Cloud Security, groot denken maar klein beginnen (2)!
In de twee voorgaande blogs heb ik je het advies gegeven om te starten met het in gebruik nemen van de beveiligingsfuncties binnen je Microsoft Cloud omgeving. We hebben vastgesteld dat stap voor stap beginnen altijd een stap is in de richting van veiliger en meer compliant werken en dat zelfs een klein stapje al een goed begin is. We hebben zelfs op hoofdlijnen een route bepaald in de volgorde van activering van de onderdelen.
Tot nu toe was het vast redelijk stil in de verschillende Microsoft portals maar nu we stap voor stap security onderdelen gaan activeren zal het aantal gelogde incidenten gaan toenemen. Er kan best veel op je af komen. Natuurlijk zijn de incidenten afhankelijk van de grootte van je organisatie, de configuratie van je endpoints, het gedrag van je gebruikers, je dreigingslandschap en de staat van je huidige beveiligingsmaatregelen. Voor een gemiddelde organisatie zijn enkele honderden incidenten per maand geen uitzondering, waarbij een mix van malwaredetecties, misconfiguraties, verdachte netwerkactiviteiten en waarschuwingen rondom gebruikersgedrag worden gezien.
Ook hier is weer de aanpak om niet in paniek te raken maar stap voor stap verder te bewegen op de roadmap naar meer veiligheid en compliancy. Bekijk het even zo, voorheen detecteerde je deze zaken allemaal niet maar waren ze er wel, je hebt dus nu veel meer inzicht. Nu is meten, weten geworden en zelfs als je alleen de belangrijkste incidenten eerst aanpakt helpt dat je al vooruit. Dan doe je al meer dan dat je eerst deed (en dat is winst)!
Het is wel zaak om de meldingen op een gestructureerde manier te gaan behandelen. Je hoeft niet meteen alle processen van een Security Operations Center (SOC) uit de kast te trekken maar daar ligt wel een belangrijk besluitpunt. Wil je werken naar een model waarin je zelf meer controle krijgt over je informatiebeveiliging en compliancy of ga je op de route van alleen regie voeren en zoek je een partner voor je SOC taken? Insourcen, outsourcen, dat is de vraag.
Vergeet niet dat dat je zelf altijd verantwoordelijk blijft voor jouw security. Ook met een SOC moet je door een steile leercurve want die ontzorgen je best voor een groot deel maar zeker niet met alles. De incidenten die daar boven komen drijven (en deels behandeld worden) resulteren niet zelden in aanpassingen die je zelf moet doorvoeren en waarbij je ook de noodzaak en effecten moet uitleggen aan je gebruikers en andere stakeholders binnen je organisatie. Linksom of rechtsom moet je kennis opdoen om de juiste gesprekspartner te zijn in het samenwerkmodel wat voor jou het beste past.
In deze blog gaan we er even vanuit dat je gaat kiezen voor het zelf opbouwen van je security kennis. Je voelt de verantwoording, je weet dat je aan steeds meer wetgeving en certificering moet gaan voldoen en bent je ook bewust van het feit dat security en bewustwording bij je eindgebruikers belangrijk is. Misschien zijn er zelfs wel onderdelen in je securitybeleid die duidelijk aangeven welke verantwoordelijkheid je niet kan uitbesteden.
Daarnaast hoor je veel berichten over Microsoft Security Copilot. Daar waar AI in de vorm van ChatGPT en Microsoft Copilot steeds meer onderdeel is van ons dagelijks leven (deze blog is lekker ouderwets geschreven) klinkt “Defending with the speed of light” best prettig. En wie kan dat nu beter dan AI?
Het positieve nieuws is dat je zelfs zonder Microsoft Security Copilot al gebruik maakt van een hele hoop machine learning en AI. Producten als Microsoft Defender helpen je al met het analyseren van incidenten en events, met het bij elkaar halen van losse incidenten in een multi-stage incident en zelfs met het visueel weergeven van de aanval, files, gebruikers, processen, links e.d.
Om Microsoft Security Copilot goed tot zijn recht te laten komen (en daarmee de ROI kloppend te laten zijn) moet je eerst de basis op orde hebben. Niet alleen de basis in de techniek moet op orde zijn maar ook de basis in je eigen processen, je samenwerk of regiemodel.
In dat samenwerkmodel op operationeel, tactisch en strategisch niveau ga je met elkaar aan de slag om naast de reguliere processen die zorgen voor beheer, innovatie en kostenbeheersing van je IT platform dus ook de security onderdelen in te brengen. Zo heb je één aanpak voor de governance van alle aspecten van je IT platform, dus inclusief security!
Eén aanpak hoort ook een beetje bij een duidelijk overzicht, een “single pane of glass” want alleen als je alle informatie tot je beschikking hebt kun je de juiste besluiten nemen. De participanten in je samenwerkmodel gaan elkaar dus versterken!
In deze zomerblog is niet voldoende ruimte om alle aspecten van een samenwerkmodel (regiemodel) uit te leggen maar daar is ook meer dan voldoende expertise voor in de markt beschikbaar. Van heel uitgebreid en academisch tot aan gestructureerd en praktisch.
Laten we even de focus leggen op welke extra onderdelen je in dit model moet gaan beleggen. Nog steeds blijft onze aanpak denk groot, begin klein en pas stap voor stap aan. Ook hier blijven we agile bewegen dus. Met de volgende onderdelen zou je rekening moeten houden:
- Detectie en monitoring
- Lifecycle en vulnerability management
- Incidentclassificatie
- Incidentanalyse & oorzaak
- Containment & automation
- Herstel
- Evaluatie & rapportage
- Opleiding & bewustwording
- Continue verbetering
Laten we een paar praktische voorbeelden geven van bovenstaand lijstje want dan krijg je er meer gevoel bij. Detectie & monitoring kan je natuurlijk goed inrichten met Microsoft Defender maar zoals gezegd moet je wel wat gaan doen die met de incidenten die daaruit komen. In eerste instantie focus je natuurlijk op de hoogste classificaties en ga je daar onderzoeken wat de onderliggende oorzaak is. Je zorgt voor een aanpassing of oplossing maar denkt ook na over automation in volgende gevallen.
Het effect van je acties zal zichtbaar worden in de verbeterende score in de verschillende dashboards die je op tactisch en strategisch niveau gaat rapporteren. Op die manier bereik je een model waarbij er steeds meer draagvlak komt binnen de organisatie en je stap voor stap, aantoonbaar veiliger werkt (zelfs met historisch overzicht).Op die manier komt je security vliegwiel van succes op gang en kan je steeds stappen vooruit gaan maken.
Natuurlijk raken we hier maar een paar onderdelen die belangrijk zijn maar we hebben geprobeerd je een route vooruit te schetsen. De belofte om iets minder techniek te gebruiken in de afsluitende blog is wel gelukt denk ik maar iets minder lang niet helaas. Door de grens van 1000 woorden heen dus tijd om af te sluiten.
Dank voor het lezen en hopelijk heeft het je nieuwe energie gegeven om hier iets mee te doen.
Patrick Smeets is Strategisch Adviseur Cloud transitie & innovatie bij Legian