In tijden als deze wil iedereen zijn of haar steentje bijdragen om als maatschappij goed door de crisis te komen. Zo hebben wij als Navaio IT Security initiatief getoond om ons lokaal in te zetten voor ondernemers in Haarlem en regionaal voor de zorg. In deze blog zoomen we in hoe wij zorginstellingen gaan helpen. 

Samen met onze partner Bitdefender (het oude RedSocks) bieden wij een professioneel hoogwaardige monitoringdienst aan. De NTSA is door zorginstellingen één jaar lang kosteloos te gebruiken. Diezelfde zorginstellingen die het in deze Corona Crisis al zwaar genoeg hebben met het uitvoeren van haar kerntaken: het verzorgen en beter maken van haar patiënten.

De NTSA oplossing is in korte tijd te implementeren en is enkel afhankelijk van het uitgaand internetverkeer om te kunnen bepalen of er een cyberdreiging in het netwerk aanwezig is. Maar hoe werkt dit precies?

Werking
Navaio zal een netwerksensor van onze technologiepartner Bitdefender plaatsen bij de klant. De klant kan hierbij een keuze maken tussen een fysiek apparaat of de software installeren in een virtuele machine (VM). De oplossing dient vervolgens aan gesloten te worden op de uitgaande firewall/router naar het internet. Hierdoor kan de sensor meeluisteren met het uitgaande netwerkverkeer (ook wel flowdata genoemd). De sensor wordt niet fysiek tussen alle netwerksystemen en de internet break-out geplaatst maar luistert enkel mee waardoor deze geen verstoring of performance verlies kan veroorzaken. In de meest ideale opstelling krijgt de sensor een kopie van alle flowdata uit de firewall/router, die zo dicht mogelijk bij de internet break-out is aangesloten.

Op het moment dat de flowdata aankomt bij de netwerksensor zal deze eerst de flowdata omzetten naar een voor de technologie standaardformaat genaamd IPFIX. De informatie wordt naar een centrale console gestuurd en daar automatisch geanalyseerd en opgeslagen. Deze informatie is mogelijk in een later stadium nog nodig; bijvoorbeeld als er een uitgebreide analyse door een SOC-analist benodigd is tijdens een beveiligingsincident. Belangrijk hierbij om te weten is dat de oplossing alleen kijkt naar uitgaand internetverkeer en geen versleuteld (encrypted) verkeer kan inzien. Dit is geen probleem doordat de analyse juist wordt gedaan met de meta data. Er wordt gekeken naar:

  • Hoeveel data wordt er verstuurd?
  • Waar wordt het naar verstuurd?
  • Waar is het van afkomstig?

Historisch inzicht
De data die wordt bewaard dient niet alleen voor een mogelijk onderzoek, maar biedt ook historisch inzicht. Neem als voorbeeld de recente ransomware uitbraak bij Universiteit Maastricht. Hier werd achteraf duidelijk dat er al veel eerder een besmetting had plaatsgevonden, maar dat cybercriminelen hebben gewacht tot een geschikt moment om toe te slaan (de start van de Kerstvakantie). Dit betekent dat de malware al geruime tijd voordat deze toesloeg contact had met de cybercrimineel. Dit is een geweldig voorbeeld waarbij een goede monitoringdienst zijn meerwaarde bewijst om nog voor de daadwerkelijke schade werd toegebracht deze door tijdige detectie en ingrijpen te voorkomen. Daarnaast biedt de oplossing meerwaarde tijdens forensisch onderzoek om de reikwijdte en impact van een aanval te bepalen. Hiermee kan beter worden ingeschat welke systemen zijn gecompromitteerd en welke mitigerende maatregelen er moeten worden genomen om de omgeving afdoende te herstellen.

Alarmfase
Wanneer een verdachte situatie zich manifesteert wordt er een alarm gegenereerd en wordt het SOC van Navaio hiervan op de hoogte gebracht. De experts van het SOC analyseren de situatie en bepalen of er daadwerkelijk sprake van een dreiging is. Op het moment dat deze geclassificeerd wordt als een daadwerkelijk beveiligingsincident treedt het incident response proces van Navaio in werking. Voor elke situatie ligt een playbook klaar met afspraken tussen Navaio en de klant compleet met processen die zullen worden uitgevoerd tijdens om het incident te mitigeren. Voorbeelden hierbij zijn:

  • Geautomatiseerde acties.
  • Telefonisch contact.
  • Helpen met het verder identificeren van de dreigingen gelieerd aan het huidige incident.
  • Helpen met bedenken en implementeren van mitigerende maatregelen.
  • Escaleren naar de juiste personen en instanties waar nodig.

Het spoedig detecteren en het oplossen van cyberdreigingen is van groot belang. Hoe minder tijd een cybercrimineel heeft, hoe meer kans de onderneming of zorginstelling heeft om business impact te minimaliseren. Op deze manier kan men zich concentreren om de kerntaken van de organisatie. De taken waar de organisatie goed in is.

Interesse?
Heb je interesse in onze professioneel hoogwaardige oplossing? Of wil je meer informatie? Neem dan contact met ons op via info@navaio.com.

Navaio. Own what’s yours, we secure.