,

ON2IT wint Global Partner Award van Palo Alto Networks

Waardenburg, 11 september 2017 – De Nederlandse cybersecurityspecialist ON2IT heeft in Las Vegas tijdens de jaarlijkse interne saleskick-off van Palo Alto Networks de Global Partner Award voor Traps™ ontvangen. De awards werden uitgereikt aan een selecte groep van partners op basis van hun bewezen expertise op het gebied van het Palo Alto Networks Next-Generation Security Platform. ON2IT werd in 2015 en 2016 ook al onderscheiden, maar ontving nu voor het eerst een Global Award. Palo Alto Networks reikte in totaal acht Global Awards uit onder 5.500 partners.

Toen Palo Alto Networks in 2014 Cyvera overnam en omdoopte tot Traps™, was ON2IT een van de eerste partijen die de endpoint-oplossing Traps™ adopteerde. Als onderdeel van het Next-Generation Security Platform profiteert Traps™ van alle voordelen, zoals de threat intelligence cloud WildFire, en nieuwe ontwikkelingen als het recent aangekondigde API-framework. Als eerste wereldwijd lanceerde ON2IT bovendien een Managed Traps Service, waarmee het Traps™ aanbiedt als Managed Security Service (MSS) in de vorm van een abonnement.

“Palo Alto Networks gebruikt de manier waarop ON2IT haar managed security services heeft ontwikkeld en uitgerold als blauwdruk voor alle andere partners in de wereld. Dit geldt ook voor Traps™, ON2IT is de eerste wereldwijde partner die Traps™ als managed dienst aanbiedt aan haar klanten.” zegt René Bonvanie, CMO van Palo Alto Networks.

“Het in ontvangst nemen van de award was een waar kippenvelmoment. Ik ben zeer trots op alle overtuiging en inzet die het ON2IT-team tentoon heeft gespreid. Inmiddels is Traps™ een volwassen next-generation endpoint-oplossing met de beste protectie, die voorkomt dat hackers malicieuze activiteiten kunnen starten. En de dit jaar geplande nieuwe releases zullen de lat voor hackers nog hoger leggen,” aldus Marcel van Eemeren, CEO van ON2IT.

Traps™ is een revolutionair securityproduct en onderdeel van het Palo Alto Networks Security Platform. Het beveiligt endpoints op preventieve wijze, in tegenstelling tot traditionele antivirus-scanners die reageren op het resultaat van een hack.

ON2IT Filer 3.0: het veilige alternatief voor WeTransfer

Applicaties waarmee u grote bestanden kunt versturen zijn er genoeg. Maar gebeurt dat ook veilig? Steeds meer organisaties zijn zich bewust van het belang van databescherming. Zeker als data met derden worden gedeeld. De behoefte aan een applicatie waarmee men grote bestanden op een veilige manier kan versturen groeit. Daarom hebben we bij ON2IT een eigen applicatie ontwikkeld: Filer 3.0.

Met Filer 3.0 verstuurt u eenvoudig grote en vertrouwelijke bestanden beveiligd met een wachtwoord. Én Filer 3.0 draait in uw eigen datacenter. Zo weet u precies waar uw bestanden zich bevinden.

Waarom kiezen voor Filer 3.0

  • Enorme capaciteit

    Verzend onbeperkt bestanden per bericht tot maar liefst 20 GB per bestand!

  • Optimale beveiliging

    – Verplichte SSL-encryptie tijdens transfers
    – Opslag van alle bestanden altijd versleuteld op de storage
    – Automatische aanvraag, installatie en verlening van SSL-certificaten
    – Beveiliging met een extra wachtwoord voor elke data-transactie
    – Er is een audit log beschikbaar van elke actie

  • Gepersonaliseerde interface

    – Pas de gebruikersinterface voor verzender en ontvanger aan met uw eigen bedrijfsnaam en logo
    – Elke gebruiker kan een eigen signature instellen

  • Flexibiliteit per bericht

    Geef per bericht aan of een wachtwoord gewenst is en wanneer de bestanden verwijderd moeten worden.

  • Gemak voor de verzender

    Stuur een kopie naar uzelf. Zo houdt u overzicht in wat u verstuurd heeft, aan wie en wanneer.

  • Niet alleen veilig versturen, maar ook ontvangen

    Met de request-optie laat u veilig bestanden naar uzelf versturen.

Snel aan de slag met Filer 3.0

Starten met de Filer? U ontvangt de software als virtual appliance die u eenvoudig in uw eigen infrastructuur activeert. Wij activeren de Filer in uw portal en u kunt direct aan de slag. Pas de gebruikersinterface aan met naam en logo van uw organisatie en veilig verzenden kan beginnen!

Filer 3.0 heeft nog meer voordelen:

Disrupting IT-security again

Service en cloud zijn de rode draad in de revolutionaire vernieuwingen die Palo Alto Networks heeft aangekondigd. Met als grootste innovatie het Application Framework. We moeten nog even geduld hebben tot de daadwerkelijke productlancering, maar hier alvast een tipje van de sluier.

Disruptie

Start-ups die security applicaties ontwikkelen schieten als paddenstoelen uit de grond. En er wordt flink in geïnvesteerd. De reactie van Palo Alto Networks op deze ontwikkeling was bijzonder, om niet te zeggen onverwacht: ze stellen hun framework open voor third parties. Waarom? In de strijd tegen cybercrime kun je niet als enige de beste zijn. Als er 80 nieuwe start-ups zijn, zullen ze niet alle 80 succesvol zijn. En kun je als organisatie nog een goede keuze maken met zoveel aanbod en de kosten binnen de perken houden?

Het Application Framework biedt security niet meer aan als opeenstapeling van technologieën. Het wordt een plek waar klanten security als service afnemen (niet te verwarren met Software as a Service, oftewel SaaS). Gewoon zelf kiezen welke applicaties je wanneer nodig hebt. Nu kiezen voor threat intelligence en IOT-security en volgende maand een automation app erbij. Bevalt die niet, dan zet je hem weer uit. Een soort cafetariamodel, al klinkt dat misschien wat oneerbiedig.

Wat vindt u straks allemaal in het Application Framework

  1. Uiteraard de cloud-based applicaties van Palo Alto Networks zelf. Denk bijvoorbeeld aan AutoFocus, waarmee security teams sneller kunnen reageren op kritieke aanvallen door contextuele threat intelligence. Of het recent toegevoegde LightCyber, dat gebruik maakt van kunstmatige intelligentie voor gedragsanalyse.
  2. Tweede pijler in het framework zijn de security-applicaties van meer dan dertig third party partners. Hieronder bevindt zich ook onze partner SafeBreach, het geautomatiseerde testplatform dat 24/7 hacks uitvoert in een veilige omgeving.
  3. In de laatste pijler kunnen klanten zelf applicaties toevoegen. Ontwikkelt iemand een interessante security app, dan kan die na goedkeuring worden aangeboden in het Application Framework.

Kortom, Palo Alto Networks is een van de eerste partijen die zijn framework openstelt voor derden. En daar worden we allemaal beter van. Meer keuze voor de klant en meer data om te delen. Niet meer allerlei technologieën on premise implementeren en continu updaten. Je haalt alles uit Palo Alto Networks’ (veilige) cloud

Wat is er nog meer nieuw

Data-logging: de onmisbare basis

De nieuwe Cloud-based logging service voorziet het Application Network van een sterke basis. Om je als organisatie te wapenen tegen aanvallen en dreigingen, heb je namelijk inzicht nodig in wie en wat je aanvalt. En daarvoor is analyse nodig van grote hoeveelheden data. Maar meer data loggen betekent meer opslagruimte, dus meer hardware. Palo Alto Networks lost dit op met Cloud-based logging service.

De voordelen:

  • Analyse en inzicht in grote hoeveelheden data
  • Geen beperking meer door hardware en beschikbare capaciteit
  • Makkelijker inspelen op veranderende behoeften binnen de organisatie

Overal dezelfde security

Iedereen dezelfde beveiliging; op kantoor, onderweg, op een extern netwerk. Klinkt dat niet als muziek in de oren? Geen operationele barrières meer om externe netwerken en mobiele gebruikers tegen cyberaanvallen te beschermen. Eén consistent beveiligingsbeleid voor uw hele organisatie.

De nieuwe Global Protect cloud service maakt het mogelijk. Door de cloud-gebaseerde beveiligingsinfrastructuur wordt de hardware vervangen door software. Het wordt centraal beheerd in Panorama voor consistentie en optimaal gebruikersgemak. Panorama is het security managementsysteem van Palo Alto Networks. Eén centrale plek om al uw firewall verkeer te bekijken, firewallconfiguraties en policies te beheren en rapporten te genereren.

Policy Automation: de ervaringen van een security architect

14 Juni – Palo Alto Networks Ignite 2017, de grootste Cybersecurity Conference ter wereld. Bezocht door meer dan 4.000 bezoekers en podium voor tientallen sprekers. Zo ook onze eigen Security Architect Johan Bogema. Zijn presentatie Policy Automation as a Service, a deep dive werd enthousiast ontvangen door zijn toehoorders (inclusief Zero Trust goeroe John Kindervag).

Waarom firewall policies automatiseren?

Tijdens het automatiseren van een private cloud voor een internationale financiële instelling kwamen we bij ON2IT voor een onverwachte uitdaging te staan. Geen technisch detail, maar meer een menselijke factor. Tegenwoordig is elke security engineer verantwoordelijk voor de firewall policy. Maar die persoon heeft geen kennis van de applicatie, noch van de data. Is het daarom niet logischer om de eigenaar van de applicatie verantwoordelijk te maken voor de firewall policy?

En daar ontstaat meteen de volgende uitdaging: een security engineer kan een policy uitvoeren, hij spreekt immers ‘firewall taal’. Een DevOps die de applicatie ontwikkelt spreekt ‘gewone mensentaal’. Hoe gaat hij in ‘gewone mensentaal’ een firewall rule implementeren? Niet. Daarom hebben we firewall automation bedacht. Hiermee maken we als het ware de vertaling van ‘gewone mensentaal’ naar ‘firewall taal’. Gewoon in de eigen portal van de klant. Op deze manier kunnen regels veel sneller aangemaakt worden zonder de security principes en vereisten los te laten. Om maar eens wat te noemen, de delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule.

Klinkt eenvoudig?

“Dat klinkt allemaal wel heel eenvoudig” horen we u denken. Dat klopt, althans gedeeltelijk. Firewall automation maakt het beveiligen van applicaties een stuk eenvoudiger. De implementatie is dat uiteraard niet. Johan vertelt uit eigen ervaring welke uitdagingen hij tegenkomt bij het automatiseren van policies. Waar je aan moet denken als je hiermee aan de slag gaat en wat het uiteindelijk oplevert. Zowel qua gebruikerservaring als in harde cijfers.

“Delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule”

Benieuwd naar Johans complete verhaal? Op 26 september krijgen ook de bezoekers van Bright & Cloudy de kans om zijn presentatie bij te wonen. Inclusief cijfers, (veel) technische details, sheets vol code én Stephen Hawkins.

ON2IT partner SafeBreach uitgeroepen tot ‘Gartner Cool Vendor’

Op 12 juni maakte Gartner bekend dat ze SafeBreach zien als Cool Vendor. Het toonaangevend onderzoeks- en adviesbureau kijkt elk jaar welke bedrijven het digitale kader veranderen. Deze Cool Vendors omschrijven ze als organisaties die een technologie of dienst bieden die:

  • Gebruikers in staat stelt om dingen te doen die ze voorheen niet konden
  • Impact heeft op organisaties (het gaat niet alleen om de techniek ‘an sich’)
  • De afgelopen zes maanden de aandacht van Gartner heeft getrokken

Dit jaar sprong SafeBreach bij Gartner in het oog.

Wat doet SafeBreach

SafeBreach stelt securityteams in staat om hun IT-securitycontroles veilig en geautomatiseerd te valideren. Dat doen ze met behulp van breach en attack simulatietechnologieën. Die technologieën zijn gebaseerd op basis van duizenden werkelijke aanvallen die verzameld worden in het Hacker’s Playbook. In tegenstelling tot pentesten of red teams, valideert SafeBreach continu. Het maakt gebruik van hackmethoden, maar dan zonder de bijbehorende risico’s voor gebruikers, gegevens of systemen. Op deze manier kun je de veiligheidshiaten in het netwerk, de cloud of op de endpoints vinden en mitigeren.

Wat maakt SafeBreach cool?

Het test continu

Volgens de SafeBreach benadering is risk assessment niet een periodieke activiteit, maar zou het continu moeten zijn.  Door geautomatiseerd te testen wordt validatie een continu proces.

Het test de complete attack cyclus

Door cloud, netwerk en endpoint simulators te combineren test SafeBreach de complete attack cyclus, van herkenning tot data-exfiltratie. Het platform correleert en analyseert de resultaten van elk breachscenario. De gebruiker krijgt inzicht in de kill-chain en aanbevelingen om de IT-security te verbeteren.

Het test zonder impact op de bedrijfsvoering

‘Risicobeoordeling en het vinden van beveiligingslekken in productie-omgevingen moet gebeuren zonder impact op de beschikbaarheid van de diensten of de gebruikerservaring. Breach en attack simulatietechnologieën kunnen leiders helpen zich voor te bereiden op aanslagen op kritische assets.’ [1], aldus Gartner. SafeBreach simuleert aanvallen in een veilige omgeving en heeft daardoor geen impact op beschikbaarheid en gebruikers.

Als partner van SafeBreach kan ON2IT de conclusie van Gartner alleen maar onderschrijven. Ook wij zijn van mening dat de toegevoegde waarde van SafeBreach met name ligt bij de automatisering en continuïteit van risk assessment.

[1] Gartner – Cool Vendors in Monitoring and Management of Threats to Applications and Data, 2017

,

Petya/Goldeneye ransomware uitbraak

In diverse nationale en internationale media wordt momenteel wederom gewaarschuwd voor een grootschalige ransomware aanval. Het betreft een variant van de Petya/GoldenEye/Mischa ransomware. Deze ransomware gebruikt dezelfde exploit als WannaCry: de zogenaamde EternalBlue exploit. Dit is een kwetsbaarheid in Microsoft Windows die in maart dit jaar bekend is geworden.

Reeds voor de uitbraak van WannaCry blokkeerde Palo Alto Networks deze exploit al [1]. Evengoed blijft het ON2IT SOC waakzaam. Indien het ON2IT SOC uw security apparatuur beheert, kan het zijn dat wij aanwijzingen hebben of binnenkort krijgen dat u getroffen bent door deze malware of dat aanvullende maatregelen noodzakelijk zijn. Is dat het geval, dan bent of wordt u uiteraard direct persoonlijk door ons benaderd, zoals u dat van ons gewend bent in dergelijke situaties.

Ondanks deze maatregelen adviseren wij u om met spoed eventueel kwetsbare systemen zo snel mogelijk van de MS17-010 patch te voorzien, en aanvullend gebruikers te informeren over de gevaren van ransomware. Zie ook [1] en [2] voor meer informatie.
Onlangs was er een zeer vergelijkbare aanval in het nieuws: WannaCry. Zover we nu kunnen overzien, zijn de maatregelen tegen Petya exact dezelfde als bij WannaCry. Voor een uitgebreide analyse én methoden om u tegen deze vorm van ransomware te wapenen, hebben wij u onlangs een publicatie gestuurd in een blogpost. Zie deze blogpost door onze CTO, Lieuwe Jan Koning. [4]

Daarnaast is het in het algemeen verstandig gebruikers periodiek erop te attenderen e-mail vanuit niet vertrouwde bronnen niet te openen.

Vanzelfsprekend houden wij deze ontwikkelingen nauwlettend in de gaten en informeren u waar nodig verder.

Bronnen:
[1] https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware
[2] https://www.ncsc.nl/actueel/nieuwsberichten/wereldwijd-nieuwe-ransomwarebesmetting.html
[3] Palo Alto Networks Threat Identifiers: 32494, 32393, 32422, 32424, 32427, 32716
[4] https://on2it.net/wannacry-ransomware-een-slimme-organisatie-is-voorbereid/

Mocht u vragen hebben naar aanleiding van deze aanval of andere aanvallen, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://portal.on2it.net.

Secure cloud met Zero Trust – deel 2: SaaS

In deel 1 van deze serie hebben we het beveiligen van een private cloud uitgebreid besproken. Deze keer gaan we het hebben over Software as a Service (SaaS). En vergeleken met SaaS is de beveiliging van de private cloud kinderspel.

Bij een private cloud zou je kunnen zeggen dat je alles in eigen hand hebt. Bij SaaS is eigenlijk het tegenovergestelde het geval. Vergelijk het met het bakken van een pizza. In het eerste geval bereidt u de pizza helemaal zelf. U maakt zelf het deeg en bakt de pizza in uw eigen oven. U weet dus precies wat er in de pizza zit en dat u de enige bent die erbij kan.

In het andere geval gaat u met het pak meel naar de pizzabakker en vraagt hem een pizza te bakken. Natuurlijk doet hij dat, maar u mag er niet bij blijven als hij aan het werk is. Weet u dan nog wat er precies in zit? Wie er allemaal bij kunnen, er iets in kunnen stoppen of wat van meenemen? Zo werkt het ook met een SaaS-applicatie. Je geeft alles uit handen. Het netwerk, besturing, software én je data. Maar je blijft wel verantwoordelijk voor die data, terwijl je voor de beveiliging daarvan afhankelijk bent van je leverancier. Geen prettig idee als je bedenkt wat de gevolgen van onvoldoende beveiliging zijn:

  • Misbruik of diefstal van data
  • Inbreuk op de vertrouwelijkheid van data
  • Verspreiding van malware
  • Compliance risico’s

Kortom: geen of beperkte controle, maar wel verantwoordelijkheid en mogelijk nadelige gevolgen. Vertrouw daarom niet zomaar op de veiligheidsmaatregelen van de SaaS-leverancier. Maar wat kun je daaraan doen?

SaaS-beveiliging: hoe pak je dat aan?

1. Zorg voor inzicht

We roepen het te pas en te onpas, maar inzicht is altijd de eerste stap naar een goede beveiliging. Je kunt iets pas controleren en beveiligen als je weet wat er gebeurt. Het SaaS Risk Assessment Report biedt hier uitkomst. Dit rapport laat onder andere zien welke SaaS-applicaties er worden gebruikt en door wie en hoeveel data er naar die applicaties gestuurd wordt.

2. Bepaal wat wel en niet mag

Als u weet welke applicaties er gebruikt worden, kunt u onderscheid maken tussen applicaties die wel en niet toegestaan zijn. Een veelgebruikte indeling is:

Unsanctioned apps

Unsanctioned apps zijn het meest risicovol. Deze komen vaak voort vanuit shadow-IT. Zakelijk gebruik van deze applicaties is zeer onwenselijk. Via firewall policies kun deze apps worden uitgesloten van gebruik.

Tolerated apps

Tolerated apps zijn apps die je liever ook niet zou gebruiken, maar vaak zijn ze zo ingeburgerd in de organisatie dat verbieden geen optie meer is.

Sanctioned apps

Over de categorie sanctioned heb je de meeste controle. Je kiest als organisatie een applicatie voor een bepaald doel en stelt daar ook voorwaarden aan.

3. Classificeer je data

Bepaal wat wel en niet mag binnen de toegestane applicatie. Dit kan onder meer door data te classificeren. Leg in uw beleid bijvoorbeeld vast dat een juridisch document wel gedeeld mag worden in OneDrive zakelijk, maar niet in OneDrive persoonlijk.
Als deze functionaliteit niet in de applicatie zelf zit, biedt Aperture van Palo Alto Networks uitkomst. Aperture classificeert data automatisch op basis van de content (Engels en Duits zijn inmiddels beschikbaar). Daarnaast blokkeert het bestanden, ook als ze al gedeeld zijn, of stuurt het naar WildFire (sandbox) als er sprake is van een unknown threat.

Waar moet je nog meer rekening mee houden

Veel problemen kunnen ook voorkomen door een goede voorbereiding. Let daarom bij het kiezen van een SaaS-leverancier op de volgende punten:

Eerst beleid, daarna cloud

Zoals we al zeiden blijf je zelf verantwoordelijk voor je data. Reduceer de risico’s en de impact van cyberdreigingen daarom tot het minimum. Hoe? Op basis van Zero Trust. In ons vorige artikel legden we uit hoe je risico en impact kunt beperken door te segmenteren. Segmentatie zorgt ervoor dat niet alle verbindingen zomaar open staan (risico beperken). En als er onverhoopt toch iets misgaat, dan blijft de schade beperkt tot dat ene segment (impact beperken).

