IT-analytics: de lijm die Operations en Security bindt

Ooit waren IT-operations en beveiliging twee gescheiden werelden. Gedreven door de behoefte aan robuuste cyberhygiëne en zichtbaarheid zien we beide disciplines echter steeds meer integreren. De juiste analytics krijgen over je IT-omgeving helpt bijvoorbeeld om security en IT-operaties meer met elkaar te laten communiceren.

Een van de basisprincipes van IT-operations is “je kunt niet beheren wat je niet weet dat je hebt”. Het spreekt voor zich dat je ook niet kunt beveiligen wat je niet weet dat je hebt. Daarom is zichtbaarheid ook zo belangrijk voor IT-operations en beveiliging.

Een ander belangrijk aspect is het in kaart brengen van afhankelijkheden. Dat maakt deel uit van de zichtbaarheid en toont de relaties tussen servers en de toepassingen of diensten die ze hosten. Deze afhankelijkheden zijn natuurlijk ook belangrijk bij security. Als een server is gecompromitteerd, waar praat die dan mee? Als hij offline moet worden gehaald, wat betekent dat dan voor die toepassingen of services?

Wat is goede cyberhygiëne?

IT analytics en goede cyberhygiëne gaan hand in hand. Je wilt weten wat je hebt en wil dat controleren. Heb je de benodigde licenties voor je software? Voldoe je aan de regelgeving of loop je risico op boetes? Betaal je voor licenties die je niet gebruikt? Zijn uw endpoints goed geconfigureerd? Staat er software op een endpoint die daar niet hoort te staan? Dit zijn allemaal vragen over hygiëne, die alleen kunnen worden beantwoord met zichtbaarheid en controle.

Om uw cyberhygiëne te beoordelen, moet je je afvragen: wat heb ik, wordt het beheerd en worden de beheerde endpoints goed beveiligd? Endpoints worden meestal in drie categorieën ingedeeld: beheerd, niet beheerd en niet beheerbaar. Niet alle endpoints zijn bovendien computers of servers. Daarom vereist goede cyberhygiëne tools die apparaten zoals mobiele telefoons, printers en machines op een fabrieksvloer kunnen identificeren en beheren. Hoe meer zichtbaarheid je hebt, hoe beter je cyberhygiëne.

Thuiswerk maakte zichtbaarheid veel moeilijker. Als endpoints niet altijd op het netwerk zijn, hoe meet je ze dan? Veel netwerktools zijn daar niet voor gemaakt. Maar als je eenmaal weet welke apparaten je hebt, waar ze zich bevinden en wat erop staat, dan kun je beleidslijnen afdwingen die ervoor zorgen dat deze apparaten zich gedragen zoals het hoort.

Je wilt ook snel software kunnen patchen en bijwerken. Gewetensvraag: als Patch Tuesday eraan komt, kun je dan binnen een redelijk tijdsbestek alle kritieke patches op al je apparaten krijgen? Weet je in real-time wat is gepatcht en wat niet? Het gaat dus ook om zichtbaarheid. Om de kracht van zichtbaarheid nog eens duidelijk te maken: stel dat security naar operations komt, zegt dat er een zero-day fout in Microsoft Word zit, en vraagt hoeveel endpoints die versie van Word gebruiken. Bij een goede cyberhygiëne kan operations meteen de juiste analyse maken: “We weten ervan en we hebben al die endpoints al gepatcht.”

Goede hygiëne levert actuele gegevens op voor IT-analyse

Goede hygiëne is essentieel voor actuele en accurate gegevens. Maar eigenlijk denken alleen operations en security in die termen. Business-gebruikers stellen daarentegen vaak hele andere vragen. Die kunnen vaak enkel beantwoord worden als de juiste IT-analytics voorhanden zijn. Voorbeeld: Als een CFO met een financieel of juridisch probleem zit rond licentiecompliance, gaat die er van uit dat het IT ops-team snel antwoorden kan geven over bijvoorbeeld het aantal licenties dat van bepaalde software in gebruik is. Die leidinggevenden denken niet aan hygiëne. Ze denken aan het snel krijgen van betrouwbare antwoorden. Wat C-level executives nodig hebben zijn simpele dashboards die hen kunnen vertellen of hun top 10-bedrijfsdiensten gezond zijn. Welke gegevens de dashboards weergeven, hangt af van de leidinggevende en de bedrijfstak waarin de organisatie actief is.

Nog een voorbeeld: een CIO wil misschien weten voor hoeveel Windows 10-licenties er wordt betaald. De CFO wil weten of de facturatiedienst van de klant werkt. De CMO wil weten of de website van de klant goed werkt. De CISO wil weten wat de patch-niveaus zijn.

Deze uiteenlopende groep van prestatieproblemen is allemaal afhankelijk van up-to-date analytics.

Analytics ondersteunt waarschuwingen en baselining

Wanneer zich een probleem voordoet, bijvoorbeeld wanneer het CPU-gebruik van een belangrijke server te hoog is, ontlast een automatische waarschuwing de IT-afdeling ervan om voortdurend naar problemen te zoeken. Deze mogelijkheid is belangrijk voor iedereen die een omgeving op schaal beheert. Laat IT niet zoeken naar problemen, maar laat problemen die zich voordoen zich melden bij IT.

Baselining gaat hand in hand met alarmering, omdat voor alarmeringen drempels moeten worden vastgesteld. Organisaties hebben vaak behoefte aan begeleiding bij het instellen van drempels. Eén benadering is automatische baselining. Als een organisatie denkt dat haar omgeving relatief gezond is, is de huidige toestand de basislijn. Er worden dus waarschuwingen ingesteld om IT op de hoogte te stellen wanneer iets van die baseline afwijkt.

Analytics kunnen hier een belangrijke rol spelen door organisaties te helpen bepalen of ‘normaal’ hetzelfde is als ‘gezond’. De tools moeten je vertellen hoe een gezond endpoint eruit ziet en dat is de baseline. Waarschuwingen vertellen je wanneer er iets gebeurt dat die basistoestand verandert.

Analytics helpt operaties en beveiliging de basis te beheersen

Zichtbaarheid en controle zijn de basis van cyberhygiëne. Begin daarmee. Weet wat zich in je omgeving bevindt en wat er op die middelen draait – niet een maand geleden, maar nu. Als je tools die informatie niet kunnen leveren, heb je tools nodig die dat wél kunnen. Je kunt een goede hygiëne hebben op vijftig procent van de machines die je kent, maar daarmee is de klus niet geklaard. Actuele gegevens van ieder endpoint in de omgeving: dat is wat zichtbaarheid en controle oplevert. Als operations en security allebei de taal van IT-analytics spreken, dan kunnen ze prima samenwerken.

Hulp nodig bij cyberhygiëne? Hier is een complete gids om je op weg te helpen.

Gerelateerde artikelen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.