5.6.5. De details over security mechanismen
Wat is het?
Verschillende praktijken kunnen hieronder vallen. Enkele van de meest bekende voorbeelden zijn:
Intrusion Detection/ Prevention Systems (IDS/IPS)
Deze technologieën installeer je om aanvallen, of ander ongewenst verkeer op te sporen (IDS), of uit je infrastructuur te weren (IPS)
De alerts die deze systemen genereren, kun je gebruiken om vast te stellen waar er zich in je architectuur kwetsbaarheden bevinden. Dit helpt om heel gericht controlemechanismen te ontwerpen en implementeren
IDS is een reactieve controle: je voert er geen actieve controle mee uit.
IPS is een preventieve maatregel: je bepaalt vooraf wie geen toegang kan krijgen tot je netwerk en
Next generation network sensoren
De technologie is hierin uiteraard al fel geëvolueerd en de meeste omgevingen gebruiken tegenwoordig next-gen network sensoren1
Deze scannen permanent het netwerk op bepaalde patronen en gebeurtenissen om op basis daarvan gericht het event te kunnen behandelen als een potentieel security incident
Afhankelijk van de instellingen is dit een reactieve of preventieve controle
De waarschuwingen en opgespoorde issues die uit deze mechanismen voortkomen, behandel je als een security incident. Deze controles staan beschreven op de pagina 4.5. Minimale maatregelen - Incidentbeheer .
Als je diensten afneemt van een Security Operations Center (SOC), kun je dat in deze context beheren. Dit zal ook helpen om heel kort op de bal te spelen als er een issue is met een grote reikwijdte. Een snelle reactie op een melding of incident zorgt voor een risicoreductie en heeft budgettaire voordelen.
Deze diensten zijn geen veiligheidstest in de strikte zin van het woord. Wel kunnen ze helpen om bepaalde kwetsbaarheden te identificeren.
In welke omgeving installeer je deze security mechanismen?
Als de acceptatieomgeving op exact dezelfde manier is ingericht als de productieomgeving, kun je deze mechanismen in de acceptatieomgeving implementeren
Als je het in de acceptatieomgeving installeert, kan het gelden als een preventieve maatregel, omdat je voor een promotie naar productie bepaalde kwetsbaarheden kunt detecteren
Dit soort security mechanismen installeer je sowieso in de productieomgeving
Wat?
De scope van kwetsbaarheden waartegen je scant, leg je vast in overleg met de specialist Informatieveiligheid van je entiteit. Dit leidt tot het instellen van parameters in de gebruikte tooling
Je zorgt voor een aansluiting op het (security) incident proces
Je maakt een risico-afweging van welke kwetsbaarheden je moet oplossen
Het streefdoel is dat je zoveel mogelijk kwetsbaarheden oplost in de mate van het financieel/projectmatig haalbare
Als er na de remediëring van een incident nog rest-risico’s zijn, moet de toepassingsbeheerder deze formeel laten aanvaarden door het top management, zoals beschreven staat op de pagina 5.5. Minimale maatregelen - proces risicobeheer
Welke tools?
De Vlaamse overheid legt geen specifieke tools op. Het team Informatieveiligheid kan wel advies verlenen
Dit is een dienst die je kunt afnemen binnen het raamcontract
Scope?
Deze mechanismen scannen aan de perimeter van je infrastructuur, of specifieker aan de perimeter van bepaalde toepassingen die bijzondere aandacht vergen. Dit kan gaan om de eigen infrastructuur, die van de centrale dienstverlening, of die bij een leverancier