Een SaaS-applicatie is ook (onderdeel van) zo’n segment. En bij een segment hoort een specifiek beleid. Op basis van dat beleid kunt u bepalen welke functionaliteiten vereist zijn en toetsen welke cloud provider daaraan voldoet.

Voorkom vervelende gevolgen
Wie een leverancier kiest zonder eerst de functionaliteiten te checken, kan achteraf in een lastige situatie terechtkomen. Stel dat het beleid niet uitvoerbaar is, wat dan?

  1. Het beleid wordt aangepast. In dit geval wordt beleid ondergeschikt aan functionaliteit en doe je in feite concessies aan de veiligheid. En als het beleid voortvloeit uit een wettelijke eis, dan kun je je serieus afvragen of een beleidsaanpassing überhaupt een optie is.
  2. Met de leverancier om tafel om de functionaliteit af te stemmen op het beleid. (En hoogstwaarschijnlijk valt dit niet onder de noemer ‘service’)
  3. Opzeggen en op zoek naar een andere leverancier. Ook dat is geen aantrekkelijke en voordelige optie.

Het kostenplaatje

Voor veel organisaties is het kostenplaatje een van de belangrijkste redenen om SaaS-applicaties te gebruiken. Heel begrijpelijk, want lage aanschafkosten zijn natuurlijk gemakkelijker te verantwoorden dan hoge. Alleen blijft het hier vaak niet bij. SaaS-providers halen hun inkomsten uit de abonnementskosten. En die kunnen nogal eens hoog uitvallen. Veel organisaties worden gelokt met een laag starttarief, wat na de eerste abonnementsperiode flink wordt verhoogd.

 Alles op één plek: is dat safe?

Bij een SaaS-applicatie heeft u alles op één plek. Klinkt lekker overzichtelijk en dat is het ook, maar er kleeft ook een risico aan. Als er iets mis gaat, gaat het ook goed mis. Alles is tenslotte bij dezelfde provider ondergebracht. Bij downtime ligt de complete applicatie plat en wordt de data onbereikbaar. Het is dus niet zo’n gek idee om data bijvoorbeeld over meerdere providers te verdelen. Werkt u met data met een hoge BIV-rating, bewaar ze dan op verschillende plekken (liefst ook on premise) én zorg dat u de controle behoudt. Het is goed om over een multi-cloud strategie na te denken, maar deze levert ook extra risico’s op. Als data op twee plaatsen staan, zijn er ook twee plaatsen waar een aanval op de data kan plaatsvinden.

Zorg dat je een exit-strategie hebt

“Weggaan bij onze cloudprovider. Waarom zouden we dat willen?”
Het klinkt misschien als een onwaarschijnlijk scenario, maar er kan een moment komen waarop u afscheid wilt nemen van uw cloudprovider. Wanneer?

  • De cloudprovider past de voorwaarden aan, waardoor uw beleid niet meer overeenkomt met de functionaliteit.
  • De cloudprovider verhoogt -na een periode met een aantrekkelijk welkomsttarief- de maandelijke kosten aanzienlijk.
  • Een wetswijziging verplicht u om het securitybeleid aan te scherpen en de cloudprovider kan daar niet aan voldoen.

Kortom, genoeg aannemelijke redenen om een plan B klaar te hebben.

Kun je op een veilige manier gebruik maken van SaaS-applicaties?

Bezint eer ge begint, daar komt het kortgezegd op neer. SaaS-applicaties bieden talloze voordelen, maar verlies daardoor de keerzijde niet uit het oog. U blijft tenslotte zelf verantwoordelijk voor uw data.

  • Stel beleid vast, voordat u een cloudprovider kiest
  • Houd rekening met redundantie en back-up (zeker in het geval van gevoelige data)
  • Zorg voor een exit-strategie

Inzicht krijgen in wat er binnen uw organisatie al gebeurt op SaaS-gebied? Vraag een SaaS Risk Assessment Report aan. De eerste stap richting veilig gebruik van Saas-applicaties.

Aanvragen boek ‘Navigating the Digital Age’

CEO’s een risico? Lees verder in het boek `Navigating the Digital Age’. Marcel van Eemeren vertelt hierin over de cyberrisico’s die u als CEO loopt.

In het hoofdstuk ‘The CEO is a serious source of cyber risk. How to adopt a Zero Trust Security.’ vertelt Marcel hoe je je als CEO kunt beschermen tegen cyberrisico’s.

DigiD: minder complexiteit, betere IT-security

De overheid laat het faciliteren van online dienstverlening in publiek-private samenwerkingsconstructies gedeeltelijk vrij. Hierdoor ontstaat keuzevrijheid en marktwerking, wat een bewuste keuze van de overheid is. In gesprekken met relaties uit de gezondheidszorg merk ik dat dit in praktijk echter voor meer complexiteit zorgt. En dat heeft gevolgen voor de IT-security. Dit levert de vraag op: is keuzevrijheid in het belang van de burger?

Wie spelen een rol?

Binnen het BSN-domein onderkennen we meerdere partijen en belanghebbenden: de rijksoverheid, de burger en de zorgverleners en overheidsinstanties. De openheid ten opzichte van de burger levert binnen het BSN-domein vaak een spanningsveld op: hoe deel je die gegevens met de burger en niet minder belangrijk, hoe bescherm je ze?

De rol van de overheid

De overheid heeft een veelal initiërende en bepalende mening die zich op meerdere vlakken doet gelden. De overheid wil immers dat we steeds vaker zaken online (kunnen) regelen.

De rol van de zorgverleners en lagere overheden

Aan het toevoegen van keuzevrijheid voor de burger (lees: meerdere inlogmethodes) kleven aan de kant van overheden en zorginstellingen ook bezwaren. Meer compliance en normering en een extra securitylast. Per slot van rekening moet men meerdere erkende identificatie- en authenticatiestelsels beheren, monitoren en certificeren. Diensten zoals iDIN en Idensys vormen een “broker-laag” om de keuzevrijheid te faciliteren. Het ontslaat de organisatie er niet van om compliance te toetsen en aansluiting met de eigen interne systemen te borgen. Dit levert een ongewenste beheerlast op voor IT-afdelingen. Er wordt namelijk complexiteit toegevoegd. En het verleden heeft geleerd dat complexiteit vaak de voedingsbodem is voor security incidenten.

De rol van de burger

De burger is uiteindelijk de spil in het BSN-domein. En die heeft een relatief eenvoudige wens: inzicht in zijn of haar persoonlijke gegevens of patiëntendossier.

Is keuzevrijheid gewenst?

Wil een zorgverlener of overheidsinstantie meerdere keuzes? Daar kun je vraagtekens bij stellen. De overheid kiest zelf als login methode DigiD. Een keuze die breed gedragen wordt in onder andere de zorg. Aan DigiD is een normenkader verbonden waaraan toetsing door Logius plaatsvindt. Logius (dienst digitale overheid van het ministerie van BZK) laat de betrouwbaarheid van systemen regelmatig testen door onafhankelijke, professionele partijen. Daarnaast gaat Logius zelf continu de naleving van technische- en organisatorische maatregelen en de betrouwbaarheid van systemen na door middel van interne controles. Op deze manier zorgt de overheid ervoor dat de betrouwbaarheid van DigiD zo hoog mogelijk is en blijft.

Het gevolg van meerdere inlogmethodes

Het Logius normenkader en de DigiD zijn voor veel organisaties op dit moment al reden om de toetsing en compliance als dienst af te nemen en externe security partijen in te schakelen. Bij meer keuzevrijheid zal de vlucht naar beheerde diensten alleen maar toenemen om security incidenten te voorkomen.

Voorkomen is beter dan genezen

Ik pleit er dan ook voor om een opeenstapeling aan identificatie- en authenticatiestelsels te voorkomen. Zelfs wanneer deze gefaciliteerd worden via een secure broker-laag. Een systeem als DigiD heeft grote voordelen:

  • Gemak voor de gebruiker: iedere burger is bekend met DigiD
  • Minder effort nodig: Logius controleert continu de betrouwbaarheid van DigiD
  • Kostenefficiënt: het is een bekend en beproefd systeem en dus eenvoudiger te implementeren

Eenvoud is doorgaans nog steeds de beste methode om ongewenste beheerlast te voorkomen en security beheersbaar te maken. Met DigiD is deze methode er al.

Kortom, soms is keuzevrijheid niet nodig om een goede keuze te maken.

Adrian Ariese, Salesmanager Healthcare bij ON2IT

Komt een man bij de dokter

Stel, er staat een man voor uw balie met een bijzonder verzoek: hij wil zijn dossier laten wissen. Kan dat?

Als we strikt naar de regels kijken kan dat inderdaad. In de Global Data Protection Regulation (GDPR) is namelijk ‘het recht om vergeten te worden’ opgenomen. Klinkt misschien romantisch, maar of het verstandig is daar kun je vraagtekens bij zetten. Voordat u enthousiast gaat wissen, kunt u beter eerst onderzoeken of zo’n verzoek in het belang van de patiënt is. Met andere woorden, is het verzoek proportioneel. Is het antwoord daarop nee? Vraagt u zich dan serieus af of u aan dat verzoek wilt voldoen.

Iemand kan namelijk verschillende redenen hebben om zo’n verzoek te doen. Stel dat je medisch verleden je belemmert in je carrière. Dan heb je een legitieme reden om je van je medische historie te ontdoen. Kampt een patiënt met ernstige psychische problemen en kan hij de gevolgen van zijn verzoek niet overzien, dan is het een ander verhaal. Op deze ethische kwestie gaan we hier niet verder in, dat is tenslotte niet onze business. Voor hier gaan we er even vanuit dat de patiënt in kwestie er goed over nagedacht heeft en de gevolgen van zijn verzoek overziet.

Maar hoe nu verder?

Op het eerste gezicht klinkt het als een eenvoudig verzoek. Je zoekt het dossier op en je vernietigt het. Maar dat blijkt in de praktijk makkelijker gezegd dan gedaan. Om het dossier volledig te kunnen wissen, heb je nogal wat inzicht nodig:

Welke gegevens hebben we?

We zijn vaak geneigd om zoveel mogelijk gegevens te verzamelen en te bewaren. Zeker in de gezondheidszorg kan tenslotte elk klein detail van belang zijn. Maar gegevens over gezondheid zijn ‘speciale data’ en daar gelden volgens de Autoriteit Persoonsgegevens (AP) de strengste regels voor. Al voordat je deze gegevens bewaart, moet je jezelf de vraag stellen: hebben we deze gegevens wel nodig en hoe gaan we ze beschermen?

Waar staan de gegevens?

Deze vraag is misschien nog wel lastiger te beantwoorden dan de eerste. Want waar begin je? Veel dossiers zijn ooit begonnen op papier. Worden die centraal bewaard of ligt er ergens in een bureaulade misschien ook nog wat? En dan de digitalisering. In een ideale situatie is er één elektronisch patiëntendossier. Maar hoe zit het met gegevens die in een e-mail hebben gestaan? Of die via een Dropbox of OneDrive zijn gedeeld? Daarnaast worden steeds meer dossier gedeeld met andere zorginstellingen. Het RIAGG deelt gegevens met een praktijk voor psychologie, het ene ziekenhuis deelt een dossier met het andere voor een second opinion. Heeft u er nog zicht op waar uw dossiers zich bevinden?

Wie zien de gegevens in?

De laatste vraag sluit aan bij de tweede vraag. Zolang je niet weet waar de gegevens staan, is het onmogelijk om te bepalen wie er inzage in hebben.

Wilt u in staat zijn om een dossier volledig te wissen, dan moet u antwoord kunnen geven op de eerste twee vragen: welke gegevens heeft u en waar staan ze. En die antwoorden krijgt u alleen als u continu en consequent vastlegt waar welke gegevens staan. Onbegonnen werk? Wat ons betreft niet. Data-overzicht is namelijk niet alleen nodig bij het verwijderen van dossiers. Het is volgens ons de basis om data goed te beschermen.

Efficiënt inzicht creëren

Om op een slimme manier inzicht te creëren en te behouden hebben wij het ON2IT Security Framework (ONSF) ontwikkeld. Dit framework laat zien dat data loggen geen onbegonnen werk is. Het geeft u inzicht, zodat u weet welke data u heeft en waar ze zich bevinden. Het ONSF is een overzichtelijk vier-stappenplan om van beleid tot operationeel niveau te komen.

De vier onderdelen van het ON2IT Security Framework:

1. Programma

In de eerste fase stellen we het beleid vast op strategisch niveau. We beginnen met een nulmeting en bepalen onder andere het maturity-niveau van uw organisatie. We inventariseren de risico’s waarbij dataclassificatie een belangrijke rol speelt. Welke data gaan er in de organisatie om? Hoe belangrijk zijn ze? Welke risico’s loopt u?

2. Bestuur

Tijdens de tweede fase stellen we het tactisch beleid vast en vertalen dat naar standaarden, richtlijnen en procedures. Met andere woorden: we bepalen de principles en policies van uw organisatie en het bijbehorende auditproces. 

3. Architectuur

In de architectuurfase ontwerpen we de beveiligingsarchitectuur en beleidsmatige beveiligingsprocedures. We maken de koppeling tussen het vastgestelde beleid en de technische uitvoering ervan. Een specifieke procedure in deze case is bijvoorbeeld het terugzetten van back-ups. Als (een deel van) uw systeem vannacht crasht, wordt er morgen een back-up geplaatst. En daar staan wellicht persoonsgegevens in die in de tussentijd gewist waren. Een procedure voor zo’n geval is dus essentieel.

4. Operatie

In de laatste stap voeren we de vastgestelde beveiligingsprocessen in. Dit doen we in het Security Orchestration & Automation Platform in. Hiermee heeft u één centraal punt voor monitoring, detectie, response en rapportage. De basis van uw IT-securitybeleid.

Patiëntendossiers volledig wissen? Dan is weten waar de betreffende data staan de eerste stap. Of de gegevens ook daadwerkelijk gewist kunnen worden, blijft de vraag.

WannaCry Ransomware: een slimme organisatie is voorbereid

Er is sinds vrijdag veel media-aandacht voor cybersecurity. En niet voor niets: een autofabriek die noodgedwongen de productie stillegt, een telecom multinational die zijn medewerkers oproept alle computerapparatuur uit te zetten en voorlopig niet meer te gebruiken, parkeergarages die niet meer functioneren. En misschien wel het ergst van allemaal: een ziekenhuis waar zich levensbedreigende situaties voordoen, omdat cruciale computersystemen platliggen. Bij het grote publiek rijzen terecht vragen: hoe kan het zijn dat we anno 2017 zo kwetsbaar zijn? Wiens schuld is dit? Krijgt cybersecurity wel voldoende aandacht en financiële middelen [1]? Of is het tijd voor een Cyber Security Delta Plan?

Wat is er gebeurd?

In maart dit jaar wordt bekend dat alle computerapparatuur die op het Windows operating system draait een kritisch lek [2] bevat: de zogenaamde Eternal Blue-kwetsbaarheid [3]. Dit lek is door Microsoft naar buiten gebracht en “opgelost” door het uitbrengen van een patch [4]. Men vond dit lek dermate ernstig dat zelfs voor Windows XP een patch is uitgebracht. Het was voor het eerst sinds 2015 dat dit stokoude, uitgefaseerde operating system aandacht kreeg.

Vervolgens zijn de details publiek gemaakt door The Shadow Brokers. Een hackersgroep waarvan algemeen wordt aangenomen dat ze putten uit de kennis die de NSA heeft ontwikkeld. Kortom: een kwetsbaarheid die het leger van de USA gebruikt om haar digitale leger in positie te brengen (Cyber Warfare). Cybercriminelen gaan aan de slag. Nu het moeilijke werk door de NSA is gedaan, proberen ze voordat die patch overal geïnstalleerd is een virus te schrijven en te verspreiden.

Op 12 mei hebben cybercriminelen inderdaad de malware WannaCry (ook WanaCryptOr genoemd) ontwikkeld en verspreid, die gebruik maakt van dit lek: gijzelsoftware, oftewel ransomware, die binnenkomt via email. Het openen van een PDF-bijlage activeert de malware. Deze versleutelt documenten, op praktisch onkraakbare wijze, zodat ze alleen nog met een wachtwoord te openen zijn. Een slachtoffer kan dat wachtwoord kopen van de cybercrimineel. Het bedrag is relatief schappelijk: meestal tussen de 300 en 600 dollar. Ook cybercriminelen snappen prijselasticiteit en maximaliseren zo hun winst.

Is zo’n aanval eenvoudig uit te voeren?

Ja, helaas wel. Op kleine schaal is het uitbuiten van een dergelijke kwetsbaarheid gemakkelijk te leren voor een gemiddeld opgeleide IT-techneut. Bij ON2IT organiseren we regelmatig workshops waarin een IT-er in één middag bewust wordt van de eenvoud van een hack. Het op grote schaal toepassen van deze technieken is wel ingewikkelder, maar voor cybercriminelen kinderspel: die hebben de taken goed verdeeld. Er is een weelderige ondergrondse handel in stukjes van techniek die nodig zijn om succesvol aan te vallen.

Had dit voorkomen kunnen worden?

Ja. Met name de schaal waarop organisaties nu last hebben van deze aanval is onnodig. Het is bekend waar de kwetsbaarheden zitten in onze systemen. Zo is Windows (SMB/RPC) regelmatig kwetsbaar. Preventieve maatregelen tegen dit soort aanvallen zijn beschikbaar. In het geval van WannaCry zijn maatregelen als een juist gepositioneerde en geconfigureerde firewall met IPS, een mailfiltersysteem dat zero-days tegenhoudt en een moderne anti-malware oplossing op windows werkstations en -servers afdoende om deze aanval te weerstaan.

Zelfs voordat Microsoft het lek bekend maakte, was deze bescherming al aanwezig. Dit verklaart ook waarom ons SOC het afgelopen weekend weliswaar extra controles heeft uitgevoerd, maar verder eigenlijk geen ander werk heeft verricht dan normaal. Aanvallen als deze zijn aan de orde van de dag. Het verschil is dat dit een uiterst breed opgezette aanval is en daardoor de pers haalt. Bij organisaties waar de beveiliging op orde is, is geen reden tot paniek, wel tot waakzaamheid.

Vaak wordt gezegd dat een degelijk patchmanagementproces dit probleem moet oplossen: installeer updates van software doorlopend zo snel mogelijk. Als cybersecurity industrie hebben we deze strategie van het oplossen van lekken min of meer opgegeven, het is niet haalbaar. Je loopt altijd achter de feiten aan. Frequent updates installeren brengt veel werk en beschikbaarheidsvraagstukken met zich mee. En soms kun je een patch eenvoudigweg niet installeren zonder andere zaken defect te maken. Wat is bijvoorbeeld het gevolg van het patchen van een MRI-scanner? Verder weten we dat lang niet alle ontdekte lekken gedicht worden. Maar nog veel belangrijker: lekken zijn pas te dichten als het lek ontdekt is. Veel succesvolle aanvallen gebruiken zogenaamde Zero Day lekken: lekken die pas ontdekt worden op het moment dat er een succesvolle aanval plaatsvindt.

Dat wil niet zeggen dat patchen geen zin heeft. Maar in de praktijk blijkt dit slechts een deel van de oplossing. Lekken kun je ook oplossen door een andere maatregel te nemen die ervoor zorgt dat het lek geen kwaad kan.

Neem de juiste maatregelen op basis van Zero Trust

De juiste cybersecurity-maatregelen treffen is geen sinecure. Maar wat zijn die maatregelen dan? Om hier een antwoord op te geven gebruiken we een security framework [5]: een structurele manier om eisen en toepasselijke wetgeving, in de specifieke omstandigheden van een organisatie, om te zetten naar beleid. Vervolgens vertalen we beleid naar architectuur, architectuur naar maatregelen en maatregelen naar compliance. Belangrijk fundament hieronder is de Zero Trust-strategie. Deze is bij Forrester Research ontwikkeld door John Kindervag. De redenering bij Zero Trust is altijd dat je in beginsel niets of niemand vertrouwt en iemand alleen toegang verschaft wanneer dat nodig is. Default deny. Twee systemen die nooit hoeven te communiceren, kunnen ook niet communiceren. Verder kiezen we ervoor dat we zo veel mogelijk controleren wat er gebeurt. Bijvoorbeeld dat het opslaan van een bestand (wat toegestaan is) ook daadwerkelijk het opslaan van een bestand betreft, en niet het verspreiden van malware. Dat een email ook echt een email is en niet een exploit. Het is daarbij niet een gebrek aan vertrouwen in medewerkers of klanten, maar wel gebrek aan vertrouwen in de apparaten die ze op het bedrijfsnetwerk brengen, de websites die ze bezoeken, de email die ze openen, enzovoort.

