Managed detection en response als flitspaal in het netwerk
Iedereen die in een woonwijk woont, kan het beamen. Om ervoor te zorgen dat alle automobilisten zich aan de snelheidsbeperking houden, volstaat het niet om verkeersdrempels en asverschuivingen aan te leggen. Of om de nodige verkeersborden aan begin en einde van de woonwijk te voorzien. Als je echt wil dat iedereen zich aan de maximum snelheid houdt, moet je ook de nodige detectiemiddelen voorzien om de overtreders aan te pakken. Boven op de heuvels en de verschuivingen investeer je dus best ook in een flitspaal. Zo geef je iedereen tegelijk het signaal dat de pakkans uiterst groot is. Dit levert een extra ontradend effect op.
Hetzelfde geldt eigenlijk voor ons netwerkverkeer. Natuurlijk moet je de nodige obstakels voorzien zodat virussen, trojans, phishing mails en ander kwaadaardig verkeer geen vrij spel krijgen. Maar dat is allang niet meer voldoende. Wie het verkeer binnen zijn domein onder controle wil houden, doet er dus goed aan om ook de nodige detectie-maatregelen te nemen. Zoniet dreig je ondanks je anti-malware tools toch achter de feiten aan te hollen.
Gespecialiseerde instantie
Daarom ziet Gartner dit jaar de ondernemingen gaandeweg hun security-budgetten verschuiven. En wel van louter preventie naar een grotere focus op detectie en reactie. Managed Detection and Response (MDR), zoals dat bij Gartner heet, is dan ook één van de snelst groeiende vormen van beveiliging. De meeste organisaties hebben noch de mankracht noch het budget om voltijds op zoek te gaan naar alle potentiële bedreigingen voor het bedrijfsnetwerk. Ze besteden dus maar wat graag deze taken uit aan een gespecialiseerde instantie.
Stel dat je organisatie ervoor kiest om het monitoren van het netwerk, het detecteren van bedreigingen en het snel hierop ingrijpen uit te besteden aan een derde partij. Dan is de selectie van een betrouwbare dienstenleverancier niet iets waar nonchalant mee omgesprongen kan worden. Je besteedt dan wel de dienst uit. De eindverantwoordelijkheid blijft echter uiteindelijk immers nog altijd bij jou. Daarom doe je er goed aan om dit toe te vertrouwen aan een leverancier die de nodige erkenningen kan voorleggen. De recente Market Guide voor Managed Detection and Response van Gartner is bijvoorbeeld een goede leidraad.
Security-nummertje
Wie je ook kiest voor deze activiteit – een leverancier of je eigen security-team. – hou er steeds rekening mee dat MDR meer is dan een verplicht security-nummertje. Net zoals je zeker weet dat er vroeg of laat iemand te snel zal rijden in je woonwijk. Hoeveel heuveltjes en verschuivingen je ook voorziet, zo weet je zeker dat vroeg of laat je netwerk te kampen zal krijgen met ongewenste indringers. Een betrouwbare MDR-service maakt dan vaak het verschil tussen ofwel nauwelijks of geen impact ofwel grote tot onherstelbare schade.
Anders gezegd: zorg dat je flitspaal ook echt flitst als het nodig is. En de overtreders kan pakken voor het te laat is. Want ontrading alleen zal echt niet volstaan.
Eward Driehuis, chief research officer SecureLink
