De eindsprint, daar is hij weer! 📈

In deze tijd van het jaar kun je (misschien nog wel meer dan anders) je niet veroorloven dat de productie stil komt te liggen. Het is namelijk in aanloop op de kerstperiode, erg druk en het hele team zet zich maximaal in om de doelstellingen te halen.

De eindsprint voor hackers

Ook is het druk met cyberincidenten vanwege dezelfde reden. Juist tijdens deze eindsprint zijn mensen minder alert en zijn Phishing e-mails nóg succesvoller dan normaal. Daarnaast zijn er minder (IT-)medewerkers aanwezig waardoor de kans toeneemt dat een indringer ongezien zijn gang kan gaan.

Schuif jij cybersecurity vraagstukken op naar volgend jaar of doe je het dit jaar anders?

Wat jij kunt doen

Vraag jouw IT-partner om advies of neem met ons contact op. Er zijn genoeg dingen die je kunt doen dat minder tijd in beslag neemt dan jij wellicht denkt.

Zorg in ieder geval voor een goed alarmsysteem in het netwerk. Mocht er dan een hacker binnendringen, ben je daar snel van op de hoogte en kun je vaak een hack stoppen zonder dat dit effect heeft gehad op de productie.

Wat zijn jouw gedachten hierover?

Lees verder

Benieuwd wat jij nú kunt doen om dat alarm binnen 30 minuten geregeld te hebben? Lees dan hier verder.

Tip

Het is mogelijk om dit alarm te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers vandaag nog!

😰 Twee cybersecurity incidenten die je hard (kunnen) raken..

Incident 1:

Vorige week dinsdagavond 21:03, de telefoon gaat. “Goedenavond Peter, waarschijnlijk is het niets, maar ik wil het toch even zeker weten.”.

Een klant belt nadat een melding van de Honeypot (techniek om hackers te detecteren) is ontvangen. Het kan wel eens voorkomen dat een monitoringstool deze raakt, maar altijd belangrijk om even te kijken.

Al snel heb ik door dat er iets vreemds aan de hand is. Gebruikersnamen die intern gebruikt worden en bepaalde bestanden waar naar wordt gezocht komen bekend voor, nadat de Honeypot dit heeft gedetecteerd. ⚠️

Het blijkt dat een ontslagen medewerker nog toegang had tot specifieke accounts en daarmee zocht op het netwerk van de klant.

Na de detectie, worden er snel maatregelen getroffen en kan eventuele schade voorkomen worden. In ieder geval huiswerk om het beleid eens te herzien.

Incident 2:

Vrijdagavond 23:58: een klant is bezig met gepland onderhoud van enkele systemen. De beheerder krijgt een SMSje 💬van SecurityHive . Een detectie op de neppe “domain controller” (Honeypot), afkomstig van een Remote Desktop Server. De beheerder logt direct in op het Dashboard van SecurityHive .

Met die informatie ontdekt hij dat een ransomware-aanval wordt uitgevoerd. Direct brengt hij het netwerk offline en begint met het registreren van acties en informeren van een collega. 🚨

Helaas is één server besmet geraakt en versleuteld, maar de andere systemen zijn bewaard gebleven door de vroege detectie van de Honeypot. Na een nachtje doorhalen en het terugplaatsen van een backup is de server weer online. Ondanks het incident gelukkig een hoop tijd en geld bespaard.

Vaak sneller dan een Endpoint Protection (EPP)

Dit zijn incidenten die zich echt voor hebben gedaan en die door ons zijn gedetecteerd. Vaak al eerder dan een Endpoint Security 🔒. Deze incidenten komen vaker voor en zijn niet beperkt tot een specifieke sector.

Kijk vandaag nog naar de maatregelen die jij hebt getroffen. 👀 Vroeg of laat wordt ook jouw netwerk aangevallen.

Heb ik jou donderdag aan de lijn om een incident te behandelen, of bel je liever met mijn collega Kevin Groen (010 – 200 1350) om dit voor te zijn? 📞 (uiteraard kun je ons ook spreken over andere zaken dan incidenten😉).

Tip:

Mocht je verder willen lezen over hoe jij hackers vangt met honing, lees dan hier verder.

Het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Wil je meer informatie of een demo aanvragen, kijk dan op: www.securityhive.nl.

Vang hackers met honing! 🍯

Hackers vangen met honing

Het probleem bij bedrijven is dat zij simpel weg niet weten of zij gehackt zijn. Jij kunt dit wél weten en wel op een heel eenvoudige manier.

