Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
Date Trend snippet:
15 September 2021
Relevance date:
2021, 2022
Type of Treath or Oppertunity
Domain of application
Source of threat
Trends in Security
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Hoe is Attack Surface Management toepasbaar?
Hieronder wordt beschreven hoe de technische aspecten die meegewogen worden in de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) verbeterd kunnen worden. Er is een plek waar alle factoren samensmelten: De digitale ontwikkelingen; de noodzaak om aan de regelgeving te voldoen; en het kunnen voorkomen van digitale aanvallen
– allen komen ze samen in het digitale aanvalsoppervlak van de gemeente. Attack Surface Management (ASM) biedt een methode om dit in kaart te brengen en te managen, maar hoe dit toe te passen.
– allen komen ze samen in het digitale aanvalsoppervlak van de gemeente. Attack Surface Management (ASM) biedt een methode om dit in kaart te brengen en te managen, maar hoe dit toe te passen.
More source info
Voor de kwadrant Techniek van de GGI wordt gekeken in hoeverre een gemeente beschikt over een proces voor:
- T1 = Centraal ISM;
- T2 = Compliancy en ICT configuratiebeheer;
-
T3 = Incidentmelding en -monitoring;
-
T4 = Geautomatiseerde incident detectie.
Een aanvalsoppervlak is de totale som van open en aan het internet gekoppelde assets, met de bijkomende risico’s die een hacker kan gebruiken voor een digitale aanval. Pas wanneer het aanvalsoppervlak volledig is gedetecteerd en geïnventariseerd heeft een IT team inzicht in zaken zoals:
- welke assets eigendom zijn van de gemeente;
-
waar de zwakke plekken zitten;
-
hoe de risico’s het beste gemanaged kunnen worden;
-
welke software in gebruik is en waar die draait;
-
welke derde partijen bij de gemeente zijn aangesloten;
-
welke governance / compliance processen verbeterd kunnen worden;
-
wie verantwoordelijk is voor welke omgevingen;
-
of de CMDB volledig is en hoe deze het beste gemanaged kan worden;
-
welke omgevingen beter getest moeten worden.
-
De methode is te gebruiken om alle vier de toetsings- eigenschappen binnen het Techniek kwadrant te meten en optimaliseren. De toepassing wordt hieronder per onderdeel uitgelicht.
T1. Centraal ISM
Er bestaat een sturende wisselwerking tussen Attack Surface Management (ASM) en het gebruik van het Information Security Management (System). Het ISMS is een verzameling van processen die samen zorgen voor de sturing van totale informatiebeveiliging. Op deze manier kan richting worden gegeven aan security en kunnen onderdelen van de IT volgens bepaalde standaarden blijven functioneren. De governance en strategische draagkracht van het ISMS heeft invloed op de indeling van de digitale assets. Tegelijkertijd kunnen deze assets perspectief bieden over hoe het ISMS functioneert.
Het Attack Surface Management platform van Cybersprint vindt de digitale assets van de organisatie op een geautomatiseerde manier, met behulp van een veelvoud aan tools en plugins, aangevuld met het gebruik van kunstmatige intelligentie en de input van analisten. Het sterke aan deze methode is dat er van buitenaf naar het aanvalsoppervlak wordt gekeken, zonder een vooraf opgelegd kader. Hierdoor worden blinde vlekken voorkomen en heeft de gemeente een realistischbeeld van het eigen aanvalsoppervlak - inclusief de aangesloten leveranciersketen.
ASM biedt de juiste inzichten in het totale aanvalsoppervlak, waardoor de link gelegd kan worden naar de sturing van de achterliggende processen. Doordat ASM een overzicht geeft van de risico’s worden de sterke en zwakke punten zichtbaar. Wanneer er meer van een specifiek type risico wordt gevonden, of bijvoorbeeld gecentreerd in één bepaald stuk van de digitale omgeving, is dit een indicatie om ook naar de desbetreffende ISMS processen te kijken. Zijn deze nog wel toereikend? En waar kunnen ze verbeterd worden voor de langere termijn? Daarnaast wordt duidelijk welke ISMS-onderdelen juist goed functioneren, als er op deze gebieden weinig (grote) risico’s worden gevonden. Deze processen kunnen dienen als ISM best practices.
Zo biedt ASM input voor de priorisering van het ISMS op lange termijn, voor een continue verbetering van de strategische en governance processen van de informatiebeveiliging. Wat werkt goed, wat werkt minder goed, en wat moet nog worden toegevoegd?