Volgens dit principe krijgen gebruikers dus alleen toegang tot gegevens die ze voor hun dagelijkse werk nodig hebben. Door rechten in te stellen binnen applicaties, door services in systemen uit te zetten die niet nodig zijn (hardening) en vooral door al op infra-niveau te zorgen dat toegang alleen mogelijk is indien nodig: het opdelen van het netwerk in segmenten met een firewall ertussen. Als zich dan toch een infectie voordoet, is de impact ervan beperkt tot één zo’n segment. En uiteraard blokkeren en rapporteren we alles waarvan we weten dat het niet in orde is: virussen, netwerkaanvallen, verdacht gedrag, etc.

In dit filmpje wordt Zero Trust verder uitgelegd. [6]

Need-to-know

  • Geen open verbinding tussen verschillende systemen

    In de praktijk komen wij te vaak een open verbinding tegen tussen verschillende systemen. Een succesvolle inbraak op een relatief onbelangrijk systeem heeft daardoor direct enorme gevolgen. Denk maar aan een intern helpdesksysteem wat in hetzelfde netwerk is geïnstalleerd als een systeem met patiëntgegevens of financiële data. En dat zonder firewall die alle communicatie tussen deze systemen simpelweg verbiedt, of op zijn minst controleert. Het bekendste voorbeeld hiervan is de hack bij Target in de VS, al in 2013 [6]. Hier stond een beheerserver voor een koelsysteem in hetzelfde datacenter als de creditcardgegevens, zonder firewall ertussen. Geen segmentatie. Een inbraak op het koelsysteem via een externe beheerpartij, zorgde voor een enorme schade doordat cybercriminelen zich eenvoudig in het datacentrum konden verplaatsen. Dit resulteerde in enorme verliezen. En voor de eerste keer in de geschiedenis is een CEO ontslagen vanwege een datalek.

  • Beperk onnodige gebruikerstoegang

    Regelmatig zien we dat historische gegevens op fileservers toch voor veel personen beschikbaar zijn. Zoals oude projectdata waar de meeste mensen voor hun dagelijkse werk niet (meer) bij hoeven te kunnen. Of gegevens van één afdeling die door meerdere afdelingen geopend kunnen worden. Ook dit vergroot de impact wanneer een enkel systeem onder controle van cybercriminelen is. Maar ook voor hele applicaties komen we dit tegen. Bijvoorbeeld een financieel systeem dat alle gebruikers van een organisatie kunnen openen, terwijl alleen de financiële afdeling daar iets te zoeken heeft. Ook als daadwerkelijk inloggen alleen is voorbehouden aan een kleine groep gebruikers, krijgen gewone gebruikers vaak toch het inlogscherm te zien, waardoor ze kunnen proberen in te loggen. Een cybercrimineel die zichzelf toegang heeft verschaft tot een systeem van een willekeurig iemand, kan dus ook proberen in te loggen. En het omzeilen van het inlogscherm is vaak eenvoudiger dan je zou verwachten.

In het geval van WannaCry is dit allemaal van toepassing: bijna nergens in een datacenter is het nodig dat toegang tot SMB/RPC naar Windows servers openstaat. En al helemaal niet zonder inspectie van dat verkeer. Wanneer een goede segmentatie is doorgevoerd, kan dit virus hooguit op een aantal systemen problemen veroorzaken. Maar niet het hele bedrijf platleggen.

Blijf innoveren

Naast een strategie en een architectuur die tot een robuustere IT-omgeving leiden, zijn er ook veel technologieën die infectie kunnen voorkomen. De eerder benoemde wedloop tussen de cybercriminelen en de cybersecurity industrie zorgt ervoor dat er steeds nieuwe, innoverende technieken ontwikkeld worden. En daarin dient continu geïnvesteerd te worden om de vruchten hiervan te plukken. Maar onbekend maakt onbemind, zeker bij techneuten die eerder voor een andere strategie of oplossing kozen. Zo stuit netwerksegmentatie vaak op bezwaren, bijvoorbeeld vanwege vermeende performance impact of beheersbaarheid. Bij de juiste aanpak zijn dat in de praktijk juist nooit problemen, maar we zien wel dat dit vermoeden de weerbaarheid van organisaties soms in de weg staat.

Daarnaast is de verleiding om cybersecurityprojecten uit te stellen groot. De drukke IT-agenda en beschikbare resources maken dat cybersecurity te vaak een sluitpost is, omdat ze niet direct aanwijsbaar functionaliteit opleveren.

Het is dus van belang een open blik te hebben, goed geïnformeerd te zijn over nieuwe technologieën en deze goed in de praktijk te testen en door te voeren.

Investeer in preventie

Preventie heeft de voorkeur. Altijd. Wanneer we een infectie kunnen stoppen zullen we dat doen. Twee voorbeelden van recente innovaties zijn in het geval van WannaCry van belang:

  1. Moderne endpoint protection

Kort gezegd: de opvolger van antivirus op werkstations en servers is beschikbaar. En deze is wél effectief gebleken tegen elke vorm van ransomware in de afgelopen maanden. Deze innovaties komen, anders dan je wellicht zou verwachten, niet van traditionele antivirusmakers.

We zien gelukkig een grote verschuiving van budgetten voor antivirussoftware naar dit soort oplossingen. [8]

  1. Security Orchestration and Automation

Aanvallers hebben hun wapens geautomatiseerd. Onze verdediging moet ook automatisch zijn. En dat bereiken we met Security Orchestration and Automation. We noemen dit “Rules of Engagement”, naar analogie van wat in militaire kringen gebruikelijk is. Wanneer we ergens een indicator zien van verkeerde zaken, grijpen we geautomatiseerd in. Een voorbeeld: zien we een apparaat op het netwerk dat zich gedraagt als een geïnfecteerd systeem? Dan blokkeren we dat apparaat zodat het niet verder kan communiceren en blokkeren we de accounts van gebruikers die op dat systeem ingelogd zijn. En daarna bellen we u om het probleem definitief op te lossen.

Kortom, neem de juiste maatregelen en wees voorbereid op de toekomst.

[1] https://tweakers.net/nieuws/124659/nederland-heeft-geld-en-coordinatie-nodig-voor-verbeteren-digitale-beveiliging.html
[2] https://www.ncsc.nl/actueel/nieuwsberichten/actief-misbruik-van-shadowbrokers-exploits.html
[3] https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/
[4] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[5] https://on2it.net/richt-uw-it-security-beter-in-met-behulp-van-het-on2it-security-framework/
[6] https://youtu.be/D7dlxg0F4F8?t=159
[7] http://www.computerworld.com/article/2487425/cybercrime-hacking/target-breach-happened-because-of-a-basic-network-segmentation-error.html
[8] https://www.Traps.nu

Secure cloud met Zero Trust – deel 1

We bewegen met z’n allen richting de cloud. Dat veel organisaties hier bedenkingen bij hebben qua veiligheid is begrijpelijk. De cloud roept namelijk ook vragen op: waar staan mijn data, wie kunnen erbij, zijn wij nog wel in staat om onze data te beschermen? Dat je data op basis van Zero Trust kunt beschermen ongeacht waar ze zich bevinden gaan we u de komende maanden laten zien.

In dit eerste deel bespreken we de beveiliging van de private cloud oftewel het virtuele netwerk. In de volgende delen komt ook de public cloud in de vorm van IaaS, PaaS en SaaS aan bod.

Was vroeger alles beter?

Nee, maar wel overzichtelijker. Je had een intern netwerk en je had internet. Dreigingen kwamen van buitenaf en tot op zekere hoogte kon een firewall je daartegen beschermen. Dat men van binnenuit net zoveel te vrezen heeft, is de laatste jaren steeds duidelijker geworden. Berichten over datalekken halen bijna dagelijks het nieuws. Het antwoord hierop is Zero Trust.

De Zero Trust aanpak heeft een aantal uitgangspunten, maar de belangrijkste leidraad is volgens ons:

‘Er mag vooraf geen enkele aanname worden gedaan over de mate waarin je een netwerk of een deel daarvan kunt vertrouwen.’

Dat klinkt mooi in theorie, maar hoe vertaal je dit naar de praktijk? Laten we het netwerk vergelijken met Nederland en de dreiging van water. Nederland ligt laag en we hebben daarom altijd oplossingen moeten zoeken om onze voeten droog te houden. De makkelijkste oplossing is een dijk rond het hele land. Maar wat gebeurt er als er een breuk ontstaat in die dijk? Het water stroomt van het ene naar het andere gebied en in no-time heeft het hele land wateroverlast.

De betere oplossing is segmenteren op basis van assets. In het geval van Nederland kijk je naar belangrijke plaatsen. Rondom elke belangrijke plaats (asset) bepaal je een segment en daar bouw je een dijk omheen. Ontstaat er ergens wateroverlast, dan blijft de schade beperkt tot dat ene segment. Op deze manier creëer je controle en overzicht. En het mooie is: deze methode werkt overal, dus ook bij de beveiliging van een virtueel netwerk.

Virtueel netwerk beschermen? Verdeel en heers

Je begint dus met het bepalen van segmenten. Zo’n segment kan bijvoorbeeld persoonsgegevens bevatten of alle e-mailverkeer. Vervolgens bepaal je de BIV-rating van elk segment (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van die BIV-rating kun je voor elk segment de juiste securitypolicies bepalen en een passende security-oplossing.

Maar ben je dan safe? Tot op zekere hoogte wel, want je hebt je security afgestemd op het type data. Binnen een segment is nog steeds vrij dataverkeer mogelijk. In sommige gevallen kan het daarom verstandig zijn om nog een stap verder te gaan. Bijvoorbeeld als het gaat om high-risk data of als data verspreid is over verschillende locaties of diensten. Denk aan persoonsgegevens van burgers binnen een gemeente. Die staan vaak niet alleen on premise, maar ook in een SaaS-applicatie. De volgende stap in zo’n geval is microsegmentatie. Elk segment deel je op in kleinere segmenten. Je voegt als het ware controlepunten toe aan je segmenten en zo creëer je overzicht en controle over het totale dataverkeer.

  1. Segmenteer op basis van assets
  2. Bepaal de BIV-rating voor elk segment
  3. Verdeel elk segment in kleinere segmenten

De oplossing ligt dus bij microsegmentatie, maar dat vraagt wel een enorme capaciteit van de interne firewalls. Daarnaast is microsegmentatie vaak zeer lastig te implementeren in bestaande omgevingen. Om het verkeer bij de interne firewalls te krijgen moet er namelijk IP-omnummering plaatsvinden. En dan hebben we het nog niet eens over het beheren van alle policies.

En toen was er VMware NSX

Microsegmentatie is volgens ons de optimale uitvoering van de Zero Trust principes binnen een virtueel netwerk. Maar zonder vergaande automatisering is het een zeer kostbare oplossing. Niet alleen qua investering in hardware, maar ook in kennis. Met VMware NSX kun je microsegmentatie invoeren zonder die hoge investering.

Hoe werkt dat? In een virtueel netwerk bevindt zich tussen de VM en de hardware een laag (kernel). In deze laag zet VMware NSX een virtuele firewall in. Zo kun je het verkeer tussen de VM’s controleren voordat het op het fysieke netwerk of bij andere VM’s terecht komt. Dit levert een enorme snelheidswinst op.

  • Minder investering nodig
  • Soepele integratie met bestaande omgevingen (geen IP-omnummering nodig)
  • Snellere detectie van dreigingen

Zijn mijn data veilig nu elke VM een eigen firewall heeft? In ieder geval een stuk veiliger dan voor de toepassing van microsegmentatie. Maar het is niet genoeg. De firewall van VMware NSX is naar onze maatstaven een zeer beperkte firewall. VMware NSX detecteert alleen van welke VM een datapakket afkomstig is en waar het naartoe gaat. Het belangrijkste deel – wat zit er in het datapakket – wordt niet gecontroleerd.

Extra veiligheidslaag van Palo Alto Networks

Om ook die laatste securityslag van volledige contentinspectie te maken is er de Palo Alto Networks VM-series voor NSX. Deze virtuele firewall integreert met VMware NSX en controleert de content van het dataverkeer. Contentinspectie is niet eenvoudig, maar het is een expertise die Palo Alto Networks als beste beheerst.

De belangrijkste voordelen van microsegmentatie met VMware NSX en PAN VM-series voor NSX:

  • Zero Trust is geïntegreerd in uw netwerk
  • Securitypolicies zijn gekoppeld aan uw VM’s
  • Securitypolicies verhuizen mee met de VM
  • Geavanceerde contentinspectie (App-ID, threat detectie en preventie)
  • One single pane of glass (centraal dashboard met alle policies, logging en rapportage)

Vertrouw op Zero Trust

Als je de Zero Trust principes consequent naleeft en controleert of iedereen dat doet, kun je je data overal beschermen. Bij de beveiliging van een virtueel netwerk is microsegmentatie de sleutel.

De Zero Trust principes zijn in 2011 door John Kindervag ontwikkeld. IT-security pioniers als we zijn bij ON2IT hebben we Zero Trust destijds direct omarmd. Als eerste in Nederland pasten we IT-securityoplossingen toe op basis van deze principes. Inmiddels bouwen we complete netwerk- en IT-infrastructuren op basis van Zero Trust.

Meekijken met een hacker

Nieuwsgierig hoe een cyberaanval eruitziet? Kijk dan mee over de schouder van een ‘hacker’. Tijdens een demo endpoint beveiliging maakt u (op een veilige manier) kennis met de wereld van hackers en laten we zien hoe u zich hiertegen kunt beschermen. En heeft u al op de pijnlijke manier kennis gemaakt met een hacker of ransomware? Kom dan zeker kijken hoe u dit in de toekomst voorkomt.

Meekijken met een ‘hacker’

Aan de hand van een live-hack ‘die iedereen die zich er een paar uurtjes in verdiept zelf kan doen’ ziet u wat de gevolgen van een cyberaanval kunnen zijn. Van het vrij onschuldige overnemen van een webcam tot het achterhalen van alle wachtwoorden op een endpoint. Het gaat zelfs zover dat de ‘hacker’ zichzelf meer rechten toekent dan een system administrator heeft. Met andere woorden: als gebruiker word je compleet buitenspel gezet.

Bezoekers van onze demo’s geven regelmatig aan dat ze te maken hebben gehad met ransomware. De ene keer vrij onschuldig, de andere keer met serieuze gevolgen. De problemen ontstaan meestal op de endpoints:

  • Een gebruiker klikt een geïnfecteerde mail aan of bezoekt een besmette website.
  • Iemand gebruikt een kwetsbare applicatie (bijv. Adobe, Flashplayer).
  • Een medewerker heeft privé een verdachte mail ontvangen en besluit die even ‘op het werk’ te proberen, omdat gedacht wordt dat de beveiliging daar beter is dan thuis.

Antivirus vs. TRAPS

Maar wat kun je daartegen doen? Met antivirussoftware houd je slechts 40% van alle exploits en malware tegen. Onbekende aanvallen komen ongemerkt binnen. In de demo laten we dit zien door een aanval van een cyptolocker te simuleren. We doet dit zowel in een situatie waarbij antivirussoftware aanstaat als in een situatie met endpoint solution TRAPS. Hierbij wordt duidelijk dat de gebruiker ondanks antivirus ransomware binnenhaalt. Bij de simulatie met TRAPS krijgt de gebruiker bij de eerste poging direct een melding en wordt de aanval geblokkeerd. 

Voor veel bezoekers is de demo een eye-opener: traditionele antivirus biedt onvoldoende bescherming tegen exploits en malware. TRAPS is de oplossing voor een optimale beveiliging van endpoints.

Ook zien hoe een hacker werkt en TRAPS beschermt? Meld u aan voor een van onze demo’s.

Meer grip op SaaS

De toepassing van SaaS-applicaties in het bedrijfsleven neemt in razend tempo toe. Dat is niet zo vreemd, want ze maken het je makkelijker. Documenten delen met collega’s via Dropbox, werken in de trein of thuis met OneDrive. Maar hoe houd je de controle over die applicaties?

Aan de kant van de gebruiker zorgen SaaS-applicaties voor meer efficiency en meer productiviteit. Maar aan de kant van security blijken ze vaak ongrijpbaar en leveren ze vooral vragen op. Waar bevinden onze data zich? Wie heeft toegang tot onze gegevens? Voldoen we nog aan privacywetgeving?

Inzicht in SaaS-applicaties

Het gebruik van SaaS-applicaties brengt een aantal serieuze risico’s met zich mee: malware, onopzettelijk blootstellen van data aan onbekenden en vijandige data-exfiltratie. Hoe zorg je er dus voor dat je (gevoelige) data ook in de cloud veilig zijn. Breng daarvoor eerst een aantal zaken in kaart:

  • Welke SaaS-applicaties staan wij toe?
  • Wie maken er gebruik van?
  • Welke data gaan er naartoe?

Houd grip op je data

Het beveiligen van SaaS-applicaties gebeurt in principe door de firewall. Deze controleert echter alleen het verkeer tussen de gebruiker en de cloud. Niet wat er met de data gebeurt als ze eenmaal in de cloud staan. En het probleem met apps is dat het ze de gebruiker erg gemakkelijk maken om gegevens te delen. Als dat eenmaal is gebeurd, raak je als organisatie de grip op data kwijt.

Palo Alto Networks Aperture is een tool die de SaaS-applicatie controleert. Het is een extra securitylaag bovenop de firewall en werkt op basis van dataclassificatie. De tool geeft inzicht in users, folders én files.

Een voorbeeld: documenten met de classificatie ‘legal’ mogen niet gedeeld worden via OneDrive. Zodra een medewerker toch probeert om een ‘legal’ document op zijn privé laptop te openen via OneDrive, wordt dit geblokkeerd door Aperture. Het classificeren van documenten kon tot voor kort alleen met Engelstalige documenten, inmiddels is dit ook mogelijk voor Duitstalige documenten.

Door Aperture ondersteunde SaaS-applicaties:

BoxSalesforce
DropboxSecure Data Space (SDS)
GitHubServiceNow
Google DriveSlack for Enterprise
JiveYammer
Microsoft Office 365

Met Aperture krijgt u meer controle over SaaS-applicaties. U krijgt inzicht in wie ze gebruiken en waar uw data zich bevinden. Meer inzicht, meer veiligheid.

  • Dataclassificatie in Engels en Duits.
  • Inzicht in waar uw data zich bevinden.
  • Inzicht in wie uw data gebruiken.

De eerste stap naar safe SaaS

Wilt u ook inzicht in uw SaaS-applicaties? Begin dan met onze Security Traffic Scan. Deze scan geeft u inzicht in wat er echt gebeurt in uw netwerk, zoals:

  • Welke applicaties worden er gebruikt (inclusief schaduw-applicaties).
  • Wat zijn de high-risk applicaties en hoe vaak worden ze gebruikt.
  • Welke potentiële risico’s loopt u.

Naast inzicht in de risico’s geeft het rapport ook aanbevelingen om de geïdentificeerde risico’s te beperken. Met andere woorden, de Security Traffic Scan is de eerste stap naar een veilig gebruik van SaaS-applicaties.

 

P.s. Goed nieuws voor Europa

Tot voor kort werkte Aperture alleen vanuit een datacenter in de VS. Voor Europese organisaties minder aantrekkelijk, omdat hun data naar een Amerikaanse cloud werden gestuurd. Met de komst van een nieuw Palo Alto Networks datacenter in Duitsland lost Palo Alto Networks dit punt op. De data van Europese gebruikers blijven in Europa. Dat maakt het eenvoudiger om te voldoen aan privacywetgeving zoals de Global Data Protection Regulation (GDPR).

ON2IT innovatief

ON2IT Security Automation & Orchestration Platform

Al bij de oprichting van ON2IT hebben we ervoor gekozen om een Security Automation & Orchestration Platform te bouwen. Onze visie was en is nog steeds dat dit niet alleen noodzakelijk is om het aantal false postives binnen IT-security te elimineren. Je beperkt hier ook standaard repetitieve taken mee. Zo wordt de IT-security beter en blijft het in de toekomst betaalbaar.

Door de toevoeging van data analytics (AI), rules of engagement en jaren van best practices is het platform gegroeid en volwassen geworden. Met het ON2IT Security Automation & Orchestration Platform heeft u nu één centrale basis voor de protectie, rapportage en organisatie van uw IT-security.

Maar wat vindt u allemaal in het ON2IT Security Automation & Orchestration Platform? Dat hebben we voor u op een rijtje gezet.

De key features

  • Ticketsysteem

    Een e-mail sturen of bellen over een security-incident of hardwareprobleem is natuurlijk zo gebeurd. Maar communiceren via de portal is zeker zo efficiënt. Bij elk ticket heeft u direct de complete voortgang van het incident in uw scherm. Geen lange mailwisselingen meer doorspitten, maar direct inzicht in wie, wat en wanneer. Bij een nieuw incident ziet u in de portal ook direct in welke zone het probleem plaatsvindt en welke contactpersoon daarbij hoort. Dat maakt de lijnen korter, zodat u sneller actie kunt ondernemen.

    De complete historie van een ticket is te allen tijde te raadplegen. Ook de tickets die al afgerond zijn. Uw complete securityboekhouding vindt u in de portal. Een belangrijke voorwaarde om te voldoen aan de bewijslast voor bijvoorbeeld de GDPR.

  • Rapportages

    Elke maand ontvangt u in de portal een rapportage met zowel technische- als managementinformatie. De rapportage bevat onder meer informatie over het aantal en type tickets, het aantal geblokkeerde dreigingen en statistieken over de responstijd. Een efficiënt hulpmiddel om de stand van uw IT-security te volgen.

  • Hardware-overzicht

    De locatie, status en monitoringsafspraken van al uw apparaten op één overzichtelijke plek. Hiermee is de configuratie van uw apparaten op elk moment inzichtelijk. Uit het oogpunt van IT-compliance een belangrijk onderdeel van de portal.

  • Dashboard

    Het dashboard geeft in één oogopslag inzicht in uw IT-security: welke security tickets staan er open? Welke changes zijn er in behandeling?

  • Rolgebaseerde toegang

    Onze portal is opgebouwd uit verschillende modules zoals tickets, rapportage en dienstenbeheer. U bepaalt zelf wie toegang heeft tot welk onderdeel. De security-officer krijgt bijvoorbeeld toegang tot tickets en rapportage, finance alleen tot financieel waar de facturen terug te vinden zijn.

Wat is er nieuw?

Safety first geldt natuurlijk ook voor onze eigen portal. Daarom hebben we onlangs twee-factor-authenticatie toegevoegd. Deze extra beveiligingslaag zorgt ervoor dat u de enige persoon bent die toegang heeft tot uw persoonlijke account. Zelfs als uw wachtwoord bij iemand anders bekend is.

Welke nieuwe feature of functionaliteit zou u graag in de portal zien? Laat het ons weten. We zijn benieuwd naar uw ideeën.

De belangrijkste voordelen

  • 1 centraal punt voor protectie, rapportage en organisatie van uw IT-security
  • Geavanceerd ticketsysteem
  • Complete securityboekhouding
  • Realtime inzicht in IT-security
  • Maandelijkse rapportage

Grens tussen cloud en eigen data center vervaagt razendsnel

Google is de Gouden Gids van de 21ste eeuw. Advertentie-inkomsten vormen nu het allergrootste deel van de miljardenomzet van de zoekgigant. Maar als je Diane Greene, de mede-oprichtster van VMware en inmiddels baas van Google’s cloud-divisie gelooft, dan wordt de cloud-business snel een grotere markt dan de melkkoe die AdWords nu is.

Zij is niet de enige die gelooft dat een explosief groeiend deel van de wereldwijde IT-bestedingen (3,5 biljoen dollar in 2016) zal verhuizen: van investeringen in eigen data-centra naar publieke clouddiensten als Amazon AWS, Google, Microsoft Azure en IBM.

Dat start-ups, back-up bedrijven en diensten en diensten als WeTransfer al jaren geen eigen datacenters meer hebben is een bekende trend. Maar de strijd om het corporate datacenter, traditioneel het domein van bedrijven als IBM, HP, Oracle en VWware is in alle hevigheid losgebasten. En de obstakels om ook voor applicaties die traditioneel in eigen beheer (on-prem) worden gehost publieke clouddiensten te overwegen vallen steeds vaker weg.

Amazon: boekenverkoper wordt IT-reus

Wereldwijd gezien groeit vooral Amazon’s cloudbusiness in een onvoorstelbaar tempo. Dit jaar gaat de clouddivisie meer dan 10 miljard dollar omzetten. Dat beschouwden veel IT-bedrijven tot voor kort nog als ondenkbaar, hoewel sommigen de bui wel degelijk zagen hangen. Carl Eschenbach, de President en COO van VMware  zei al in 2013 op een grote partnermeeting:  “Wanneer ik kijk naar VMware en onze reputatie bij enterprise klanten, dan kan ik maar moeilijk geloven dat wij samen met onze partners niet zouden kunnen winnen van een bedrijf dat boeken verkoopt.” Inmiddels lijkt het motto: if you can’t beat them, join them.

“Vier jaar geleden dachten CEO’s in Europa dat de migratie naar clouddiensten een typisch Amerikaans fenomeen was”, zegt René Bonvanie, mede-oprichter en Chief Marketing Officer van Palo Alto Networks. “Dat hing vooral samen met de eenvoudiger wetgeving rond privacy en security in de VS. Maar clouddiensten van Amazon, Microsoft en Google worden snel volwassen. Die trend is niet terug te draaien. De cloud wordt ook in Nederland met open armen ontvangen”

Palo Alto Networks: cloud zorgt voor groei

Toch is dat geen slecht nieuws voor een onderneming als Palo Alto Networks, zegt Bonvanie. “Vanuit het oogpunt van IT-security maakt het niet zoveel uit of je in een eigen data center of in de cloud draait. De vraag is namelijk: wie is verantwoordelijk voor de beveiliging van de data? Dat ben je nog steeds zelf. Alle controlemaatregelen en compliance die je hebt ingericht in je interne netwerk, heb je nog steeds nodig in de cloud. En clouddiensten stellen zich steeds meer open voor gespecialiseerde security-ondernemingen als Palo Alto Networks. De technologie die wij ontwikkelden voor corporate data centers is steeds vaker ook beschikbaar in de publieke cloud-omgeving. Wij kunnen dus meer beveiligen, niet minder. En bovendien met de tools en kennis waarin ondernemingen al hebben geïnvesteerd.”

Dat is ook de mening van Dominick Delfino, die bij VMware wereldwijd verantwoordelijk is voor sales. “Corporate klanten zien de voordelen van de robuustheid, de time-to-market en de ingebouwde scale-out van de diensten van de diensten van Amazon, Google en Microsoft. Maar voor die ondernemingen is het runnen van wereldwijde data centers hun core business. Ze hebben tienduizenden engineers en IT-ers in dienst, en budgetten van miljarden dollars. Ze kunnen hun eigen hardware en software ontwikkelen. Dat is voor bedrijven als banken of retailers totaal onmogelijk. De publieke cloud biedt hen de mogelijkheid om toch mee te profiteren van die schaalvoordelen.”

Applicaties en workloads transparant migreren

Het is dan ook niet voor niets dat VMware in de afgelopen jaren agressief heeft geïnvesteerd in producten en diensten waarmee corporate klanten hun investeringen in infrastructuur en kennis kunnen  blijven gebruiken, ook al verhuizen ze een deel van hun automatisering naar de publieke cloud.

“Ik kan maar moeilijk geloven dat wij samen met onze partners niet zouden kunnen winnen van een bedrijf dat boeken verkoopt”

Die ondersteuning voor een hybride strategie komt het meest tot uiting in de ontwikkeling van NSX, VMware’s platform waarmee het gehele fysieke netwerk van het data center door software wordt vervangen, net zoals Vsphere dat eerder deed met servers en opslag. NSX zorgt ervoor dat het onderliggende fysieke netwerk (en alle configuratie- en beheerproblemen) onzichtbaar wordt voor de applicaties die er gebruik van maken. En daarmee wordt is NSX ook de sleutel tot VMware’s cloudstrategie: het NSX-platform is namelijk ook beschikbaar in de belangrijkste publieke clouddiensten.

René Bonvanie

René Bonvanie

Dominick Delfino

Dominick Delfino

Wat VMware daarmee bereikt is dat applicaties en workloads vanuit Vsphere, het werkpaard van tienduizenden corporate datacentra, geheel geautomatiseerd verplaatst kunnen worden van de eigen servers naar publieke clouddiensten zoals AWS, op dezelfde manier als je een virtuele server of applicatie in het eigen rekencentrum kunt verplaatsen.

Alle beveiligingsmaatregelen, zoals firewalls en de bijbehorende policies, kunnen daarbij automatisch worden meeverhuisd. Palo Alto Networks heeft bijvoorbeeld vanouds een vergaande integratie in het VMware ecosysteem. “Die integratie strekt zich nu ook uit tot clouddiensten”, zegt René Bonvanie. “Amazon, Google en Microsoft begrijpen dat corporate klanten de kwaliteit van security willen houden die ze gewend zijn.  Dat betekent concreet dat ze hun eigen netwerken moeten openstellen voor onze firewall software, omdat ondernemingen niet voldoende hebben aan de standaard security-voorzieningen van clouddiensten. In combinatie met NSX kunnen klanten totaal transparant netwerksegmenten en bijbehorende security-maatregelen inrichten en verplaatsen tussen on-prem en de verschillende cloud-diensten.”

On-prem en cloud: same difference

datacenterDominick Delfino van VMware drukt het vervagende onderscheid tussen on-prem en cloud nog het meest treffend uit: “Als het jouw computers zijn noemen we het virtualisatie, als het de computers van een ander zijn noemen we het de cloud, maar we praten eigenlijk over hetzelfde.”

Er zit volgens de meeste deskundigen nog steeds wel een grens aan de snelheid waarmee publieke clouddiensten de rol van eigen data centers gaan overnemen. In zwaar gereguleerde sectoren als de gezondheidszorg en de financiële wereld maakt met name Europese wet- en regelgeving het nog niet altijd mogelijk om alle data te verplaatsen naar clouddiensten. Amazon, Google, IBM en Microsoft bieden in toenemende mate aanvullende diensten, certificeringen en garanties om ook die sectoren te kunnen bedienen, maar er is nog veel onduidelijkheid over de interpretatie van bijvoorbeeld de nieuwe Europese privacy-wetgeving die eraan komt en over Privacy Shield, het verdrag over data-inzage dat de VS en Europa onlangs sloten.

Uniforme aanpak van security

Sommige applicaties zijn zo afhankelijk van bijvoorbeeld ERP-toepassingen, productielijnen of legacy-platformen dat ze niet in de cloud kunnen draaien. En daarnaast zijn er wereldwijde ondernemingen die zo’n schaalgrootte hebben dat ze overwegen of ze toch niet beter zelf een Google of Facebook achtig data center kunnen bouwen.  Dropbox besloot bijvoorbeeld dit voorjaar om zijn 500 Petabyte aan data weg te halen bij Amazon en onder te brengen in een eigen private cloud met zelf-ontwikkelde technologie.

“Als het jouw computers zijn noemen we het virtualisatie, als het de computers van een ander zijn noemen we het de cloud”

“Dat is een oplossing die voor vrijwel geen enkele Nederlandse multinational is weggelegd”, zegt Lieuwe Jan Koning, oprichten en CTO van ON2IT. “Het allergrootste deel van onze klanten zal in de komende jaren werken met een hybride strategie, waarbij van applicatie tot applicatie wordt bekeken of die on-prem of in de publieke cloud moet worden geplaatst. Wat wij ze samen met partners als VMware en Palo Alto Networks kunnen bieden is een single-point-of-management voor alle security-maatregelen, ongeacht waar de applicaties gehost worden. Het idee dat IT-security applicatie specifiek moet zijn past natuurlijk helemaal in onze Zero Trust aanpak.  Ons ON2IT Managed Security Portal concentreert alle rapportages, SIEM, change management en threat-analyse en threat-correlatie in één platform, dat een steeds groter deel van alle beheertaken automatiseert.  Ongeacht om welk endpoint, welk netwerk of welke cloud het gaat.

Daardoor kunnen onze klanten ook effectiever per applicatie een kostenanalyse voor de afweging tussen on-prem en cloud. Vanuit het oogpunt van security worden ze namelijk steeds gelijkwaardiger, en daardoor kunnen de exploitatiekosten een doorslaggevende rol gaan spelen in de keuze tussen eigen data center of cloud.”

Bekijk ook:

Interview René Bonvanie van Palo Alto Networks:
Veilig in de cloud met Palo Alto Networks.

Interview Dominick Delfino van VMware:
Secure cloud met VMware NSX.

 

Is uw cloud security klaar voor morgen?

 

Bent u in control over de informatiebeveiliging binnen uw gemeente?

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) bevat een totaalpakket aan richtlijnen voor informatiebeveiligingmaatregelen, waarmee iedere Nederlandse gemeente compliant dient te zijn. Het bewust zijn van risico’s en het nemen van verantwoordelijkheid staan hierbij centraal. Een efficiënte securityoperatie en solide beveiligingsarchitectuur zijn nodig om invulling te geven aan deze richtlijnen.

Maar wat betekent dit precies voor de Nederlandse gemeenten? Zijn uw huidige architectuur, organisatie en processen BIG-compliant? En houdt u daarnaast rekening met de WBP en de Europese General Data Protection Regulation (GPDR)? Kortom: bent u ‘in control’ over de informatiebeveiliging binnen uw gemeente?

Informatiebeveiliging: meer dan alleen een technische oplossing

ON2IT helpt Nederlandse gemeenten om te voldoen aan de richtlijnen van BIG met behulp van het ON2IT Security Framework (ONSF). Met de nulmeting en de uitvoering van continue kwetsbaarheidsanalyses is het Security Framework hét instrument om te meten en aan te tonen of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Door daarnaast beleid, architectuur én operatie aan elkaar te koppelen ontstaat een overzichtelijk totaalbeeld op informatiebeveiliging. Informatiebeveiliging is immers geen technische oplossing alleen, maar een samenhang tussen beleid, mens en maatregel.

Implementatie van BIG

In het ONSF zijn de functionele en organisatorische uitgangspunten van gemeenten leidend. Deze worden op basis van ‘best practices’ vertaald in een optimale architectuur en efficiënte organisatie. Bedreigingen en kwetsbaarheden worden onschadelijk gemaakt door de juiste balans tussen preventieve-, beschermende-, controlerende- en herstelmaatregelen.
Dit alles is samen te vatten in vier elementen:

  • Programma (beleid): business requirements en risicomanagement. Ook de GAP-analyse ontbreekt hierbij uiteraard niet.
  • Bestuur (beleid): de principles en policies van een organisatie en het bijbehorende auditproces.
  • Architectuur: de koppeling tussen het vastgestelde beleid en de technische uitvoering ervan, conform een beveiligingsarchitectuur.
  • Operatie: de uitvoering van de vastgestelde IT-security beleidsprocessen, zoals event-, vulnerability- en incidentmanagement, compliance & reporting.

Door het implementeren van het ON2IT Security Framework is ook uw gemeente in staat om middels rapportages aan te tonen dat u ‘in control’ bent.

Met behulp van het ON2IT Security Framework kan door iedere Nederlandse gemeente overgegaan worden tot juiste implementatie van de BIG. Neem contact op om meer te leren over het ON2IT Security Framework.

ON2IT – cybersecurity specialist sinds 2005 – biedt oplossingen op het gebied van secure networking, secure endpoint, secure datacenter en secure cloud, met als doel data beter te beveiligen volgens het ‘zero trust’ uitgangspunt. In de toenemende IT-complexiteit deelt ON2IT haar kennis en ervaring middels het ON2IT Security Framework waarmee de continuïteit van bedrijfsprocessen en compliance aan (inter-)nationale richtlijnen gewaarborgd wordt.

John Kindervag over de volgende stap in Zero Trust

John Kindervag, inmiddels de meest bekende security consultant van Forrester, is de enige spreker die sinds 2013 op alle vier de Bright & Cloudy events een keynote presenteerde. Toen de uitgesproken Texaan vier jaar geleden in Utrecht verkondigde dat de traditionele manier van netwerkbeveiliging – met zijn vertrouwde interne netwerk en een onbetrouwbare buitenwereld – niet meer bij deze tijd past, had hij in ieder geval ieders aandacht. Maar dat zijn inzichten de IT-beveiligingswereld zo stormachtig zouden veroveren, dat zullen niet veel van de aanwezigen van het eerste uur hebben voorspeld.

Het vervolg is bekend. Het Zero Trust concept is alleen nog vreemd voor security-professionals die vier jaar op een eiland hebben gezeten. Kindervag reist de wereld rond voor keynotes op congressen en consultancy werk bij ’s werelds grootste multinationals en banken.

Zero Trust bij Google en de Amerikaanse overheid

Vorig jaar liet Google weten dat de internet-gigant zijn interne informatiebeveiliging geheel op de schop ging nemen en volgens de Zero Trust principes gaat inrichten. Het centrale uitgangspunt van BeyondCorp – Google’s versie van Zero Trust – is classic Kindervag: het interne netwerk is niet meer of minder betrouwbaar dan het openbare Internet. Beveiligingsmaatregelen hangen niet af van de locatie in het netwerk, maar van informatie over specifieke data of applicaties, gebruikers en de daarbij horende toegangsregels, oftewel policies.

Ook de Amerikaanse overheid is om. In september van dit jaar verscheen er een rapport van een overheidscommissie naar aanleiding van de diefstal van meer dan 18 miljoen persoonsgegevens uit de computers van het United States Office of Personnel Management (OPM). “Wanneer we een Zero Trust benadering hadden gehad, zouden de hackers nooit zoveel schade hebben kunnen aanrichten”, zei afgevaardigde Jason Chaffetz, één van de opstellers van het rapport. Het rapport adviseert dan ook een strikte Zero Trust benadering voor alle federale overheidsinstellingen.

“De wereld is wakker geworden”

“Je kunt inderdaad wel zeggen dat de wereld wakker is geworden”, zegt John Kindervag, terwijl hij uitkijkt over de mist die in de late ochtend nog over de Maarsseveensche Plassen hangt. Hij zegt zich te verheugen op de keynote van über-hacker Kevin Poulsen, die tijdens Bright & Cloudy later op die dag meer zal vertellen over de donkere onderwereld van de internationale cybercriminelen.

De belangrijkste ontwikkeling is dat cybercrime bijna dagelijks nieuws is geworden, stelt Kindervag vast. “Er gaat nagenoeg geen dag voorbij zonder dat er ergens ter wereld een kolossaal beveiligingslek bekend wordt gemaakt.” Kindervag beschouwt de inbraak bij de Amerikaanse winkelketen Target, eind 2013, als een keerpunt. “Het ging om de persoonsgegevens van 110 miljoen klanten en 40 miljoen creditcardgegevens. De schade die dat oplevert is immens. Klanten verliezen hun vertrouwen in je en blijven weg. Target heeft berekend dat de inbraak, los van gemiste omzet, tot meer dan tweehonderd miljoen dollar aan directe kosten heeft geleid. De CIO en de CEO zijn ontslagen. De hacks bij Home Depot, Sony en OPM zorgden eveneens tot schadeposten van honderden miljoenen dollars. Daarmee krijg je de aandacht van de Raad van Bestuur wel te pakken. Maar wel te laat.”

Uitgangsprincipes niet afhankelijk van technologie

John Kindervag

John Kindervag

De uitgangspunten van Kindervag’s Zero Trust adviezen zijn nog steeds zo elementair gebleven als bij zijn eerste presentatie vier jaar geleden. Logisch, vindt hij: “Een goede beveiligingsarchitectuur is niet afhankelijk van jaarlijkse trends in nieuwe hardware en software.”

Dat is waarschijnlijk ook de grootste aantrekkingskracht van de Zero Trust principes. Je kunt de handvol hoofdprincipes met één powerpoint-slide uitleggen. De eerste regel is dat elke resource in het netwerk, ongeacht de locatie, alleen op een beveiligde manier toegankelijk is. Dat klinkt als een open deur, maar er zijn nog steeds talloze bedrijfsnetwerken die zijn gebaseerd op het principe dat de firewall aan de periferie van het bedrijfsnetwerk hackers op afstand houdt. Dat personeelsleden (of de malware die ze per ongeluk op hun pc installeren) op het vertrouwde interne netwerk net zo gevaarlijk zijn als hackers op het Internet is een grondregel die cruciaal is voor de Zero Trust aanpak.

Een tweede uitgangspunt is dat de toegangscontrole tot data of applicaties in honderd procent van alle gevallen op een need-to-know basis moet werken. Daarvoor zul je de data moeten classificeren en per gebruiker (of groep gebruikers) expliciete regels moeten opstellen: wie mag wanneer op welke manier vanaf welke locatie welke data inzien of aanpassen?

