen op een securitybenadering die intelligence-driven is en moet u de juiste personen aanstellen die dit programma kunnen leiden.
  • Security Information and Event Management (SIEM): Real-time data-analyse voor detectie van vroege aanvallen. SIEM aggregeert gebeurtenisgegevens verzameld uit logboeken gegenereerd door hardware en software en correleert die gegevens met gebruikers.
  • Analyse van gebruikersgedrag (UBA): Gebruikers omvatten zakelijke gebruikers (bijvoorbeeld werknemers en contractanten van een bedrijf) en niet-zakelijke gebruikers (bijvoorbeeld klanten van een bedrijf of toevallige bezoekers). Gedrag is een beschrijving van wat iemand (bijvoorbeeld een gebruiker) of iets (bijvoorbeeld een webtoepassing) doet.
  • Vulnerability Management (VM): Kwetsbaarheidsbeheer is het proces waarbij de organisatie bovenop het detecteren van kwetsbaarheden in de omgeving blijft, zodat de kwetsbaarheden frequenter en effectiever verholpen kunnen worden. Kwetsbaarheden die moeten worden opgelost, moeten worden geprioriteerd op basis van welke het meest directe risico voor het netwerk of de organisatie vormen. Ook voor websites, webshops en web-portalen dient VM toegepast te worden.
  • Data Loss Prevention (DLP): DLP is vooral gericht op exfiltratiepogingen. Ongeoorloofde of onbedoelde gegevensexfiltratie is ook bekend als datalekken. Doorgaans treedt gegevenslekkage op wanneer een medewerker gevoelige gegevens verzendt naar een ongeautoriseerde ontvanger binnen of buiten het bedrijf. Een DLP-systeem identificeert en classificeert documenten en correleert de rechten van een gebruiker met de classificatie van een document, waardoor wordt voorkomen dat een niet-gerechtigde gebruiker gevoelige informatie deelt.
  • Endpoint Protection Platform (EPP): Een endpoint-beveiligingsplatform (EPP) is een oplossing die wordt geïmplementeerd op eindpunten zoals PC’s, Laptop’s en mobiele apparaten om op bestanden, geheugen, HIPS (Host Intrusion Prevention System) en EUFI gebaseerde malwareaanvallen te voorkomen, kwaadwillige activiteit te detecteren en de onderzoeks- en herstelmogelijkheden te bieden die nodig zijn om te reageren op dynamische beveiligingsincidenten en waarschuwingen. EPP wordt door SECWATCH in combinatie met Endpoint Detection and Response (EDR) tools gepositioneerd, voor identificatie van afwijkend gedrag, identificatie van schendingen, risicobeoordeling en verder forensisch onderzoek met response mogelijkheden om de ontdekte bedreigingen te analyseren en te verminderen.
  • Cloud Access Security Brokers (CASB): CASB is een belangrijk beveiligingselement in uw gereedschapskist wanneer u uw on-premise-eigenschappen naar de cloud verplaatst. CASB is een cloudgatekeeper (zeg maar een cloud-firewall) die vertelt wie uw cloud-applicaties gebruikt op basis van de toegangsrechten van gebruikers.
  • Identity and Access Management (IAM): IAM, of het nu op locatie of in de cloud wordt geïmplementeerd, is het cruciale onderdeel van bedrijfsbeveiliging dat toegangsbeheer voor runtimegebruikers en applicaties mogelijk maakt. IAM is voornamelijk bedoeld om de goeden binnen te laten en de slechteriken buiten te houden. IAM is een essentiële leverancier van beveiligingsinformatie die moet worden ingevoerd in SIEM-, UBA-, DLP- en CASB-omgevingen.

Mag ik u helpen?

Hallo, ik ben Henk-Jan Angerman. Op een toegankelijke manier vertel ik u alles over operationele en technische zaken die komen kijken bij security operations. Neem contact met mij op voor een eerste vrijblijvende intake, om te zien hoe onze diensten en oplossingen bij uw organisatie kunnen passen.

Vrijblijvende intake voor uw security operations

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten