De laatste handvatten. Daarna zelf aan de slag.
In de twee voorgaande blogs uit deze zomerserie gaven we je het advies om te starten met het gebruiken van de beveiligingsfuncties binnen je Microsoft Cloud-omgeving. We hebben vastgesteld dat een stapsgewijze aanpak de juiste is en dat ook kleine stappen je dichterbij een veiligere en compliant werkomgeving brengen. Ook hebben we op hoofdlijnen een route voor je uitgestippeld, zodat je de verschillende onderdelen één voor één kunt activeren.
Tot nu toe was het waarschijnlijk redelijk stil in de verschillende Microsoft-portals, maar nu we stap voor stap de securityonderdelen activeren, neemt het aantal gelogde incidenten toe. Er kan best veel op je af komen. Natuurlijk hangt het aantal incidenten af van de grootte van je organisatie, de configuratie van je endpoints, het gedrag van je gebruikers, je dreigingslandschap en de staat van je huidige beveiligingsmaatregelen. Voor een gemiddelde organisatie zijn enkele honderden incidenten per maand geen uitzondering, waarbij we een mix van malwaredetecties, misconfiguraties, verdachte netwerkactiviteiten en waarschuwingen over gebruikersgedrag zien.
Ook hier is het belangrijk om niet in paniek te raken, maar stap voor stap te bewegen op de roadmap naar meer veiligheid en compliance. Bekijk het zo: voorheen detecteerde je deze zaken misschien niet, maar waren ze er wel. Met andere woorden, je hebt nu veel meer inzicht. Nu is meten weten geworden en zelfs als je alleen de belangrijkste incidenten aanpakt, helpt dat je vooruit. Dat is al meer dan wat je eerst deed. En dat is winst!
Het is echter wel zaak om meldingen gestructureerd te behandelen. Je hoeft niet meteen alle processen van een Security Operations Center (SOC) uit de kast te trekken, maar daar ligt wel een belangrijk besluitpunt. Wil je zelf meer controle krijgen over je informatiebeveiliging en compliance, of kies je ervoor om alleen de regie te voeren en een partner te zoeken voor je SOC-taken? Insourcen of outsourcen, dat is de vraag.
Vergeet niet dat je altijd zelf verantwoordelijk blijft voor je security. Ook met een SOC moet je een steile leercurve doorlopen. Hoewel een SOC veel werk uit handen neemt, dekt het niet alles. De incidenten die naar boven komen (en deels worden behandeld) resulteren vaak tot noodzakelijke aanpassingen die je zelf moet doorvoeren, en waarbij je ook de noodzaak en effecten moet uitleggen aan je gebruikers en andere stakeholders binnen je organisatie. Linksom of rechtsom moet je kennis opdoen om de juiste gesprekspartner te zijn in het samenwerkingsmodel dat het beste bij jou past.
In deze blog gaan we ereven vanuit dat je kiest voor het zelf opbouwen van je securitykennis. Je bent je bewust van de verantwoordelijkheid, de steeds toenemende wetgeving en certificeringseisen, en het belang van securitybewustzijn bij je eindgebruikers. Misschien staan er zelfs onderdelen in je securitybeleid die duidelijk aangeven welke verantwoordelijkheden je niet kunt uitbesteden.
Daarnaast hoor je veel over Microsoft Security Copilot. Terwijl AI, zoals ChatGPT en Microsoft Copilot, steeds meer onderdeel wordt van ons dagelijks leven (deze blog is lekker ouderwets geschreven), klinkt ‘Defending with the speed of light’ best prettig. En wie kan dat nu beter dan AI?
Het positieve nieuws is dat je, zelfs zonder Microsoft Security Copilot, al gebruik maakt van een reeks machine learning- en AI. Producten zoals Microsoft Defender helpen je al bij het analyseren van incidenten en events, het samenvoegen van losse incidenten tot een multi-stage incident, en zelfs bij het visueel weergeven van aanvallen, bestanden, gebruikers, processen en links.
Om Microsoft Security Copilot goed tot zijn recht te laten komen (en daarmee een goede ROI te behalen), moet je eerst de basis op orde hebben. Dit betekent niet alleen dat de technische basis in orde moet zijn, maar ook de basis in je processen, samenwerking en regiemodel.