Het gaat er niet om of mensen te vertrouwen zijn

En wanneer je die toegangsregels hebt opgesteld en geïmplementeerd, is het essentieel dat je te allen tijde verifieert of die regels worden nageleefd. Zero Trust, dus. Dat uitgangspunt wordt vaak verkeerd begrepen, zegt Kindervag. “Ik zeg niet dat mensen niet te vertrouwen zijn. Dat is een filosofische discussie, en daar waag ik me niet aan. Maar het is een zinloze vraag of pakketten met informatie op een netwerk al dan niet te vertrouwen zijn. Vertrouwen is in dit verband een onbruikbaar begrip. Het is jouw taak als beveiliger om die pakketten, alle pakketten, te loggen, te inspecteren en te verifiëren of het netwerkverkeer in kwestie conform de toegangsregels en policies is.”

De algemene uitgangspunten van de Zero Trust aanpak moeten vanzelfsprekend met hardware, software en organisatorische maatregelen concreet worden gemaakt. Een leverancier als Palo Alto Networks heeft zijn next-generation firewalls en TRAPS endpoint-beveiliging met Zero Trust als architectuur voor netwerken, data centers en de cloud gepositioneerd. Maar Zero Trust is vooral een ontwerpprincipe, waarvan de implementatie met gespecialiseerde tools, platformen en expertise moet worden ingevuld.

Rules of engagement

De taken en verantwoordelijkheden van de CSO of CISO en zijn staf zijn in de afgelopen jaren zoals gezegd sterk in de spotlight komen te staan door de toenemende cybercrime dreiging. Hackers hebben een groot voordeel, zegt Kindervag. “Ze doen niet aan versiebeheer, audits, salarisonderhandelingen of RFP’s. Ze kunnen veel sneller bewegen dan jouw IT-afdeling. Om ze effectief te kunnen tegenhouden zul je zelf ook snel en wendbaar moeten zijn, vooral wanneer je te maken krijgt met een datalek.” En daar wringt volgens Kindervag nog te vaak de schoen. “Je zult op de eerste plaats het mandaat van de CEO, de tools en de resources moeten hebben om datalekken te kunnen onderzoeken en te kunnen stoppen. Technologie om datalekken tijdig te kunnen ontdekken ontbreekt nog in te veel gevallen. Onderzoeken tonen aan dat organisaties keer op keer door externe partijen op beveiligingslekken worden gewezen. Het komt maar weinig voor dat de organisatie zelf een security breach ontdekt. Hoe kun je dan verwachten dat ze tijdig en effectief handelen wanneer data wordt gestolen?”

Kindervag pleit dringend voor zogeheten ‘rules of engagement’ voor IT-securityafdelingen: het verstrekken van heldere bevoegdheden aan werknemers om bij een aanval direct tegenmaatregelen te kunnen nemen om de schade te kunnen beperken. “We zitten nog te vaak gevangen in procedures die op papier misschien werken, maar in de harde praktijk veel te veel kostbare tijd vragen voordat een IT-afdeling tot actie kan overgaan. It’s a war out there.

Automatisering van de tegenaanval is cruciaal

Kindervag gelooft bovendien dat de regels van policies zo expliciet moeten zijn dat tegenmaatregelen steeds vaker geautomatiseerd moeten kunnen worden uitgevoerd. Dat is niet toevallig ook de gedachte achter de nieuwste versie van ON2IT’s Managed Security Portal. Daarbij is het mogelijk om aan security-alerts – op basis van expliciete regels uit policies – geautomatiseerd acties te verbinden. Waarom zou je wachten om een bepaald IP-adres te blokkeren of een endpoint te isoleren wanneer je verdachte activiteit waarneemt? Dat geldt vooral wanneer die verdachte activiteit te maken heeft met de meest gevoelige categorie data, de zogeheten kroonjuwelen, die elke organisatie heeft.

“Een ordegrootte verdergaande automatisering van de manier waarop we onze security-maatregelen implementeren is onvermijdelijk”, zegt Kindervag. Het is volgens hem de toekomst van Zero Trust.

“Een goede beveiligingsarchitectuur is niet afhankelijk van jaarlijkse trends in nieuwe hardware en software.”

 

 

GDPR: Bangmakerij of serious business?

De boetes liegen er niet om: 4% van de omzet met een maximum van twintig miljoen euro. En de Raad van Bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens die straks strenger gaat handhaven hebben we het hier niet over bangmakerij. Maar hoe zorg je ervoor dat de kans op een boete of reputatieschade tot het minimum beperkt wordt? Door de bescherming van persoonsgegevens tot prioriteit nummer 1 te maken. De burger/patiënt/consument staat in de GDPR namelijk centraal.

Wat zijn de verschillen tussen WBP en GDPR?

Nu is die bescherming van persoonsgegevens niet nieuw, we hebben immers de WBP al. Maar er zijn wel een aantal punten waarop de GDPR verder gaat dan de WBP op het gebied van IT-security. De punten die in de praktijk de meeste impact zullen hebben lichten we hier toe.

1. Meer inzage in persoonsgegevens

Als eerste de kern van de GDPR, de rechten van de burger. De burger:

  • Moet zijn of haar elektronische persoonsgegevens direct in kunnen zien.
  • Mag zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener, energieleverancier etc.
  • Heeft het ‘recht om vergeten te worden’.

Wat heeft dit voor gevolgen

De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zul je data moeten classificeren. Welke data zijn persoonlijk en welke beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien. Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.

Belangrijke acties voor uw IT-security:

2. Opvolgplicht en openbaarheid van datalekken

Wat zijn de gevolgen van de opvolgplicht
Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met goed georganiseerde IT-infrastructuur. Wat moet je daarvoor regelen:

  • Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart
  • Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging
  • Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen
  • Respons: reageer op eventuele incidenten

Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen. ON2IT gaat in dit proces overigens nog een stap verder. Na respons volgt mitigatie: leer van incidenten om de processen in de toekomst te verbeteren.

Wat zijn de gevolgen van openbaarheid
Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken persoon. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie. Je moeten weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende? Zorg dan dat je een externe back-up hebt op dat gebied.

Belangrijke acties voor uw IT-security:

  • Zorg voor een proces van identificatie-preventie-detectie-respons.
  • Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident.
  • Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.

3. Privacy by design

Wat zijn de gevolgen van privacy by design
Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.

Belangrijke acties voor uw IT-security:

  • Betrek alle afdelingen.
  • Ga na welke data je wel/niet kunt koppelen aan een persoon.
  • Kijk ook naar data-opslag (en data-verwijdering).

Tot slot: naleving van de GDPR lukt alleen met awareness

Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale IT-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de Raad van Bestuur. Op strategisch niveau zal namelijk de risico-analyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?

ONSF

Het ON2IT Security Framework (ONSF) kan helpen om dit traject in goede banen te leiden. Het biedt als het ware een blauwdruk om de borging van de privacy binnen uw organisatie in juiste banen te leiden. We denken op strategisch niveau mee bij het bepalen van de securitypolicy. We ondersteunen bij de inrichting van de IT-architectuur. En op operationeel niveau leveren we de IT-security producten die nodig zijn om persoonsgegevens optimaal te beschermen.

Het einde van pentesting?

Onlangs deed het Rathenau Instituut een aantal aanbevelingen aan de Tweede Kamer in het kader van cyberdreigingen. Om de weerbaarheid te vergroten zouden er verschillende maatregelen genomen moeten worden. Een van deze maatregelen is een jaarlijkse hacktest voor vitale sectoren, zoals telecom, energievoorziening en de zorg.

Zo’n hack- of pentest is inderdaad een goede maatregel om de weerbaarheid te testen, maar het blijft een momentopname. Stel je hebt fors geïnvesteerd in een SIEM. Hoe toets je dan of het doet wat het zou moeten doen? Volgens de GDPR moet je ‘state-of-the-art’ beveiligingsmaatregelen treffen. Hoe toets je of jouw maatregelen dit inderdaad zijn?

Kortom: hoe weet je of je IT-security wel goed is als je die niet voortdurend test?

24/7 testen: dat is toch niet te betalen?

Met een eigen in-house red team van ethische hacker’s kun je 24/7 testen. Maar zo’n team is zeer kostbaar en daarmee alleen weggelegd voor de allergrootste bedrijven. Gelukkig bestaat er nu zoiets als geautomatiseerd testen. Hoe werkt dat? Een geautomatiseerd testplatform simuleert continu realworld hacks. Hiermee vind je proactief gaten voordat een hacker dat doet. Je kunt het zien als een 24/7 virtueel red-team. En een virtueel red-team is wél betaalbaar. Continu testen wordt op deze manier voor veel meer organisaties bereikbaar.

Maar wat zijn nou de belangrijkste verschillen tussen pentesten en geautomatiseerd testen? Die hebben we hier op een rijtje gezet:

PentestenGeautomatiseerd testen
1. Momentopname vs. continuïteitEen pentest is altijd een momentopname. Een dreiging die niet door het beveiligingsplatform gedetecteerd wordt, komt pas bij het eerstvolgende testmoment aan het licht. Bij een jaarlijkse frequentie zou dat in het ergste geval betekenen dat een bepaalde zwakke plek pas na bijna een jaar aan het licht komt. Het testplatform voert 24/7 geautomatiseerd op een veilige manier aanvallen uit op het netwerk. Zwakke plekken komen niet pas bij de eerstvolgende pentest boven water, maar direct.
2. False positives vs. bewezen lekken Een nadeel van pentesten is de kans op false positives. Als deze te vaak voorkomen, zal het vertrouwen in de pentest in de toekomst wellicht minder worden. Daarnaast zorgen false positives voor onnodig werk, want je onderneemt immers actie op ‘valse’ meldingen.Het geautomatiseerd testplatform meldt een lek alleen als het een bewezen lek is. Er gaat dus geen onnodige tijd en moeite meer zitten in het onderzoeken van zwakke plekken die in feite geen zwakke plek zijn.
3. Opdrachtafhankelijk vs. complete IT-securityEen pentest is opdrachtafhankelijk en heeft een bepaald doel. Daarmee beperk je de reikwijdte en bestaat de kans dat er kwetsbaarheden buiten beeld blijven.Het geautomatiseerd testplatform wordt geïntegreerd in de gehele IT-infrastructuur. Het ziet welke correlatie er is tussen de verschillende systemen en welke impact een aanval heeft. Er is dus geen beperking tot een bepaald terrein.
4. Persoonsafhankelijk vs. hacker’s point of viewEen pentest is persoonsafhankelijk. De test kan maar zo ver gaan als de kennis van de tester reikt. En ook al heb je een heel team van pentesters, de zekerheid dat ze op de hoogte zijn van de laatste nieuwe malware en zero-day exploits is er niet.Het geautomatiseerd testen gebeurt vanuit het oogpunt van de hacker. En dat is niet beperkt tot de kennis van één hacker of een team van hackers. Alle bekende hackmethodes zijn verzameld en worden ingezet om 24/7 aanvallen te simuleren.
De aanvalsmethodes die het platform gebruikt zijn gebaseerd op waargebeurde incidenten. Uiteraard komen hier steeds nieuwe methodes bij en die worden automatisch toegevoegd aan het platform.

Uw eigen geautomatiseerde hacker

Ten opzichte van pentesten zien wij de continuïteit van een geautomatiseerd testplatform als het grootste voordeel. Daarom werkt ON2IT ook met zo’n geautomatiseerd testplatform. Hiermee richt uw eigen virtuele hacker zich vooral op het ontdekken van mogelijkheden om een netwerk binnen te dringen en mogelijkheden om gegevens te lekken. De virtuele hacker kijkt naar complexe scenario’s, waarbij meerdere systemen betrokken zijn. Door 24/7 aanvallen in een veilige omgeving te simuleren – krijgt u de tijd om kritieke risico’s aan te pakken en de incidentresponse in het geval van een incident te verbeteren.

Het ON2IT geautomatiseerd testplatform valideert:

  • IT-security na infrastructurele wijzigingen
  • het security beleid (policy)
  • de effectiviteit van de firewall
  • effectiviteit van SIEM
  • de mogelijkheden tot data exfiltratie

Het geeft u meer inzicht in de weerbaarheid van de infrastructuur en cloud security en helpt u ‘state-of-the-art’ te bewijzen voor de GPDR. Bovendien biedt het zicht op de mogelijkheid tot SCADA lekken.

Periodiek pentesten behoort hiermee (nog) niet tot het verleden, maar het is een belangrijke stap in die richting.

Palo Alto Networks neemt LightCyber over

De term artificial intelligence (AI) horen we steeds vaker. Intelligente, zelflerende systemen die patronen kunnen herkennen. Ook binnen de IT-security gebruiken we artificial intelligence. Geautomatiseerde gedragsanalyse is hier een goed voorbeeld van. LightCyber gebruikt deze gedragsanalyse technologie om hackers te detecteren en is marktleider op dit gebied. Met de overname van LightCyber kan Palo Alto Networks deze technologie nog slimmer integreren in hun security platform en deze komt later ook beschikbaar als subscription op uw bestaande firewall. Dit benadrukt nogmaals de innovatiekracht van Palo Alto Networks. It works better together.

Hoe werkt gedragsanalyse?

Met gedragsanalyse kun je afwijkend gedrag oftewel anomalieën signaleren. Maar daarvoor moet je wel eerst weten wat normaal gedrag is. Om dat ‘normale gedrag’ vast te stellen monitort het LightCyber platform voortdurend het gedrag van gebruikers binnen het netwerkverkeer.

Een simpel voorbeeld: een gebruiker benadert binnen een organisatie altijd dezelfde bestanden. Dat wordt door LightCyber gekwalificeerd als zijn normale gedrag. Op een bepaald moment benadert de gebruiker een bestand op een locatie waar hij normaal niet komt en niet hoort te zijn. LightCyber zal dit (in realtime) herkennen als afwijkend gedrag.

Wat betekent dit voor IT-security?

Elk onderdeel van een beveiligingsplatform zorgt voor data. Maar alleen data is niet genoeg. Voor een goede analyse en detectie moet je ook de samenhang tussen de verschillende data herkennen. Gedragsanalyse helpt om dit nog beter en slimmer te doen. Het legt verbanden tussen de data (gedrag) uit de verschillende Palo Alto Network producten, zoals TRAPS, WildFire etc.

Wat zijn de voordelen van geautomatiseerde gedragsanalyse voor uw IT-security:

  • Meer correlatie
  • Beter inzicht
  • Meer controle

DigiD compliance in de praktijk

DigiD compliant houden is voor veel instellingen, zoals gemeentes en zorginstellingen een steeds complexere opgave. Onder andere door de komst van de Global Data Protection Regulation en het steeds strengere normenkader van Logius besluiten veel organisaties om de IT-security uit te besteden.

Vraagstelling

Ook bij zorginstellingen en gemeentes die DigiD inzetten als secure login loopt men aan tegen de vraag: zijn wij nog wel in staat om de persoonsgegevens adequaat te beschermen? Is het niet efficiënter om de IT-security uit te besteden en hoe doen we dat?

Zo’n oplossing moet aan een aantal voorwaarden voldoen:

  • Klantenportaal met (realtime) inzage in rapportages
  • Uitgebreide logging, detectie, monitoring, signalering en de daaruit volgende correlatie volgens het Logius Normenkader v2.0 (waaronder een vulnerabilityscan van binnenuit)
  • Rapportagemogelijkheden over incidenten en breaches in het kader van wet- en regelgeving die zich niet beperken tot product of merk
  • Beheer en onderhoud van een 24/7 securityplatform

Oplossing

Als oplossing kun je denken aan een SIEM. Daarmee beschik je wel over de netwerkdata, maar het analyseren van dreigingen en reageren op incidenten ontbreekt. En wat gebeurt er als het misgaat. Hoe beperk je de reputatieschade? Hoe toon je bij de Autoriteit Persoonsgegevens aan dat je er alles aan gedaan hebt om de patiëntgegevens te beschermen? Stuk voor stuk vragen die je met alleen een SIEM niet oplost.

Deze onzekerheid is een goede reden om verder te kijken dan een SIEM. Een Managed Security & Operations Center voldoet namelijk wel aan al deze voorwaarden. Hierin log je niet alleen de netwerkdata, maar zorg je ook voor signalering en opvolging. Met andere woorden, gedetecteerde dreigingen worden gemitigeerd. Met de geïntegreerde rapportages kun je vervolgens als organisatie laten zien wat je inspanningen zijn geweest.

Resultaat

Het Security Automation & Orchestration Platform van ON2IT is zo’n slimme portal waarin de vervolgstappen centraal staan. Het vertaalt de netwerkdata in concrete maatregelen om de gedetecteerde dreigingen te mitigeren. Kies je daarnaast ook voor de Managed Security Services van ON2IT, dan worden de maatregelen ook direct uitgevoerd. Op basis van de informatie uit het Security Automation & Orchestration Platform kan ON2IT de complete security boekhouding en compliance leveren om te bewijzen dat de organisatie ‘in control’ is. En dat is wat er nodig is om DigiD bewezen veilig in te zetten.

PAN-OS 8.0 Update: What’s in it for me?

Op 7 februari jl. lanceerde Palo Alto Networks de OS 8.0 upgrade. Met meer dan 70 nieuwe features de grootste update in de geschiedenis van het bedrijf. De verbeteringen concentreren zich op vijf focus area’s:

  • Credential based attacks preventie
  • Cloud
  • Advanced threat prevention techniques
  • Management features
  • High performance SSL

Zo’n omvangrijke update betekent voor u als gebruiker veel voordeel. Maar van welke features gaat u in de praktijk nou het meeste profiteren. Om het u gemakkelijk te maken zetten we de belangrijkste wijzigingen op een rijtje.

Beveiliging tegen credential phishing

De makkelijkste manier om bij een netwerk binnen te dringen is met credentials. Werknemers die dagelijks inloggen met hun gebruikersnaam en wachtwoord zijn dan ook een geliefd doelwit voor cybercriminelen. Bij de diefstal van credentials onderscheiden we drie fases:

  1. De cybercrimineel stuurt een phishingmail naar een potentieel slachtoffer.
  2. De geadresseerde verstuurt daadwerkelijk zijn gegevens naar de phishing URL.
  3. De cybercrimineel heeft de credentials in handen en probeert in te loggen.

Stap 1 werd in de eerder versies al tegengehouden door Wildfire. De nieuwe OS 8.0 blokkeert niet alleen stap 1, maar ook stap 2 en 3. De laatste gebeurt door middel van multifactor authenticatie. Door bijvoorbeeld een sms als tweede verificatie te sturen, voorkomt PAN-OS 8.0 dat een onbevoegde met de gestolen credentials kan inloggen.

Overal veilig inloggen

Met de nieuwe clientless SSL VPN kan men vanaf elke locatie veilig inloggen op webapplicaties. U bepaalt zelf in uw policy welke webapplicaties zijn toegestaan.

Meer inzicht in shadow IT

Inzicht in het gebruik van ongewenste cloud applicaties (Saas Reporting) is in veel organisaties een probleem.  De toegestane applicaties zijn in beeld, maar niet toegestane applicaties blijven onder de radar. OS 8.0 biedt op dit gebied belangrijke verbeteringen. Zo wordt het onder andere inzichtelijk wie welke applicaties gebruikt en ook welke files men gebruikt.

Meer mogelijkheden in Panorama

Ook Panorama krijgt een aantal nieuwe features. Vanaf PAN-OS 8.0 is het voor de gebruiker mogelijk om direct actie te ondernemen. Bij een melding beslis je zelf, afhankelijk van de aard van de aanval, wat je hiermee doet.

Een ander voordeel van de update is dat in de nieuwe versie ook Traps log geïntegreerd kan worden. Meer inzicht in één dashboard dus.

Verbetering hardware performance

Door de toename van het cloudgebruik neemt het dataverkeer steeds verder toe. De beveiliging van dit verkeer vergt veel capaciteit. Daarnaast groeit het SSL-verkeer sterk. Daarom heeft ook de hardware verschillende technische verbeteringen ondergaan. Eén van de belangrijkste hardware ontwikkelingen is de verbetering van de performance. Voor de virtuele modellen gaat de performance van 600 Mb/s naar 10 Gb/s. Voor de HW-modellen gelden verschillende upgrades.

Daarnaast zijn alle modellen voortaan voorzien van dubbele voeding. Ook kleine locaties waar men voldoende heeft aan een enkele firewall zijn hiermee verzekerd van continuïteit.

,

Tip #5: Het gevoel ‘hier klopt iets niet’ …… klopt meestal!

