Cyber Response Team
Actief Monitoren voor Cyberincidenten
1. Introductie
Als lokaal bestuur heeft u een belangrijke verantwoordelijkheid om zowel de veiligheid van uw systemen als de gegevens van uw burgers te waarborgen. Cyberincidenten kunnen variëren van inbraken tot datalekken en kunnen aanzienlijke schade aanrichten als ze niet tijdig worden gedetecteerd. Vaak wordt er veel waardevolle informatie gelogd over kwetsbare commando's en software, maar het probleem is dat men zich niet altijd bewust is van de noodzaak om deze informatie actief te monitoren en erop te reageren.
Actief monitoren is van cruciaal belang, omdat het voorkomt dat beveiligingsincidenten onopgemerkt blijven en zorgt ervoor dat u snel kunt reageren wanneer er een dreiging is. Het uitvoeren van regelmatige veiligheidsaudits speelt hierbij een belangrijke rol. Deze audits helpen om kwetsbaarheden in de systemen op te sporen en te verhelpen voordat ze misbruikt kunnen worden door kwaadwillende actoren.
Het actief monitoren van cyberincidenten helpt om verdachte activiteiten tijdig te detecteren, terwijl de implementatie van continue veiligheidsaudits de basis legt voor het versterken van de algehele beveiliging. Dit draagt bij aan een betere bescherming tegen ongewenste indringers en minimaliseert de risico's voor het bestuur en de betrokkenen.
2. Wet- en regelgeving
De regelgeving omtrent cyberbeveiliging en monitoring heeft de afgelopen jaren steeds meer aandacht gekregen, vooral door de invoering van de Algemene Verordening Gegevensbescherming (AVG). De AVG vereist van lokale besturen dat ze passende maatregelen treffen om de gegevens van hun burgers te beschermen tegen ongeautoriseerde toegang, verlies of misbruik. Hoewel er geen specifieke regelgeving is die actief monitoren voorschrijft, wordt het in de context van de AVG en andere relevante wetgeving sterk aanbevolen om systemen continu te monitoren en regelmatig veiligheidsaudits uit te voeren om te voldoen aan de vereiste beveiligingsnormen.
Daarnaast stelt de Europese NIS-richtlijn (Network and Information Systems Directive) eisen aan de veiligheid van netwerk- en informatiesystemen van essentiële diensten, waaronder lokale overheden. Het niet tijdig detecteren van cyberincidenten kan leiden tot boetes of schadeclaims. Om aan deze eisen te voldoen, moeten besturen zowel actieve monitoringtools als regelmatige audits implementeren.
3. Beleid
Organisatorische maatregelen
Het implementeren van een effectief monitoringbeleid vereist duidelijke afspraken over wie verantwoordelijk is voor het monitoren van cyberincidenten en het uitvoeren van veiligheidsaudits. De rollen en verantwoordelijkheden moeten goed worden gedefinieerd, waarbij specifieke medewerkers belast zijn met het toezicht op het monitoringproces en de auditresultaten. Bovendien is het belangrijk om regelmatig de effectiviteit van de monitoring en de audits te evalueren en eventuele beleidsaanpassingen door te voeren indien nodig.
Technische maatregelen
Actief monitoren van cyberincidenten vereist het inzetten van geavanceerde technologieën voor het loggen van kritieke systeemactiviteiten. Dit omvat het loggen van kwetsbare commando's, softwarefouten en verdachte netwerkactiviteit. Het is belangrijk om ervoor te zorgen dat logging effectief en volledig is, zodat alle relevante informatie beschikbaar is voor analyse in geval van een incident.
Een paar maatregelen die toegepast kunnen worden om actief te monitoren:
Het instellen van automatische waarschuwingen voor verdachte activiteiten, zoals mislukte inlogpogingen, afwijkende netwerkverkeerpatronen of ongewone systeemcommando's.
Het inzetten van tools voor incidentrespons die snel kunnen reageren op geïdentificeerde bedreigingen.
Het controleren van de integriteit van de logs om te zorgen dat ze niet gemanipuleerd kunnen worden door kwaadwillende actoren.
Mensgerichte maatregelen
Het is essentieel dat medewerkers goed geïnformeerd zijn over de noodzaak van actief monitoren en het belang van het uitvoeren van regelmatige veiligheidsaudits. Dit kan worden bereikt door middel van bewustwordingscampagnes en gerichte trainingen voor zowel technische als niet-technische medewerkers. Het is eveneens van belang dat medewerkers zich bewust zijn van de risico's die gepaard gaan met het verkeerd uitvoeren van commando’s en het gebruik van kwetsbare software.
Ook is het belangrijk dat de bevindingen van de monitoring op een begrijpelijke manier worden gepresenteerd, bijvoorbeeld door middel van dashboards die trends en mogelijke incidenten duidelijk weergeven. Hierdoor kunnen niet-technische besluitvormers snel reageren op bedreigingen en de juiste acties ondernemen.
4. Aanbevelingen
Organisatorische maatregelen
Zorg ervoor dat de verantwoordelijkheden voor het monitoren van cyberincidenten en het uitvoeren van veiligheidsaudits duidelijk zijn toegewezen aan specifieke medewerkers.
Stel duidelijke criteria op voor het monitoren van systemen en het beoordelen van de resultaten van veiligheidsaudits.
Implementeer een periodiek auditproces om de effectiviteit van de monitoring en de naleving van de beveiligingsnormen te evalueren.
Blij up to date met nieuwtjes over cyberincidenten en waar je voor moet opletten.
Technische maatregelen
Bekijk regelmatig de logs van uw endpoint defender systeem, dit kan bijvoorbeeld een Sophos agent zijn of Windows Endpoint Defender. Deze tools kunnen al een groot aantal bekende risico’s loggen.
Vergeet ook zeker niet de logs van applicaties van leveranciers te raadplegen, deze hebben de mogelijkheid om zelf ook verdachte zaken te rapporteren.
Gebruik meerdere communicatiekanalen om waarschuwingen en incidentrapportages efficiënt te verspreiden naar relevante medewerkers.
Spendeer tijd aan het opzetten van een platform of dashboard om van verschillende logs een uniform platform te maken voor het makkelijk op te volgen van incidenten.
5. Verklarende lijst
Term | Verduidelijking | Link naar meer informatie |
---|---|---|
Actieve monitoring | Het continu en real-time toezicht houden op netwerk- en systeemactiviteit om dreigingen te detecteren. | |
Kwetsbare commando’s | Systeemcommando’s die beveiligingsrisico’s kunnen veroorzaken als ze onjuist worden gebruikt. |
6. Referenties
Digitaal Vlaanderen - Minimale maatregelen - Logging en monitoring (SIEM) - 5.2. Minimale maatregelen - logging en monitoring (SIEM)
Handleiding voor het opzetten van Security Log Management - NIST Special Publication (SP) 800-92, Guide to Computer Security Log Management
Dit is een document voor publiek gebruik.