Met een ‘Honeypot’ beschik jij over een vangnet in jouw netwerk dat alarmeert bij de eerste fase van een hack; de verkenningsfase. Honeypot gebruikers zijn in staat een hack live te stoppen terwijl het gebeurt.

Een echt of nep apparaat?

Het grote voordeel is dat jij beschikt over apparaten in het netwerk, dat geen echte apparaten zijn. Bijvoorbeeld een access point of Windows server waarop een hacker kan inloggen en informatie kan vinden. Het voordeel is dat dit geen echte access point of server is waarmee iemand impact kan maken op jouw bedrijfsprocessen. Maar, een ‘apparaat’ dat alles over deze hacker vastlegt en meldt aan de beheerder. 

Hoe het werkt

Het primaire doel is een stil alarm afgeven zodra er een hacker binnen zit. Hierna start het spel om de indringer zo lang mogelijk af te leiden, informatie te verzamelen en te voorkomen dat hij/zij dieper in jouw netwerk komt.

Jij als held

In de tussentijd ben jij als netwerk- of systeembeheerder in staat, met de informatie en het advies van de Honeypot, een hack live te stoppen. Met als resultaat dat jij jouw bedrijf weerhoudt van een cyberincident. Ieder jaar gebeurt dit bij een X aantal van onze klanten met groot succes. Dit aantal loopt met de forse stijging van incidenten alleen maar op. Om erachter te komen waarom dit zo succesvol is, heb ik met ethische hackers gesproken. Om hen te citeren:

“Het is niet te doen om ongezien voorbij een Honeypot te komen. Om erachter te komen of iets een echt of nep apparaat is, moeten wij het eerst bekijken en onderzoeken. Dan is het al te laat. Omdat er weinig bedrijven zijn waar zo’n detectiemiddel zich bevindt, nemen wij vaak de gok dat deze er niet is. Mijn inziens dus een onwijs effectief middel waar ieder bedrijf zo snel mogelijk gebruik van moet maken.”

– Ethisch hacker –

Mocht je verder willen lezen over hoe jouw reactietijd gereduceerd kan worden met een hacker-detectiemiddel: lees hier verder.

Tip: het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers met honing!

Virtueel of fysiek? Cloud?

Regelmatig krijgen wij de vraag: virtueel of fysiek? En hoe zit het dan met de cloud? Dit zijn vragen die wij krijgen van organisaties die met onze Honeypot of Network Vulnerability Scanner willen starten. Hoe kun je aan je beveiliging werken als je in de cloud werkt? Wat als ik geen hypervisor heb? In dit artikel leggen wij het je haarfijn uit.

In de cloud werken

Veel mensen denken dat zij veilig zijn als zij in de cloud werken. Daar wordt immers alle data opgeslagen en de cloud is veilig, althans dat denken mensen. Dat de cloud altijd veilig is, is een misconceptie. In een later blogartikel gaan wij daar dieper op in.

Bedrijven die in de cloud werken, zijn vaak gebruikers van webapplicaties. Denk aan Microsoft 365, een CRM-systeem, webshop, boekhoudingspakket en andere applicaties. De data van die applicaties staat dan vaak op de servers van de aanbieder. Daarmee denken bedrijven dan ook meteen veilig te zijn en zelf niet veel aandacht aan Cyber Security te hoeven besteden.

Met onze medewerkers zijn we op verschillende kantoren een rondje gaan lopen met de vraag: wat zou hier nog belangrijk zijn, als dit bedrijf volledig in de cloud zou werken? Een aantal voorbeelden die ons opvielen:

1. Gebouwbeheersysteem (klimaatregeling, alarmsysteem, brandmeldinstallatie, zonwering, veiligheidssystemen, etc.)
2. Printers (documenten worden geprint en/of gescand. Dit is data die lokaal wordt verwerkt!)
3. Access Points (WiFi) & netwerkpoorten die actief zijn
4. VoIP telefoons
5. Smart TV’s
6. Presentatie- & conferentiesystemen (inclusief de Chromecasts en Apple TV’s)
7. Shadow-IT
8. Natuurlijk van deze tijd: een desinfectiezuil met digitaal presentatiescherm van het bedrijf, dat op het netwerk is aangesloten

Bovenstaande opsomming is slechts een greep uit de soort apparaten die in een netwerk actief kunnen zijn, terwijl het bedrijf in de cloud werkt. Al deze apparaten kunnen kwetsbaar zijn voor aanvallen en kunnen misbruikt worden. Ook als je in de cloud werkt, ben je mogelijk kwetsbaar en wordt data ook nog steeds lokaal verwerkt.