Social engineering of social hacking, is een techniek waarbij geprobeerd wordt een cyberaanval op computersystemen in te zetten door de zwakste schakel in de computerbeveiliging te kraken: de mens. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen.

De diverse social engineering technieken hebben één gemeenschappelijk kenmerk: de aanvaller doet zichzelf voor als iemand anders. Het doel? Mensen, door middel van manipulatie, bepaalde handelingen laten verrichten, dan wel vertrouwelijke of geheime informatie te ontfutselen. Daarbij kan gebruikt worden gemaakt van menselijke ‘zwakheden’ zoals hulpvaardigheid, naïviteit, nieuwsgierigheid, angst, medelijden, hebzucht, etc.

Uit de praktijk blijkt dat de meeste slachtoffers van social engineering in beginsel het stemmetje wel hoorden: ‘hier klopt iets niet’ maar deze hebben genegeerd, vaak met de gedachte ‘ik overdrijf’. Door de kunst van het ‘verleiden’ van de social engineer schakelen mensen dit gevoel uit.
Het gevoel ‘hier klopt iets niet’, klopt dus meestal. Belangrijkste maatregel tegen social engineering is het creëren van security awareness binnen de organisatie. Informeren en trainen van alle medewerkers binnen de organisatie helpt bij het herkennen van oneigenlijk gebruik. Of dit nu om digitale of om telefonische social engineering technieken gaat.

Meer weten? Neem contact op.

DATA = het nieuwe goud

De frequentie, complexiteit en omvang van cyberaanvallen neemt snel toe, waarbij zo’n 40% van de aanvallen gericht is op het afpersen van organisaties. Daarnaast wordt ontvreemde bedrijfsdata in toenemende mate via ondergrondse marktplaatsen aangeboden. Data is het nieuwe goud geworden, waarbij medische gegevens nog beter in de markt liggen – dus meer opleveren – dan creditcard gegevens.

Heeft u al eens gedacht aan het opnemen van een hacker in uw IT-securityteam? Want, weet u zeker dat kwaadwillenden niet bij uw data kunnen? Denken en handelen als een hacker vereist veel creativiteit, terwijl uw team al druk genoeg is met het uitvoeren van de bestaande procedures.
Valideer uw IT-security met uw eigen (virtuele) hacker! Meer informatie >>

Cybercrimineel heeft vrij spel in SOC

De meerderheid van de security operations centers (SOC’s) halen niet het zogenaamde ‘maturity level’. Hierdoor zijn ze kwetsbaar voor aanvallen van cybercriminelen. Uit onderzoek van Hewlett Packard Enterprise (HPE) blijkt dat maar liefst 82 procent van de honderdveertig wereldwijd onderzochte SOC’s niet voldoende beschermd zijn tegen criminelen.

Om bestaande en nieuwe dreigingen effectief te kunnen monitoren, hebben moderne bedrijven een SOC nodig dat goed ontworpen is, geëvalueerd wordt en flexibel is. Het onderzoek heeft echter aangetoond dat maar liefst 82 procent van de SOC’s niet voldoet aan deze criteria. Hierdoor zitten veel SOC’s onder het optimale maturity level. Het merendeel van de organisaties worstelt nog steeds met een gebrek aan personeel met de juiste kennis en kunde. Daarnaast zijn deze bedrijven niet in staat de meest effectieve processen te implementeren en documenteren.

Tekort aan securityspecialisten

‘Een tekort aan securitytalent blijft de grootste zorg bij security operations. Hierdoor is automatisering van security een essentieel onderdeel geworden voor ieder succesvol SOC. Echter, om te kunnen omgaan met geavanceerde dreigingen, zijn ook mensen nodig om enerzijds onderzoek te doen en anderzijds risicobeoordelingen te kunnen doen. Dit maakt een juiste balans tussen automatisering en personeelsbeleid noodzakelijk.’
De onderzoekers stellen ten slotte ook een oplossing voor het personeelstekort voor: ‘Hybride IT-oplossingen en personeelsmodellen bieden meer mogelijkheden. Organisaties die risicomanagement in eigen beheer houden en opschalen met externe resources, bijvoorbeeld in de vorm van managed security services providers, versterken hun kwaliteit en zorgen voor de benodigde vaardigheden.’

ON2IT Security Services

ON2IT biedt IT-security services op basis van het speciaal hiervoor ontwikkeld ON2IT Security Framework met Zero Trust als basis. Binnen dit Framework koppelen wij beleid, architectuur en operatie aan elkaar, rekening houdend met kwetsbaarheden, dreigingen en compliance richtlijnen. Onze eigen, in-house ontwikkelde managed services portal is het centrale loket van waaruit diensten, beleid, threat management en rapportages worden geleverd.
Verhoog het maturity level binnen uw SOC, maak kennis met de ON2IT security services. Neem contact op >>

Bron: Computable, januari 2017

5.500 datalekken gemeld bij Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft bekend gemaakt dat in 2016 bijna 5.500 datalekken zijn gemeld door bedrijven en organisaties.  De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (zoals zorgverzekeraars, ziekenhuizen), financiële dienstverlening (onder andere banken, verzekeraars) en openbaar bestuur (waaronder gemeenten).

Sinds 1 januari 2016 moeten niet alleen datalekken gemeld worden, in sommige gevallen moeten ook getroffen gebruikers op de hoogte gesteld worden van dergelijke incidenten. In veel gevallen zijn datalekken gemeld waarbij gegevens onbedoeld bij iemand terecht zijn gekomen. Voorbeelden hiervan zijn een verkeerd bezorgde brief, een verkeerd geadresseerde e-mail of een klant die in een klantportaal onbedoeld gegevens van een andere klant kan inzien. In dat geval kan gesteld worden dat de data niet op straat liggen, maar de Wet Bescherming Persoonsgegevens verbiedt ook de ‘onrechtmatige verwerking’ van persoonsgegevens. Daarmee valt het wel onder de meldplicht datalekken. Het niet melden van een datalek kan een boete opleveren die flink kan oplopen. Daarnaast is regelmatig melding gemaakt van USB-sticks en laptops met gevoelige informatie die worden verloren of gestolen.

Van de ruim 5.500 meldingen die in 2016 zijn binnengekomen zijn er ruim 4.000 nader door de Autoriteit Persoonsgegevens onderzocht. Naar enkele tientallen meldingen wordt nader onderzoek gedaan. Deze onderzoeken lopen nog.

Weet u in hoeverre u goed bent voorbereid op een datalek? Simuleer – onder begeleiding van ON2IT én First Lawyers – een datalek! Daarmee krijgt u inzicht en kennis over een datalek en de eventuele gevolgen. Stel vervolgens een adequaat responseplan en –team in voorkom onnodige schade.

Meer informatie over datalek-simulatie >>

ON2IT geeft geld terug voor antivirussoftware

Waardenburg, 12 januari 2017 – Organisaties kunnen tot en met april 2017 pijnloos overstappen naar een toekomstbestendige beveiliging van hun endpoints. Beveiligingsexpert ON2IT geeft hen de komende drie maanden geld terug voor hun traditionele antivirussoftware als zij kiezen voor TRAPS, de Next Generation securitysoftware van Palo Alto Networks. TRAPS werkt preventief in plaats van reactief, zoals bij klassieke antivirussoftware het geval is.

“De traditionele antivirussoftware schiet tegenwoordig tekort”, zegt Marcel van Eemeren CEO van ON2IT. “De enorme toename van virussen, malware en ransomware is nagenoeg niet meer bij te benen voor de antivirusprogrammatuur die op altijd verouderde definitielijsten vertrouwt. In het geval van ransomware en cryptolockers wordt de klassieke anti-virussoftware zelfs helemaal buiten spel gezet.”

TRAPS heeft een radicaal andere benadering voor endpoint security, aldus Van Eemeren. “Het detecteert en blokkeert de technieken die door hackers worden gebruikt. TRAPS stopt de technieken die de oorzaak zijn. Zo blijven organisaties cybercriminelen altijd een stap voor. Met de onze ‘geld terug-actie’ willen wij organisaties de mogelijkheid bieden om – ook financieel gezien – moeiteloos over te stappen op een echte toekomstbestendige endpoint security oplossing. Het is niet voor niets dat het onafhankelijke analistenbureau Forrester TRAPS onlangs als leider op het gebied van geavanceerde malwarebestrijding heeft benoemd.”

TRAPS is ontwikkeld door Palo Alto Networks, de vooraanstaande Amerikaanse producent van security oplossingen. ON2IT, dé Nederlandse partner Palo Alto Networks, biedt TRAPS als 24/7 managed service aan. Hierdoor hoeven organisaties zich geen zorgen meer te maken over implementatie en beheer.

TRAPS onderscheidt zich op diverse onderdelen van traditionele endpoint-beveiligingsoplossingen.

Antivirus (detectie off) vs TRAPS (preventie on)avvstraps-watermark

,

Tip #4: Geen bezoekers zonder begeleiding!

Hoewel de meeste bedrijven een vorm van bezoekersregistratie doen vanuit het oogpunt van bedrijfshulpverlening, is beveiliging hier enigszins onderbelicht. Sommige organisaties laten nog steeds leveranciers en bezoekers ter plekke toe, voordat van tevoren bekend is dat zij komen.

Misschien vindt u het ‘te veel van het goede’, maar toch blijven we binnen ON2IT – én bij onze klanten – benadrukken: In een veilige omgeving dienen bezoekers en leveranciers van tevoren te worden geregistreerd, met naam en toenaam, inclusief het tijdstip van afspraak en de contactpersoon. De ontvanger blijft persoonlijk verantwoordelijk voor de bezoeker en dient deze te begeleiden tot en met vertrek uit het pand. Sterker nog: ruimtes waar zich informatie en IT-voorzieningen bevinden, behoren voorzien te zijn van fysieke toegangsbeveiligingen. Bezoekers dienen in deze ruimtes altijd begeleid te worden!

Cybersecurity 2017: datanationalisme

De jaarlijkse vooruitblik op politieke, cyber- en terroristische dreigingen is weer beschikbaar in de ‘RiskMap2017’. Het consultancybureau Control Risk belicht diverse thema’s voor dit jaar, waaronder de complexiteit van databescherming en –regelgeving in 2017.

‘In 2017 zien we een opkomst van tegenstrijdige dataregelgeving: de regelgeving over de bescherming van data van de US en die van de EU blijven op gespannen voet staan met elkaar; de Single Digital Market van de EU staat op zichzelf en China en Rusland introduceren nieuwe wetgeving voor cybersecurity. Dit zal leiden tot datanationalisme, waardoor bedrijven data lokaal moeten opslaan tegen extra kosten doordat ze niet langer in staat zijn te voldoen aan wettelijke vereisten voor internationale dataoverdracht.’

Lees het volledige artikel: Data trap 2.0: a double-bind of threats and laws

Corporate Governance Code is vernieuwd

De herziene Nederlandse Corporate Governance Code is onlangs gepubliceerd, met als belangrijke vernieuwing de introductie van cultuur als onderdeel van goede corporate governance. Daarnaast is de Code op veel andere punten geactualiseerd. Lees meer >>

De introductie van cultuur in de Code verlangt van bestuurders en commissarissen dat zij een cultuur creëren die het gewenste gedrag en integer handelen binnen de onderneming stimuleert. Concreet betekent dit dat waarden dienen te worden geformuleerd die passen in de visie van de onderneming. Van het bestuur wordt gevraagd gedrag te stimuleren dat aansluit bij deze waarden en door het tonen van voorbeeldgedrag deze waarden ook actief uit te dragen.

Het formuleren van waarden op het gebied van visie, gedrag en handelen, maakt onderdeel uit van het ON2IT Security Framework. Ook weten hoe een totaalbeeld te krijgen op uw informatiebeveiligingsbeleid en daarmee goede corporate governance?

NEN normering binnen de zorg nu dwingend!

Onlangs is het wetsvoorstel met betrekking tot cliëntenrechten bij elektronische verwerking van gegevens unaniem (!) door de Eerste Kamer aangenomen. Consequentie voor de zorgaanbieders: NEN normeringen zijn nu dwingend.

Zorgaanbieders moeten patiënten uitdrukkelijke toestemming vragen om andere zorgaanbieders op elektronische wijze inzage te bieden in hun medisch dossier. Daarnaast krijgen patiënten het recht op elektronische toegang tot hun medische gegevens. In de overgangstermijn van drie jaar zal o.a. duidelijk worden of een veiliger authenticatiemiddel dan DigID voor online toegang tot patiëntendossiers gebruikt moet gaan worden.

Het wetsvoorstel bepaalt de randvoorwaarden die privacy van patiënten en beveiliging van medische gegevens via een elektronisch uitwisselingssysteem moeten waarborgen.

Privacywetgeving en beveiliging van online uitwisseling van data zijn – niet geheel toevallig – twee pijlers onder het ON2IT Security Framework. Niet voor niets organiseren wij Lunch & Learn sessies om u te helpen een totaalbeeld te hebben op uw informatiebeveiliging. En vervolgens te kunnen aantonen ‘in control’ te zijn.
Beleid, architectuur en operatie aan elkaar koppelen, rekening houdend met kwetsbaarheden, dreigingen en compliance richtlijnen valt immers niet mee.

Kom naar de ON2IT Security Framework Lunch & Learn en leer hoe een totaalbeeld op uw securitybeleid te krijgen, hoe deze te analyseren en te verbeteren waar nodig.

Over beveiliging van patiëntgegevens gesproken…

Op 1 december 2016 is het rapport “onderzoek naar de beveiliging van patiëntgegevens” van PBLQ (het onafhankelijke adviesorgaan voor de publieke sector) verschenen. Dit onderzoek is uitgevoerd in opdracht van minister Schippers naar aanleiding van een aantal ernstige incidenten eerder dit jaar.

Het rapport is uitvoerig en geeft een goed beeld van de worsteling die de zorgsector ervaart als het gaat om beveiliging van patiëntgegevens. Met meer dan 300 datalekken het afgelopen jaar en de huidige WBP en aanstaande AVG verordening is er – naast toegenomen awareness voor de gevoeligheid van patiëntgegevens – nu ook duidelijk geworden dat een datalek niet een eenvoudige quick-fix is, die door IT opgelost kan worden.
De genoemde worsteling ligt volgens het rapport voornamelijk op organisatorisch vlak. Dus met name de processen en procedures. Daarnaast wordt er aandacht gevraagd voor het bewustwordingsproces van zorgmedewerkers.

Naar mijn mening wordt hier een mooie driehoek gemaakt van organisatorische-, gedrags- en automatiseringsvraagstukken, die gezamenlijk tot een passend Informatie- & Privacy beleid zou moeten leiden.

In de aanbevelingen en de conclusies vind ik echter de aandacht vanuit een ICT-perspectief voor het Informatie- en Privacy-beleid onderbelicht. Wellicht is dit het resultaat van de gekozen ge-interviewden of de gestelde vragen, maar in de vele situaties die ik tegenkom verdient ICT meer aandacht dan in dit rapport besproken wordt.

Ik pleit dan ook voor meer aandacht voor het Informatie- & Privacy beleid vanuit een IT-perspectief.

Zolang zorg mensenwerk is, zal het gedrag van de medewerkers grotendeels de veiligheid van patiëntgegevens bepalen. Het gebruik bijvoorbeeld van USB’s of onachtzaam omgaan met digitale toegankelijkheid, kan ransomware en andere aanvallen activeren of datalekken veroorzaken. Kwaadwillenden zijn uitermate competent en altijd op zoek naar de zwakke plek binnen ziekenhuizen en zorginstellingen. Inmiddels zijn patiëntgegevens meer geld waard dan creditcardgegevens. De zorgmedewerker is weliswaar zorg-bekwaam, maar beveiligings-technisch veelal onbekwaam. De kwaadwillenden aan de andere zijde van de ziekenhuismuur zijn daarentegen zeer bewust en bekwaam bezig om de “muur te slechten” ….. op zoek naar de kroonjuwelen … de patiëntgegevens.

Ik pleit dan ook voor meer aandacht voor het Informatie- & Privacy beleid vanuit een IT-perspectief. In de gesprekken die ik dagelijks voer met zorginstellingen zijn we gezamenlijk op zoek naar “best practices” en handvatten die nodig zijn om patiëntgegevens te beveiligen. Het putten uit een Security Framework met daarin verwerkte, bewezen en toekomstgerichte (cyber)security-oplossingen is daarbij essentieel. Zaak dus om de beste oplossing voor informatiebeveiliging te zoeken, waarin proces (operatie), automatisering (architectuur), mens én organisatie (beleid) in verband met elkaar staan. Op die wijze is IT een onmisbaar onderdeel van het primaire proces in de zorg en ondersteunt het organisaties en medewerkers in hun gedrag en processen, zonder daarbij de vertrouwelijkheid van patiëntgegevens uit het oog te verliezen….

Adrian Ariese
Security Specialist Gezondheidszorg bij ON2IT 

,

Tip #3: Clean desk, documents & devices? Clear mind!

Ik blijf het herhalen: ook al heeft u alles op orde qua IT-security, houd rekening met de risico’s van ‘onbewust onbekwame’ medewerkers als het gaat om informatiebeveiliging! De basisregels?

  • Clean desk policy helpt te voorkomen dat vertrouwelijke documenten op werkplekken blijven slingeren. Onderdeel van de clean-desk policy is echter ook: zet altijd direct schermbeveiliging aan – ook bij kort verlaten van de werkplek. En ….. loop direct naar de printer in geval van afdrukken van vertrouwelijke of geheime gegevens!
  • Maak medewerkers ervan bewust dat ICT apparatuur gebruikt mag worden als ‘goed huisvader’: een laptop onzichtbaar in een kofferbak is ook te traceren voor kwaad willenden!
  • Vergroot het bewustzijn over informatiebeveiliging bij medewerkers. Blijf de regels herhalen en help ze ‘wennen’ aan een clear mind op het gebied omgang met geheime en vertrouwelijke bedrijfsinformatie.

De (nieuwe) wet- en regelgeving heeft steeds meer impact op omgang met privacy gevoelige gegevens, dus ook op het bewustzijn hierover bij medewerkers. In dat kader verzorgt ON2IT ‘awareness assessments’. Neem contact op voor meer informatie >>

ON2IT en CAM IT Solutions verbeteren samen veiligheid van IT-platform voor gezondheidszorg

Waardenburg, 7 december 2016 – Beveiligingsexpert ON2IT gaat een samenwerking aan met Cam IT Solutions, aanbieder van IT-oplossingen voor de healthcaresector, om CAMCUBE Healthcare Platform te wapenen tegen cybercriminaliteit. Met de samenwerking combineren de twee organisaties techniek, diagnose en beleid om data binnen het ICT-platform voor de gezondheidszorg beter te beveiligen en te beschermen. Doel is gezamenlijke klanten te ontzorgen. De kant-en-klare dienst van de partijen maakt dat klanten geen omkijken hebben naar het platform en zelf dus geen technische kennis nodig hebben.

CAMCUBE Healthcare Platform is een virtuele private cloud die wordt gebruikt in de gezondheidszorg. Het platform levert de benodigde virtuele resources, zoals opslag, servers en netwerk, flexibel aan applicaties die vervolgens via een sterk gecontroleerd proces voor gebruikers worden ontsloten. De oplossingen binnen CAMCUBE zijn gebaseerd op de bestaande technologie van marktleiders als NetApp, Commvault, VMware, Microsoft en Citrix.

Beveiliging van het hoogste niveau

Organisaties die actief zijn in de gezondheidszorg, moeten zich aan de NEN7510-norm conformeren, een vereiste waaraan CAMCUBE mede dankzij de samenwerking met ON2IT ruimschoots voldoet. De beveiligingsexpert breidde samen met CAM IT de perimeterbeveiliging uit, trok deze door binnen de grenzen van het CAMCUBE-platform en harmoniseerde deze in één managed service. Daardoor is het mogelijk om informatie te classificeren en op basis daarvan automatisch de correcte beleidsregels toe te passen op alle technische beveiligingsmaatregelen: vanaf de bron tot aan de gebruiker.

“Met compliance-ontwikkelingen als de meldplicht datalekken en de Wet bescherming persoonsgegevens is security binnen de zorg belangrijker dan ooit”, zegt Willem Drijver, CEO van Cam IT Solutions. “Het is dus essentieel om security in ons platform op een hoog niveau te houden. Door onze strategische samenwerking met ON2IT zijn wij in staat zorginstellingen een nog beter en veiliger platform te bieden.”