In dat samenwerkingsmodel, op operationeel, tactisch en strategisch niveau, ga je met elkaar aan de slag om naast de reguliere processen voor beheer, innovatie en kostenbeheersing van je IT-platform ook de securityonderdelen te implementeren. Zo heb je één aanpak voor de governance van alle aspecten van je IT-platform, dus inclusief security!
Een consistente aanpak zorgt voor een duidelijk overzicht, een ‘single pane of glass’, want alleen als je alle informatie tot je beschikking hebt, kun je de juiste besluiten nemen. De participanten in je samenwerkingsmodel versterken elkaar dus.
In deze zomerblog is er niet genoeg ruimte om alle aspecten van een samenwerkingsmodel (regiemodel) uit te leggen, maar daar is ook meer dan voldoende expertise voor beschikbaar in de markt. Van zeer uitgebreid en academisch tot gestructureerd en praktisch.
Laten we de focus leggen op welke extra onderdelen je in dit model moet beleggen. Onze aanpak blijft ‘denk groot, begin klein en pas stap voor stap aan’. Ook hier blijven we agile bewegen. Houd rekening met de volgende onderdelen:
- Detectie & monitoring
- Lifecycle & vulnerability management
- Incidentclassificatie
- Incidentanalyse & oorzaak
- Containment & automation
- Herstel
- Evaluatie & rapportage
- Opleiding & bewustwording
- Continue verbetering
Laten we een paar praktische voorbeelden geven van de bovenstaande lijst, want dan krijg je er meer gevoel bij. Detectie en monitoring kan je natuurlijk goed inrichten met Microsoft Defender, maar zoals gezegd moet je ook actie ondernemen op de incidenten die daaruit voortkomen.
Natuurlijk focus je je in eerste instantie op de hoogste classificaties en onderzoek je de onderliggende oorzaken. Zorg voor een aanpassing of oplossing, en overweeg ook automation voor toekomstige gevallen.
Het effect van je acties wordt zichtbaar in de verbeterde scores op de dashboards die je op tactisch en strategisch niveau rapporteert. Zo creëer je een model waarbij er steeds meer draagvlak binnen de organisatie ontstaat en je stap voor stap aantoonbaar veiliger werkt, zelfs met een historisch overzicht. Op deze manier komt security binnen jouw organisatie succesvol op gang en maak je stappen vooruit.
Natuurlijk behandelen we hier slechts een aantal belangrijke onderdelen, maar we hebben geprobeerd je op weg te helpen. De belofte om minder in technische details te duiken in de laatste blog, is wel gelukt. Maar iets minder lang niet, helaas. We zijn inmiddels alweer over de 1.000 woorden heen, dus het is tijd om af te ronden. Hopelijk heeft deze blogreeks je nieuwe energie en inspiratie gegeven om aan de slag te gaan, en staat cloudsecurity inmiddels bovenaan je prioriteitenlijst.
En heb je zelf niet de kennis in huis, of ben je simpelweg op zoek naar een partner die complexe vraagstukken over je cloudsecurity-strategie eenvoudig maakt? Neem dan gerust contact met ons op voor een vrijblijvend adviesgesprek waarin we bespreken hoe we samen kunnen werken aan een veilige IT-omgeving die aan de nieuwste standaarden voldoet. Bedankt voor het lezen en geniet nog even van de zomer!
Meer weten over Legian Cloud Services? Klik dan hier.
Over de auteur
Patrick Smeets is sinds 2022 werkzaam als Strategisch Adviseur Cloud bij Legian. Zijn passie voor techniek en innovatie, gecombineerd met de overtuiging dat er altijd ruimte is voor verbetering, typeren hem, net als zijn energie en drive. Met 35 jaar ICT-ervaring en specialisme in Microsoft Cloud-omgevingen helpt Patrick organisaties bij het vinden van hun ideale pad naar digitale transformatie en cybersecurity. Naast het sleutelen aan cloudomgevingen, sleutelt hij ook graag aan auto’s. En als hij niet bij een auto te vinden is, staat hij waarschijnlijk een lekkere pizza te bakken.
Legian. Mastering Cloud Complexity.