Kies ik fysiek of virtueel?

Mocht je nog niet bekend zijn met onze Honeypot of Network Vulnerability Scanner, lees dan meer over deze oplossingen voordat je verder leest.

SecurityHive is de enige leverancier die haar Network Vulnerability Scanner plug-and-play als zowel virtuele als fysieke oplossing beschikbaar heeft. Ook onze Honeypot is als virtuele en fysieke oplossing beschikbaar.

Wanneer kies je nu voor de virtuele oplossing? Beiden zijn erg eenvoudig om te installeren. Voor onze fysieke oplossing is het enkel nodig om de stroom- en netwerkkabel aan te sluiten. Bij onze virtuele oplossing kan een kant-en-klare Virtual Appliance worden gedownload en geïmporteerd.

De virtuele oplossing wordt doorgaans het meest geïnstalleerd door onze klanten. Het is eenvoudig om op afstand te installeren en configureren. Het kost geen netwerkpoortjes, er zijn geen extra fysiek onderdelen en mocht er eventueel iets fout gaan, dan is dit makkelijk op afstand op te lossen.

Hoewel onze Virtual Appliance het meest aantrekkelijk lijkt, is het niet altijd mogelijk om voor deze oplossing te kiezen. Neem ons voorbeeld uit dit artikel, waar een bedrijf in de cloud werkt. Zij hebben nog steeds apparaten in hun netwerk, verwerken nog steeds data lokaal, maar hebben niet meer de mogelijkheden (hypervisors) om een virtuele machine te draaien.

Conclusie: wanneer een bedrijf geen virtuele machine kan draaien, doordat zij geen hypervisor hebben, dan wordt een fysieke Network Vulnerability Scanner en/of Honeypot geplaatst.

Zijn er geen uitzonderingen?

Wees creatief! Onze Honeypot kan op veel verschillende manieren worden ingezet. Zo is het mogelijk om een Microsoft Windows Server 2016 server na te bootsen, maar kan je ook simpelweg een printer of VoIP telefoon nabootsen. Wanneer je een virtuele Honeypot hebt draaien, is het misschien verstandiger om een server na te bootsen dan een VoIP telefoon. Wij hebben immers nog niet eerder een gevirtualiseerde VoIP telefoon op een VMware of Hyper-V hypervisor gezien en een mogelijke aanvaller in jouw netwerk waarschijnlijk ook niet ;).

Het plaatsen

Lees meer over onze oplossingen: download onze productbrochure van de Honeypot of flyer van onze Network Vulnerability Scanner. Ben je een IT service provider, automatiseerder of Security leverancier? Ontvang meer informatie voor partners.

Reverse DNS ondersteuning in Honeypots

Elk apparaat in een netwerk heeft een IP-adres. Dit adres kan regelmatig veranderen, waardoor het niet altijd duidelijk is welke apparaat achter welk IP-adres zit.

Onze Honeypots maken het mogelijk om aanvallers, virusuitbraken, besmette apparaten en meer in een netwerk te detecteren. Hierbij laten zij allerlei informatie zien over de oorsprong en inhoud van een detectie. Voorheen konden wij dat enkel met de Reverse DNS van externe IP-adressen, maar sinds kort ook met interne IP-adressen!

WAT IS REVERSE DNS?

Een netwerkapparaat heeft een MAC-adres. Dit is een uniek adres dat voor elk apparaat anders is. Om een netwerkverbinding tot stand te krijgen, wordt een IP-adres toegewezen aan een apparaat, wat in de router/firewall wordt gekoppeld aan het MAC-adres. Hierdoor weet het netwerk hoe internetpakketjes verstuurd en afgeleverd moeten worden.

Hiernaast heeft elk apparaat ook een naam, vaak wordt dit een “hostname” genoemd. Een voorbeeld hiervan is: “Macbook-Pro-van-Peter.local”. Aan de hand van het IP-adres van een apparaat, kan de naam van het apparaat worden opgezocht. Je kan je voorstellen dat het veel makkelijker te zien is wat voor apparaat het is als je de naam ziet, dan wanneer je een IP-adres zoals “192.168.15.5” ziet.

HOE ACTIVEER IK DIT OP MIJN HONEYPOT?