“Eén en één is drie door deze samenwerking”, zegt Marcel van Eemeren, CEO van ON2IT. “Het beste platform en de beste beveiliging onder één verantwoordelijkheid. Dit is belangrijk, omdat de ontwikkelingen elkaar zo razendsnel opvolgen. Daar zitten wij in deze samenwerking als innovatieve spelers vanuit onze eigen expertise bovenop, letterlijk ‘ON2IT’. CAM IT Solutions is een sterke innovator op het gebied van Platform-as-a-Service in de zorg. Wij van ON2IT vernieuwen ons continu op het gebied van IT-security. Dus in plaats van de inzet van één ijzersterke expertise kan een ziekenhuis nu kiezen voor een platform én voor security, die allebei klaar zijn voor de toekomst.”

Over CAM IT Solutions

CAM IT Solutions is leverancier van IT-oplossingen voor de healthcaresector, waaronder CAMCUBE Healthcare Platform. Het bedrijf ziet IT als een onmisbaar middel om de effectiviteit en kwaliteit van de processen binnen een organisatie te verbeteren. Om maximaal resultaat te bereiken, is daarbij een focus nodig op het optimaal faciliteren van applicaties en informatie aan de medewerkers. CAM IT Solutions helpt bedrijven hierbij door het ontwerpen, bouwen, onderhouden en ontwikkelen van een gedegen en flexibele technische IT-infrastructuur.

Over ON2IT

ON2IT biedt cybersecurityoplossingen en managed cybersecurity services aan Europese bedrijven die wereldwijd actief zijn. Dat gebeurt op basis van het speciaal hiervoor ontwikkeld ON2IT Security Framework met Zero Trust als basis. Onze eigen, in-house ontwikkelde managed services portal is het centrale loket van waaruit diensten, beleid, threat management en rapportages worden geleverd.
Met ON2IT security services en solutions zijn organisaties in staat om aantoonbaar ‘in control’ te zijn over informatiebeveiliging: voldoen aan nationale en internationale privacyrichtlijnen, zicht hebben op cybersecurity threats en juist beveiligen van endpoints, IT-infrastructuur, datacenter en cloud.
ON2IT werkt samen met toonaangevende securitypartners en is ISO27001 gecertificeerd.

Kijk voor meer informatie op www.on2it.net/partners/cam-it-solutions en volg ons via @on2it op Twitter.

Mediacontact:

ON2IT B.V.
Femke Ververs

Marketing & Communicatie Manager
T: 088-2266200
E: femke.ververs@ON2IT.net
W: www.ON2IT.net / www.brightandcloudy.nl
Cam IT Solutions B.V.
Tom Storm
Go-To-Market Manager
T: 030-6005030
E: t.storm@cam.nl

ON2IT B.V. geselecteerd als VMware Professional Service Organization (PSO) Partner Noord-EMEA

Waardenburg, 24 november 2016 – ON2IT B.V. – IT-securityspecialist sinds 2005 – is door VMware geselecteerd als VMware PSO-partner Noord-EMEA. ON2IT is gekozen op grond van zijn uitgebreide kennis en bewezen ervaring op het gebied van netwerkvirtualisatie en IT-security.

Met de introductie van VMware’s Cloud-foundation beschikken klanten over een complete private cloud-stack. Deze is dankzij de recent aangekondigde samenwerking met IBM en Amazon snel te verbinden met de public-cloud. Dankzij VMotion, VMware NSX en VMware Cloud-foundation is een veilige en krachtige oplossing te creëren.

Pittige selectie PSO-partners

“De selectie door VMware was veelomvattend en pittig”, zegt Marcel van Eemeren, CEO van ON2IT B.V. “De partnerselectie vindt plaats op basis van operationele, financiële en technische aspecten. Onze medewerkers werden gescreend op het gebied van kennis, kwaliteit, maar ook op hun bereidheid tot reizen. VMware wil goed in beeld krijgen of partners zich écht onderscheiden op het gebied van de technische capaciteiten om hun producten te ondersteunen. Bijkomend voordeel is dat de PSO-credits van klanten bij VMware nu ook voor realisatie van IT-securityprojecten kunnen worden aangewend.”

Eerder dit jaar werd de kennis en kunde binnen ON2IT beloond met de Innovation Award: VMware NSX EMEA Partner of the Year 2015. Met de benoeming tot PSO-partner zal samenwerking en kennisdeling dan ook verder worden geïntensiveerd.

Over ON2IT

ON2IT biedt cybersecurity-oplossingen en managed cybersecurityservices aan Europese bedrijven die wereldwijd actief zijn. Dat gebeurt op basis van een speciaal hiervoor ontwikkeld security framework met zero trust als basis. Onze eigen, in-house ontwikkelde managed servicesportal is het centrale loket van waaruit diensten, beleid, threat management en rapportages worden geleverd. ON2IT kreeg eerder de VMware Partner Innovation Award als ‘NSX Partner of the Year’ en kreeg verder de awards voor Benelux Partner of the Year 2016, EMEA TRAPS Partner of the Year en EMEA Q3FY16 TRAPS Partner van Palo Alto Networks.

Meer informatie vindt u op www.on2it.net/partners/vmware

 

SafeBreach selecteert cybersecurityspecialist ON2IT als eerste Europese partner

ON2IT breidt portfolio securityoplossingen en -diensten voor zakelijke klanten uit met een geautomatiseerd platform dat 24/7 veilig hackt.

Waardenburg, 17 november 2016 – Cybersecurityspecialist ON2IT gaat een samenwerking aan met SafeBreach, pionier op het gebied van doorlopende securityvalidatie. ON2IT is de eerste Europese partner van SafeBreach.

Organisaties wereldwijd vechten continu tegen een toenemend aantal security-incidenten en datalekken. Het SafeBreach-platform biedt organisaties zicht op hun securityprotocollen vanuit een hackersperspectief, voor uitgebreide en doorlopende beveiligingsbeoordeling, -validatie en -verslag. SafeBreach test op automatische wijze aanvalsmethoden met behulp van een Hacker’s Playbook™ –bestaand uit onderzoek(data) gebaseerd op waargebeurde incidenten. SafeBreach bekijkt kwetsbaarheden in de context van de systemen waarin ze voorkomen en de invloed die ze hebben op de netwerkrelaties. Zo wordt de grootte van de impact van een echte aanval geanalyseerd. Dit stelt klanten vervolgens in staat gaten in hun infrastructuur op slimme wijze te dichten, waardoor meer schade wordt voorkomen.

“ON2IT is een ideale partner, omdat het bedrijf uitstekende kennis heeft van beveiliging en succesvol samenwerkt met bedrijven als Palo Alto Networks en VMware,” zegt Simon Naldoza, vicepresident Strategic Alliances bij SafeBreach. “ON2IT heeft laten zien dat het de beste securityoplossingen kan integreren voor zijn Europese zakelijke klanten. Het securityvalidatieplatform van SafeBreach is een aanvulling op het bestaande portfolio van ON2IT.”

“De oplossing van SafeBreach, die securityprotocollen test en de impact van aanvallen analyseert, wordt door CISO’s en CSO’s met open armen ontvangen,” zegt Marcel van Eemeren, oprichter en CEO van ON2IT. “Aan het tijdperk van jaarlijkse en driemaandelijkse IT-audits komt een einde. Moderne bedrijfsomgevingen en cloudmigratie vergen continue real-time bedreigingsanalyse. SafeBreach voorziet zakelijke klanten als het ware van een geautomatiseerd in-house securityteam. Door aanvallen in een veilige omgeving te simuleren, krijgen organisaties de tijd om kritieke risico’s aan te pakken en de incidentresponse in het geval van een lek in het algemeen te verbeteren.”

Over SafeBreach

SafeBreach is een pionier op het gebied van continue securityvalidatie. Het baanbrekende platform van het bedrijf bekijkt de securityprotocollen van een bedrijf vanuit een hackersperspectief, om op proactieve wijze aanvallen te voorspellen, beveiligingsmaatregelen te valideren en reacties van SOC-analisten te verbeteren. SafeBreach test op automatische wijze aanvalsmethoden met behulp van een uitgebreid en groeiend Hacker’s Playbook™ bestaand uit onderzoek(data) gebaseerd op waargebeurde incidenten. Het bedrijf wordt ondersteund door Sequoia Capital, Deutsche Telekom Capital, Hewlett Packard Pathfinder en investeerder Shlomo Kramer. SafeBreach is bekroond met een 2016 SINET 16 Innovator en wordt vermeld in de RSA 2016 Innovation Sandbox. Bezoek voor meer informatie www.safebreach.com of volg ons op Twitter.

Over ON2IT

ON2IT biedt cybersecurity-oplossingen en managed cybersecurity-services aan Europese bedrijven die wereldwijd actief zijn. Dat gebeurt op basis van een speciaal hiervoor ontwikkeld security framework met zero trust als basis. Onze eigen, in-house ontwikkelde managed services-portal is het centrale loket van waaruit diensten, threat management en rapportages worden geleverd. ON2IT kreeg eerder de VMware Partner Innovation Award als “NSX Partner of the Year” en kreeg  verder de awards voor Benelux Partner of the Year 2016, EMEA TRAPS Partner of the Year en EMEA Q3FY16 TRAPS Partner van Palo Alto Networks. Kijk voor meer informatie op www.on2it.net of volg ons via @on2it op Twitter.

Meer informatie vindt u op: www.on2it.net/partners/safebreach

Kans dat slordige gebruikers in de problemen komen groter dan ooit: aantal endpoints geëxplodeerd

We zijn inmiddels gewend geraakt aan het feit dat veel apparaten die zich op het bedrijfsnetwerk willen begeven, zich niet binnen de corporate firewall bevinden. Op zich niet zo nieuw, want inmiddels is het alweer zeker twintig jaar gewoon dat medewerkers met laptops van afstand toegang krijgen tot het bedrijfsnetwerk en dat medewerkers thuis zijn gaan werken op privé-Pc’s. Veel organisaties waren dan ook tevreden met het gebruik van een VPN verbinding en de belofte van medewerkers dat ze een goed antivirusprogramma zouden gebruiken. Maar omdat het toch ook nogal eens mis ging, is het concept van endpoint security ontstaan.

De kern van endpoint security is dat een apparaat dat van afstand toegang probeert te krijgen tot het bedrijfsnetwerk eerst moet bewijzen dat het voldoet aan de beveiligingsstandaarden die het bedrijf heeft geformuleerd voor deze apparaten. Een endpoint security platform kan er vervolgens voor zorgen dat die scan niet alleen plaatsvindt, maar dat het apparaat ook beschikt over de juiste software om daar aan te voldoen, zoals personal firewall, antimalware en andere oplossingen.

Inmiddels is met de komst van slimme apparaten, vooralsnog met name de smartphone en de tablet, het aantal endpoints geëxplodeerd. Daarmee is de kans dat slordige gebruikers in de problemen komen, groter dan ooit. En daarmee is het ook aantrekkelijker dan ooit voor kwaadwillenden om zich op deze endpoints te richten. Iedere organisatie dient inmiddels dan ook over een endpoint security strategie te beschikken. We zien echter dat lang niet iedere Nederlandse organisatie hiermee even ver is.

slordige-gebruikers-endpoint-security-diagram

Figuur 1: Welke beveiligingsmaatregelen heeft uw organisatie genomen om bedrijfsdata te beschermen op smartphones en tablets? [Organisaties met 50 of meer medewerkers]


Stijging policies en technologie

De meest voorkomende maatregel om mobiele apparaten te beveiligen is het gebruik van antimalware oplossingen. En hoewel het aantal organisaties dat daar gebruik van maakt duidelijk is toegenomen in vergelijking met vorig jaar, hebben we het dan nog steeds over slechts 40% van de Nederlandse organisaties. Toch zien de meeste bedrijven dat het onvoldoende is om alleen te vertrouwen op inspanningen om het bewustzijn bij gebruikers te verbeteren. We zien een duidelijke stijging op het gebied van policies: organisaties geven steeds vaker een beperkte, veelal rol-gebaseerde, toegang tot bedrijfsdata en er zijn steeds vaker duidelijke richtlijnen voor de omgang met security op mobiele apparaten. We zien ook een duidelijke stijging in het gebruik van technologie. Niet alleen het gebruik van antimalware is sterk toegenomen, maar ook bijvoorbeeld het gebruik van encryptie komt steeds meer voor.

Niet meer dan 25% van de Nederlandse organisaties zegt in de Nationale IT-Security Monitor 2016 dat ze prioriteit geven aan investeringen in mobiele beveiliging.

Het is de vraag of Nederlandse organisaties voldoende investeren in endpoint security. Niet meer dan 25% van de Nederlandse organisaties zegt in de Nationale IT-Security Monitor 2016 dat ze prioriteit geven aan investeringen in mobiele beveiliging. Dat is duidelijk lager dan de 28% die we vorig jaar constateerden. Dat ligt overigens niet alleen aan de gebruiker zelf. In de praktijk blijkt dat veel gebruikers van endpoint security platforms, 44% volgens Gartner, alsnog met endpoint security incidenten te maken krijgen. De volwassenheid van sommige van deze platforms kan dus in twijfel worden getrokken, waardoor sommige IT beveiligers ze voorlopig liever mijden. Voor een steeds belangrijker deel is de opkomst van Advanced Persistent Threats (APT) hiervoor verantwoordelijk. Het is hoe dan ook steeds belangrijker om niet alleen te voorkomen, maar ook om over een goed intrusion detectiesysteem te beschikken, zodat incidenten sneller kunnen worden ingeperkt.

Malware sandboxing zorgt voor meer veiligheid

Gelukkig zien we  beweging bij een aantal endpoint security platforms. Zo zijn steeds meer platforms in staat om ook te reageren op gevonden bedreigingen, hoewel dat zeker nog geen gemeengoed is. Ook de opkomst van malware sandboxing zorgt voor meer veiligheid, maar ontbreekt nog bij veel platforms. Deze functionaliteiten kunnen we vooral terugvinden in oplossingen voor grote organisaties, waar de noodzaak ook het grootst aanwezig is. Veel kleine en middelgrote bedrijven zullen zich eerder tevredenstellen met lichtere platforms, die beter betaalbaar en beheersbaar zijn, want ook op dat vlak laten veel platforms te wensen over. Een ander obstakel van endpoint protection systemen is dat veel oplossingen niet alle mobiele besturingssystemen ondersteunen, waardoor niet alle mobiele apparaten gebruik kunnen maken van de oplossing.

Naast de ontwikkelingen bij de traditionele leveranciers, zien we ook nieuwkomers op de markt. Deze nieuwe spelers, ook steeds meer traditionele leveranciers trouwens, gebruiken veelal een SaaS-model, waarbij ze het beheer uit handen nemen en kunnen ontzorgen op dit gebied. Zo hoeven bedrijven zelf minder te investeren in kennis van mobiele security. Nieuwkomers bieden interessante functionaliteiten als machine learning algoritmes en cloud sandboxing die vaak nog niet in meer traditionele platforms aanwezig zijn. De meeste nieuwkomers positioneren zich als aanvullend op de huidige platforms, maar een enkeling probeert ook al om de bestaande leveranciers frontaal aan te vallen.

Endpoint security wordt steeds belangrijker

Hoe de markt voor endpoint security platforms zich ook ontwikkelt, Nederlandse organisaties zullen moeten erkennen dat endpoint security steeds belangrijker wordt en dat ze constant moeten evalueren of ze wel de juiste maatregelen nemen om dit te garanderen. Het zoeken naar een geschikt endpoint security platform is daarbij belangrijk, maar biedt nog geen garanties. Zorg dus voor goede richtlijnen, maak ook de gebruiker daarvan bewust en laat zeker niet alle deuren open gaan.

Bron:  Pb7 Research (Pb7 Research is an independent Dutch research company that provides market research and consulting for ICT vendor)

,

De professionals binnen ransomware kringen

Hackers zijn gewoon hele slimme zakenlui!

Voorheen werden hackers omschreven als ‘nerdie personen die kwajongensstreken uithalen’. Inmiddels is wel duidelijk dat die overtuiging niet meer klopt en er al iets te veel organisaties en personen slachtoffer zijn geworden van ransomware en cryptolockers. De omschrijving ‘criminelen’ is misschien treffender. Als we echter goed kijken hoe deze illegale organisatie lijkt op legale organisaties, dan moeten we ons realiseren dat deze criminelen professioneel te werk gaan. De online businessmodellen hebben sterke overeenkomsten met succesvolle legale businessmodellen. Misschien moeten we gewoon zeggen dat het hele slimme zakenlui zijn die voor het snelle geld gaan!

Professionele disciplines binnen Hacker BV

De professionele R&D afdeling zorgt voor solide ransomware applicaties. Die hebben in het begin misschien nog ‘kinderziektes’ waar antivirus partijen dan nog bescherming tegen bouwen, maar de ransomware ontwikkelaars en testers gaan ook verder. Applicaties worden doorontwikkeld om:

  • Documenten te encrypten en wel op zo’n manier dat het door security partijen niet te doorbreken is
  • De ‘decrypt-sleutel’ dusdanig veilig op te slaan in de cloud dat security partijen er niet bij kunnen
  • Het slachtoffer een melding te doen over de ransomware en de gewenste betaling
  • Het slachtoffer de ‘decrypt- sleutel’ aan te bieden nadat betaling is verricht.

Daarnaast testen de R&D-ers de ransomware code continu op bestaande en nieuwe antivirus software, om er zeker van te zijn dat de code niet wordt gezien door security partijen.

Nieuwe leads worden door het marketing team gegenereerd met behulp van online marketing zoals email campagnes. Ervaren en professionele social media marketeers worden ingezet om SPAM en phishing mails te ontwerpen. Het doel van de marketing is – net zoals in uw organisatie – de lezer te overtuigen om de gewenste actie uit te voeren. In het geval van Hacker BV is het resultaat echter anders: u wil uw prospect graag tot tevreden klant maken; Hacker BV zorgt ervoor dat de prospect onbewust klant is en de ransomware uitzet binnen de organisatie.

Het marketing team is ook verantwoordelijk voor het optimaliseren van de ransomware berichten, waarin gebruikers gemeld wordt dat de werkplek is geïnfecteerd of ge-encrypt door ransomware. Bij die optimalisatie wordt aandacht besteed aan:

  • Eenvoud van het bericht: lezers moeten meteen kunnen lezen en begrijpen wat ze te doen staat
  • Overtuigkracht van het bericht: lezers moeten bang genoeg worden om snel tot betaling over te gaan
  • ‘Flexibiliteit’ van de afkoopsom: de meeste ransomware applicaties hebben een flexibele prijsstelling, het bedrag moet kloppen bij de mogelijkheden van de lezer. Prijzen voor zakelijke lezers zullen hoger liggen dan voor ‘individuelen’.

Eerdere metingen dit jaar melden dat 30% van de phishing mails werden geopend en ongeveer 12%  van die lezers overgingen tot de gevraagde actie. En daarmee de ransomware tot een succes maakten…

Tot slot is er het team Operations, dat verantwoordelijk is voor de voortgang van betalingen en zorgt dat geldstromen onzichtbaar blijven voor wetgevers en –handhavers.

Hoe blijft u ransomware professionals de baas?

Hoe veilig zijn de servers en endpoints zoals desktops, laptops en tablets binnen uw organisatie als het gaat om de nieuwste dreigingen? Bent u het volgende doelwit van ransomware? Traditionele endpoint securitymaatregelen voldoen niet meer om hedendaagse geavanceerde cybercrime-aanvallen tegen te houden. Het enige antwoord hierop is TRAPS.

Schrijf in voor één van onze TRAPS roadshows of neem contact op  om u te laten informeren over Advanced Endpoint Security.

Bron: Landesk

 

,

Tip #2: Classificeer informatie en handel ernaar

Natuurlijk behandelt u informatie, apparatuur en personeel van klanten en uw organisatie altijd zorgvuldig. Maar zorg ook dat informatie is geclassificeerd en handel hiernaar, daarvoor doet u per slot van rekening aan informatiebeveiliging. Verlies of diefstal van informatie kan invloed hebben op bedrijfseconomische aspecten zoals concurrentiepositie, imago en kostenaspecten. Een informatiebeveiligingsincident is dus als informatie, apparatuur of personeel op plekken terecht komt waar deze niet hoort of gevaar loopt. Vraag ons om een classificatieschema met bijbehorende regels als u deze nog niet op orde heeft.

Zeven trends op het gebied van cybercrime

Europol heeft zeven belangrijke trends op het gebied van cybercrime in kaart gebracht, omdat de hoeveelheid cybercrime, de omvang van cyberaanvallen en de kosten die deze met zich meebrengen blijven stijgen. In sommige lidstaten van de Europese Unie (EU) levert cybercriminaliteit inmiddels meer schade op dan traditionele misdaad. Allerlei nieuwe aanvallen en dreigingen duiken hierbij op. 