Met inzicht in de digitale assets en risico’s rijst de vraag wie eigenaar is van de assets. Dit is niet altijd goed belegd binnen organisaties. Op papier kan iemand verantwoordelijk zijn voor een asset, maar voelt hij/ zij zich ook eigenaar? En daarmee dus ook eigenaar van de eventuele security kwetsbaarheid en risico? Bovendien: wat wordt er gedaan met assets die nog aan niemand toebedeeld zijn? ASM geeft de inzichten om eigenaarschap te kunnen bepalen – expliciet op basis van data en volledig rapporteerbaar.
Het toekennen van eigenaarschap en verantwoordelijkheden is fundamenteel voor de borging van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Hiermee zet een organisatie de stap naar niveaus medium en top. Wanneer ook dit duidelijk is, dan is het vervolgens mogelijk om de verantwoordelijke functionarissen, bijvoorbeeld op basis van,
T2. Compliancy en ICT beheer
Wanneer inzichtelijk is welke digitale assets kwetsbaar- heden bevatten en welke risico’s daarbij horen, kan er prioriteit gegeven worden aan de meest kritieke systemen, en bijvoorbeeld een change management proces gestart worden.
Het ASM platform verzamelt continu relevante en actuele data over de assets (denk hierbij ook aan informatie over de geldigheid van certificaten) en vormt daarmee een goede bron voor het onderhoud van de CMDB.
Daarnaast beschikt een gemeente altijd over een actueel en volledig overzicht van haar assets in de CMDB door een integratie tussen het ASM platform en de CMDB. Hierin wordt de status (waaronder de reeds genomen technische security maatregelen) en de security kwetsbaarheden en risico’s (inclusief risicoclassificatie) allemaal meegenomen.
Kortom, CISO’s hebben hiermee te allen tijde een betrouwbaar beeld van de werkelijkheid en verkleinen meetbaar het online aanvalsoppervlak van hun organisatie, na doorvoeren van de benodigde mitigerende maatregelen. De verkregen data uit het ASM platform is na meerdere scans en detectiemethoden zo relevant en actiegericht als mogelijk.
Tevens vormt de data, verwerkt in het ASM-platform, de basis voor het opzetten van periodieke penetratietesten of technische security assessments. Deze asset en vulnerability data kan de gemeente gebruiken om de exacte scope, doelstellingen en aanpak van specifieke onderzoeken te bepalen.
T3. Incidentenmelding en -monitoring
Het melden, afhandelen en monitoren van kwetsbaarheden en risico’s zit verwoven in het volledige IT beveiligingsproces. Zowel automatisch gevonden risico’s, als meldingen vanuit de volledige organisatie moeten een plek krijgen in het systeem. Het accuraat bijhouden en het inrichten van een systeem voor deze stappen heet het audit trail.
Het vastleggen van een audit trail brengt de organisatie van Nul naar Basis. De voorwaarde voor de volgende stap is het verwerken van dit audit trail in het ISM. Het ASM platform van Cybersprint maakt deze automatische vastlegging en monitoring mogelijk door risico’s over tijd te kunnen waarnemen. Daarnaast kunnen de resultaten en efficiëntie van de gebruikte tooling en bestaande processen waargenomen worden. Dit faciliteert de stap naar het niveau Top, door de verkregen data en inzichten te gebruiken in periodieke evaluaties en verbeteringen. Dit is in veel gevallen tevens toepasbaar op IT processen in de gehele gemeentelijke organisatie. Zodoende dient het als input voor de overige kwadranten, met name voor Processen en Organisatie.
T4. Geautomatiseerde incident detectie
Een belangrijk onderdeel van cyber security is het hebben van actuele dreigings-informatie en het tijdig kunnen signaleren van beveiliging incidenten en events. Niet alleen het security incident managementproces is belangrijk na een succesvolle cyberaanval, maar ook de real-time alarmering op het moment van een incident of event zelf.
Het gebruik en integratie van Cybersprints ASM platform met de SIEM of SOC van de gemeente is hierin een belangrijk hulpmiddel naar een score van Medium en Top. Het komt (te) vaak voor dat een IT Security team op de hoogte wordt gesteld van een incident, maar hier nog niet direct op kan acteren omdat de besmette systemen eerst in kaart gebracht moeten worden. Dit komt vooral voor bij incidenten via de leveranciersketen, zoals met de Citrix en Microsoft Exchange kwetsbaarheden in 2019 en 2020-2021.
Wanneer in het SIEM / SOC eerst gezocht moet worden naar de desbetreffende software en de gekoppelde data, neemt dat kostbare tijd in beslag. Tijd die beter besteed kan worden met het patchen en hardening van de systemen.
Door gebruik van het ASM platform is deze informatie altijd beschikbaar. Tevens kan er door slimme en personaliseer- bare filteropties direct een lijst van gemeenschappelijke assets gemaakt worden, en over tijd gemonitord worden. Dit vergroot de effectiviteit van het SIEM / SOC aanzienlijk.