Europol stelt dat de toenemende schade door cybercriminaliteit onder andere wordt aangewakkerd door de grote winsten die criminelen kunnen realiseren met deze activiteiten. Ook de beschikbaarheid van nieuwe tools gericht op fraude met pinautomaten en mobiele malware dragen hieraan bij. Europol stelt echter ook dat veel bedrijven en personen hun digitale beveiliging slecht op orde hebben, wat cybercriminelen in de kaart speelt. De Europese opsporingsinstantie ziet op dit moment de volgende trends:

Trend 1: Crime-as-a-Service

Het Crime-as-a-Service model komt steeds vaker voor in de digitale onderwereld. Hierbij komen gespecialiseerde leveranciers van cybercrime-tools en -diensten in contact met een toenemend aantal georganiseerde misdaadgroeperingen. Europol waarschuwt dat in toekomst ook terroristen naar verwachting gebruik zullen maken van dergelijke diensten.

Trend 2: Ransomware

Ransomware en banktrojans blijven de belangrijkste malwaredreigingen. Europol verwacht niet dat dit op korte termijn zal veranderen.

Trend 3: Crimineel gebruik van data

Data blijft een belangrijke commodity voor cybercriminelen. Data wordt in veel gevallen ingezet om directe financiële winst te realiseren. Cybercriminelen kiezen er echter ook steeds vaker voor data in te zetten voor complexe fraude, data te versleutelen om losgeld te kunnen eisen of slachtoffers met gestolen data rechtstreeks af te persen.

Trend 4: Betaalfraude

EMV certificering, geo-blokkades en andere maatregelen die de sector neemt, blijft betaalfraude in de Europese Unie (EU) terugdringen. Logische en malware aanvallen gericht op geldautomaten worden echter steeds verder ontwikkeld. Georganiseerde misdaadgroepen manipuleren steeds vaker betalingen via contactloze (NFC) kaarten.

Trend 5: Misbruik van het Darknet

Het Darknet blijft criminelen in staat stellen illegale activiteiten uit te voeren. De mate waarin extremistische groepen op dit moment gebruik maken van cybertechnieken om aanvallen uit te voeren is nog beperkt, maar de beschikbaarheid van cybercrime tools en diensten en de beschikbaarheid van onder andere vuurwapens op het Darknet bieden hiervoor mogelijkheden.

Trend 6: Social engineering

Het aantal phishing aanvallen gericht op zogeheten ‘high value’ doelwitten dat is opgemerkt door opsporingsinstanties in de private sector is toegenomen. CEO fraude, een variant van spear phishing, is een belangrijke dreiging geworden.

Trend 7: Virtuele betaalmiddelen

Bitcoin blijft het betaalmiddel naar keuze voor criminelen producten en diensten in de digitale onderwereld en het Darknet. Bitcoin is daarnaast het standaard betaalmiddel geworden voor betalingen bij afpersingen.

Bron: Europol

John Kindervag: Amerikaanse overheid nu ook aan Zero Trust

‘Het uitgangspunt van het Zero Trust model stelt dat gebruikers binnen een netwerk niet betrouwbaarder zijn dan gebruikers buiten dat netwerk,’ vat het lijvige rapport samen, dat het resultaat is van een jaar lang onderzoek naar de grote cyberaanvallen op de U.S. Office of Personnel Management. Bij de diverse aanvallen werden persoonsgegevens van meer dan 22 miljoen Amerikanen moedwillig openbaar gemaakt.

Het uitgangspunt van het Zero Trust model stelt dat gebruikers binnen een netwerk niet betrouwbaarder zijn dan gebruikers buiten dat netwerk.

Bron: USA Today – 7 september 2016 – Lees het hele artikel>>

,

Advies Cyber Security Raad: beveiliging moet hoger op de agenda

Deze week heeft de Cyber Security Raad – onderdeel van het Ministerie Veiligheid en Justitie – het Cybersecurity Beeld Nederland 2016 naar de Tweede Kamer verstuurd. Het rapport gaat gepaard met een serieuze waarschuwing om cybersecurity hoger op de agenda van overheid, bedrijfsleven en burgers te plaatsen. Hoewel een steeds groter deel van onze handel en wandel zich digitaal afspeelt, is men zich onvoldoende bewust dat digitale dreigingen hand over hand toenemen voor Nederland.

Uit het Cyber Security Beeld Nederland 2016 blijkt dat cybercrime een ernstige bedreiging vormt voor politiek, bestuur, concurrentiepositie en economie. Dit kan serieuze gevolgen hebben voor rechtsorde en welvaart.

‘Meer investeren in digitale veiligheid’

Met de steeds verdergaande digitalisering – waarmee Nederland overigens voorop loopt binnen Europa – neemt ook de noodzaak van beveiliging toe. Volgens de Cyber Security Raad is het hoog tijd om cybersecurity hoger op de agenda te krijgen binnen overheid, bedrijfsleven en burgers. Initiatieven uitbreiden en opstarten en de digitale toekomst van ons land veilig stellen is het motto. ‘Meer investeringen in digitale veiligheid’ het devies, aldus de Cyber Security Raad.

Het rapport Cybersecurity Beeld Nederland 2016 kunt u hier downloaden. Graag helpen wij u bij het beoordelen waar u staat met uw cybersecurity beleid, dit doen wij met behulp van het ON2IT Security Framework. Meer informatie over het ONSF >>

,

Tip #1: Wachtwoorden, een noodzakelijk kwaad

Wachtwoorden voor welke applicatie dan ook, moeten uniek zijn. Nog liever een zin dan een woord. Omdat iedere applicatie tegenwoordig een wachtwoord nodig heeft, is het handig om een wachtwoord manager te gebruiken zoals LastPass of KeePass. Dit is het veiligst in combinatie met een afzonderlijke verificatie per telefoon.

,

Richt uw IT-security beter in met behulp van het ON2IT Security Framework

Bent u aantoonbaar ‘in control’?

Ook voor uw organisatie geldt een totaalpakket aan richtlijnen voor informatiebeveiligings-maatregelen, waarbij het bewust zijn van risico’s en het nemen van verantwoordelijkheid centraal staan. Een solide beveiligingsarchitectuur en een efficiëntie security operatie zijn nodig om invulling te geven aan deze richtlijnen. Zijn uw huidige architectuur, organisatie en processen in lijn met deze richtlijnen? En houdt u daarnaast rekening met de WBP en de Europese General Data Protection Regulation (GPDR)? Kortom: bent u ‘in control’ over de informatiebeveiliging binnen uw organisatie?

Met de 0-meting en de uitvoering van continue risico-analyses en compliance-analyses is het Security Framework hét instrument om te meten én aan te tonen of de organisatie ‘in control’ is op het gebied van informatiebeveiliging.

Het ON2IT Security Framework

ON2IT helpt uw IT-security beter in te richten met behulp van het ON2IT Security Framework (ONSF). In het ONSF zijn de functionele en organisatorische uitgangspunten van uw organisatie leidend. Deze worden op basis van ‘best practices’ vertaald in een optimale security architectuur en efficiënte operatie. Bedreigingen en kwetsbaarheden worden onschadelijk gemaakt door de juiste balans tussen preventieve-, beschermende-, controlerende- en herstelmaatregelen.

Het ONSF helpt met de identificatie van mogelijke risico’s, adviseert over de inzet van de juiste preventie-, detectie- en response- maatregelen. Het framework bestaat uit vier elementen:

  • Programma (beleid): business requirements en risicomanagement. Ook de GAP-analyse ontbreekt hierbij uiteraard niet.
  • Bestuur (beleid): de principles en policies van een organisatie en het bijbehorende auditproces.
  • Architectuur: de koppeling tussen het vastgestelde beleid en de technische uitvoering ervan, conform een beveiligingsarchitectuur.
  • Operatie: de uitvoering van de vastgestelde IT-security beleidsprocessen, zoals event-, vulnerability- en incidentmanagement, compliance & reporting.

De dienstverlening rondom ONSF start met de 0-meting. Hierin worden onder andere een kwetsbaarheids-, risico- en architectuur- analyse uitgevoerd om te meten én aan te tonen of de organisatie ‘in control’ is op het gebied van informatiebeveiliging.

Er wordt rekening gehouden met kwetsbaarheden (vulnerabilities), dreigingen (threats), cultuur en sector-gerelateerde compliance richtlijnen. Door daarnaast beleid, architectuur én operatie aan elkaar te relateren ontstaat een overzichtelijk totaalbeeld op informatiebeveiliging. Informatiebeveiliging is immers geen technische oplossing alleen, maar een samenhang tussen beleid, mens en maatregel.

Door het volgen en implementeren van het ON2IT Security Framework is ook uw organisatie in staat om middels compliance-rapportages aan te tonen dat u ‘in control’ bent. Wilt u compliance aantonen dan is het ON2IT Security Framework de basis voor uw security architectuur. Neem contact op voor meer informatie >>

, ,

ON2IT onderscheiden met drie Partner Awards van Palo Alto Networks

Beveiligingsexpert ON2IT is wederom en voor het tweede jaar op rij door Palo Alto Networks onderscheiden met dit keer drie awards. De Amerikaanse leverancier van hoogwaardige beveiligingsoplossingen riep ON2IT uit tot Benelux Partner of the Year 2016, EMEA TRAPS Partner of the Year en EMEA Q3FY16 TRAPS Partner van het kwartaal. Dat gebeurde tijdens de interne saleskick-off van Palo Alto Networks bij de start van het nieuwe boekjaar 2017.

“Marcel en het ON2IT team hebben hun 3 onderscheidingen dubbel en dwars verdiend.”

(René Bonvanie, EVP en CMO bij Palo Alto Networks.)

ON2IT ontvangt de awards vanwege zijn innovatieve aanpak voor wat betreft de inzet van het Palo Alto Networks-portfolio, zijn focus en toewijding, en de managed services die het bedrijf ontwikkelde rond het portfolio.

Daarnaast heeft ON2IT uitstekende commerciële resultaten geboekt en stond het aan de basis van de Benelux-lancering van Palo Alto Networks TRAPS, een nieuwe-generatie oplossing voor endpoint-protectie.

ON2IT is Palo Alto Networks-partner vanaf 2008 en heeft de hoogste status van Diamond partner. Daarnaast is ON2IT sinds 2009 een erkend Authorized Support Center en Authorized Training Center.

“Dit is een fantastische bekroning op ons werk”, zegt Marcel van Eemeren, CEO van ON2IT. “Wij hebben ons in de loop van de jaren ontwikkeld als de partner van Palo Alto Networks. Daar zijn we trots op. Een belangrijke reden voor groei is, dat we innovatief zijn. Dat zit in ons DNA. Wij hebben de sterke drive om IT-security maximaal uit te voeren. Daarbij biedt TRAPS als nieuwe-generatie oplossing voor endpoint-protectie optimale bescherming tegen ransomware. Wij blijven ons focussen op het bieden van hoogwaardige security aan onze klanten en op een nauwe samenwerking met Palo Alto Networks.”

“Onze jarenlange samenwerking met ON2IT draait om 3 kernpunten: innovatie, hoogwaardige diensten en focus op het succes van onze klanten,” zegt René Bonvanie, EVP en CMO bij Palo Alto Networks. “Marcel en het ON2IT team hebben hun 3 onderscheidingen dubbel en dwars verdiend.”


Event: Bright & Cloudy op 22 september 2016

ON2IT B.V. organiseert op 22 september 2016 de vierde editie van Bright & Cloudy. Tijdens het visie-event krijgen bezoekers in één dag een complete snapshot van alle relevante ontwikkelingen in de snel veranderende wereld van wetgeving, threat en cloud. Toonaangevende analisten en topmensen van de grootste en snelst groeiende IT-ondernemingen in de Verenigde Staten delen hun visie. Een event dat IT-securityprofessionals niet mogen missen.

Onderwerpen op event: digitalisering en IT-securitytransformatie

Tijdens Bright & Cloudy nemen gastsprekers als Barry Russell (Amazon), John Kindervag (Forrester Research), Kevin Poulsen (tophacker en auteur Kingpin), Domenic Delfino (VMware) en Danelle Au (Safebreach) de deelnemers mee in een snel veranderende wereld die vraagt om één kennis- en serviceplatform met daarbovenop apps die risico en impact zoveel mogelijk verkleinen. Deze apps zijn vormfactors van securityoplossingen voor endpoints, netwerken, datacenters en de verschillende clouds. Meer informatie en registratie op www.BrightandCloudy.nl.

,

SafeBreach ‘The Virtual Hacker On Your Site’

Niet voor niets werd SafeBreach tijdens de Black Hat USA in Las Vegas genomineerd als één van de drie finalisten voor de Meest Innovatieve StartUp in de ‘Best of Black Hat Awards Program’.
Tijdens Bright & Cloudy 2016 introduceert ON2IT B.V. dan ook graag de oplossing van ‘uw eigen virtuele hacker in huis’. Hoewel we liefst nu al meer zouden willen melden, houden we het toch nog even bij een ‘sneak preview’:

Zonder gebruikers of infrastructuur te belasten krijgt u een goed beeld welk soort hackers-doelwit uw organisatie kan zijn.

Het innovatieve SafeBreach security platform biedt de mogelijkheid om ‘met hackers-ogen’ naar de IT-security risico’s binnen uw eigen organisatie te kijken. Daarmee wint u tijd om op incidenten vooruit te lopen ……. en ze te voorkomen. Zonder gebruikers of infrastructuur te belasten krijgt u een goed beeld welk soort hackers-doelwit uw organisatie kan zijn.

Of het nu gaat om het gevaar van mogelijke data downloads of infiltratie van uw netwerk, met SafeBreach valideert u uw specifieke beveiligings-maatregelen om te voorkomen dat ‘kroonjuwelen van de organisatie’ in vreemde handen komen.

Neem contact met ons op voor meer informatie óf kom naar Bright & Cloudy en ontmoet de CTO en mede-oprichter en van SafeBreach.

,

Europees Parlement akkoord met nieuwe cybersecurityregels

Recent is het Europees Parlement akkoord gegaan met nieuwe cybersecurityregels waardoor bedrijven die ‘maatschappij kritische diensten’ leveren, hun IT-security moeten opvoeren. Deze nieuwe Europese wetgeving omvat ‘security verplichtingen’ voor de sectoren waar de te leveren dienst essentieel is voor maatschappij en economie. Strengere maatregelen dus om te voorkomen dat betreffende dienst verstoord raakt als gevolg van cybercrime.
Daarnaast zullen de Europese lidstaten een netwerk van Computer Security Incident Response Teams (CSIRTs) moeten samenstellen om incidenten af te handelen en grensoverschrijdende problemen te bespreken.

Met name de energie-, transport-, watervoorziening- , gezondheid- en bankensector zullen op het gebied van deze nieuwe verplichtingen extra in de gaten worden gehouden.

Met name de energie-, transport-, watervoorziening- , gezondheid- en bankensector zullen op het gebied van deze nieuwe verplichtingen extra in de gaten worden gehouden.  Maar ook verschillende digitale aanbieders als online marktplaatsen, zoekmachines en cloud-aanbieders zullen maatregelen moeten nemen om de veiligheid van hun infrastructuur te garanderen. Daarnaast zal voor hen – in geval van grote en grensoverschrijdende incidenten – meldplicht aan nationale autoriteiten gaan gelden.

De nieuwe cybersecurityregels zijn in het EU Official Journal gepubliceerd en zullen op korte termijn  van kracht worden. Europese lidstaten hebben vervolgens 21 maanden om de nieuwe regels in hun nationale wetgeving te verwerken en 6 aanvullende maanden om aanbieders van essentiële diensten te identificeren.

ON2IT Security Framework: ‘in control’ in 5 stappen!

Het ON2IT Security Framework helpt organisaties hun IT-security beter in te richten en – middels rapportages – aan te tonen ‘in control’ te zijn. In het Security Framework  wordt rekening gehouden met kwetsbaarheden (vulnerabilities), dreigingen (threats), cultuur en sector-gerelateerde compliance richtlijnen. Zo houdt het ON2IT Security Framework  ook rekening met de Wet meldplicht datalekken én de Europese General Data Protection Regulation (GPDR) (NIST en ISO).

Informatie beveiliging is geen technische oplossing alleen, maar een samenhang tussen beleid, mens en maatregel. Deze worden op basis van ‘best practices’ vertaald in een optimale architectuur en efficiënte organisatie. Bedreigingen en kwetsbaarheden worden onschadelijk gemaakt door de juiste balans tussen preventieve-, beschermende-, controlerende- en herstelmaatregelen.

Dit alles is samen te vatten in 5 stappen:

  • Stap 1: Identificatie – van mogelijke risico’s, bedreigingen en kwetsbaarheden
  • Stap 2: Preventie – impactzones verkleinen op basis van Zero Trust en beveiliging per zone verhogen
  • Stap 3: Detectie – van ongewenst gedrag door continue pro-active monitoring van het informatiebeveiligingssysteem
  • Stap 4: Respons – op eventuele incidenten
  • Stap 5: Mitigatie – leren van incidenten en verbeteren van processen

Met het ON2IT Security Framework kiest u voor secure networkingsecure endpointsecure datacenter en secure cloud, met als doel data beter te beveiligen volgens het ‘Zero Trust’ uitgangspunt.

Pokémon GO: bent u zich bewust van de risico’s, privacy en datagebruik?

Komt u ze ook tegen? Collega’s op virtuele beestjes jacht? Omdat Pokemon GO daarmee software is geworden dat draait binnen het bedrijfsnetwerk, lijkt het mij geen overbodige luxe om vanuit mijn rol als IT-security officer – binnen een IT-security organisatie – wat extra informatie te geven over de dreiging die een dergelijke app met zich meebrengt. Lees voor de Pokemon GO app overigens elke app die in zeer korte tijd aan populariteit wint.

Potentiële malware

Omdat Pokemon GO bij de release niet in ieder land beschikbaar was, werden downloadbare packages al snel geïnstalleerd op telefoons. Dat in die packages ook remote overname mogelijkheden zaten, waardoor hackers met andere (privé-)gegevens aan de slag konden, was nog niet bekend …..

Geen zin in derden die zich meester maken van de telefoon? Download alleen de officiële app uit de App- of Playstore (of het equivalent van Windows). Daarnaast is er een app die goed is in het tegengaan van mobiele malware. Voor privé gebruikers is deze app gratis te gebruiken.

Vervolgens is het voor hackers gemakkelijk dit opstapje te gebruiken om persoonlijke (of zakelijke!) gegevens uit de telefoon te halen.

‘Opstapje’ voor hackers

Bij alle populaire apps is er kans dat – in de loop der tijd  – een kwetsbaarheid wordt gevonden, die mogelijkheden biedt om telefoons over te nemen. Vervolgens is het voor hackers gemakkelijk dit opstapje te gebruiken om persoonlijke (of zakelijke!) gegevens uit de telefoon te halen.

Helemaal voorkomen is lastig, maar het is belangrijk om telefoons uit te rusten met de laatste patches en bij voorkeur met endpoint-beveiliging.  Daarnaast is het verstandig om te blijven kijken welke rechten de applicatie vraagt van de telefoon. Bij installatie wordt bijvoorbeeld gevraagd om toegang tot contacten en locatie. Dit verandert na verloop van tijd nog wel eens, dus is het verstandig om af en toe eens te evalueren welke rechten de verschillende apps hebben en de noodzaak ervan.

Privacy & Datagebruik

Apps willen aardig wat van gebruikers weten en Pokemon GO werkt het liefst met een Google account, omdat het systeem Google Maps gebruikt als basis. Om privacy beter te beschermen is het verstandig om hiervoor een apart Google account aan te maken. Met het gebruik van Google Maps voor deze app, is het bovendien efficiënt om de eigen stad offline beschikbaar te stellen in Google Maps. Dit scheelt namelijk – afhankelijk van hoe fanatiek men is – een paar gigabyte 3G of 4G.

Last but not least wil ik melden dat het niet de bedoeling kan zijn om dergelijke apps op een zakelijke telefoon te spelen, maar dat is misschien een ‘open deur’…..

Stefan van der Wal
Security Officer ON2IT B.V.

 

Get inspired on security. Vote for our VMworld 2016 session

“Empowering DevOps with a fully automated prevention focused security posture”

Do you want to hear us explain how to bring an AWS like experience into your software defined datacenter, and how to ensure a DevOps friendly secure environment with an automated prevention focused security posture?

Vote for our VMWorld session – CLICK HERE