De ondersteuning van Reverse DNS biedt de mogelijkheid om veel sneller een besmet apparaat of een hacker in je netwerk te identificeren. Daarom is het belangrijk dat ook jouw Honeypot Reverse DNS ondersteund.

Al onze Honeypots ondersteunen standaard Reverse DNS. Hiervoor is het wel belangrijk dat de juiste DNS servers staan ingesteld. Dit moeten de interne DNS servers in jouw netwerk staan. Als jouw Honeypot gebruik maakt van DHCP, dan wordt de DNS server automatisch ingesteld. Als je een statisch IP-adres hebt ingesteld, dien je handmatig nog de interne DNS servers in te stellen.

IK HEB NOG GEEN HONEYPOT!

Veel bedrijven focussen op preventieve beveiliging om hackers buiten te houden. Denk bijvoorbeeld aan het slot op de voordeur. Wat minder aandacht krijgt, is het detecteren wanneer een hacker eenmaal binnen zit. Dit vergelijken wij vaak met een raampje dat nog openstond, waardoor een inbreker toch naar binnen is gekomen.

Onze Honeypots werken als een val in jouw netwerk. Het lokt hackers naar zich toe en houdt ze bezig, zodat je direct een melding ontvangt en tijd hebt om te reageren.

Het is niet nodig om over technische kennis te beschikken, om een Honeypot aan te schaffen en te installeren. Onze oplossingen zijn Plug-and-Play en kunnen door bijna iedereen geïnstalleerd worden. Lukt het niet? Dan staan wij klaar om te helpen. Klik hier om direct te beginnen.

Verbeter netwerkbeveiliging met een Honeypot

Het is natuurlijk erg belangrijk om op een veilige manier te kunnen werken. Veel bedrijven zetten hiervoor maatregelen in zoals een firewall, Intrusion Prevention System (IPS), virusscanner, network vulnerability scanner of andere maatregelen in om hackers en ransomware buiten de deur te houden.

Feit is dat hackers nog steeds mogelijkheden vinden om bovenstaande maatregelen te omzeilen. Juist dan is het belangrijk om te weten dat er iemand binnen zit. Dit valt makkelijk te vergelijken met een alarmsysteem thuis. Je wil op de hoogte gebracht worden wanneer een inbreker binnen zit, zodat de autoriteiten gewaarschuwd kunnen worden, preventieve maatregelen genomen kunnen worden, maar het belangrijkste: schade beperkt kan worden.

Met een Honeypot werkt dit ongeveer hetzelfde. Wanneer hackers en ransomware de getroffen maatregelen omzeilen door bijvoorbeeld een lek, misconfiguratie of een andere weg, dan waarschuwt onze Honeypot. Je kan je netwerkbeveiliging verbeteren door een Honeypot in te zetten. Deze waarschuwt niet alleen dat een hacker binnen is, maar houdt ook de hacker zo lang mogelijk bezig door de hacker voor de gek te houden.

Doordat onze Honeypot een hacker voor de gek houdt, krijg je meer tijd om te reageren en kan je achterhalen wat de hacker probeert te bereiken. Wij verzamelen informatie over de afkomst van de hacker, hoe deze is binnengekomen en wat deze probeert te bereiken. Zo kan je na een aanval met deze detectie en gegevens je netwerkbeveiliging verbeteren en je bestaande beveiligingsmaatregelen optimaliseren.

Cyber Security bestaat uit vier onderdelen: preventie, detectie, reactie en herstel. Verbeter netwerkbeveiliging door ook te denken aan een vangnet wanneer andere maatregelen falen.

Meer weten over de mogelijkheden van een Honeypot? Bel +31 (0)10 200 1350 of mail sales@securityhive.io

Onze Honeypots blijven zoemen

De situatie met Corona vraagt veel aanpassingen van mensen en bedrijven. Zo hebben wij ook een aantal keer de vraag gekregen wat voor effect dit heeft op de continuïteit bij SecurityHive.

Wanneer verdachte activiteit wordt waargenomen, is het erg belangrijk dat je hier snel van op de hoogte bent. Het kan niet zo zijn dat een hacker binnen zit, maar niemand daarvan op de hoogte is. Daarom denken wij bij elke stap na: wat voor impact heeft deze beslissing op de continuïteit van ons bedrijf en onze dienstverlening? Hierbij moet je niet alleen denken aan de beschikbaarheid van de dienst/applicatie, maar ook aan de medewerkers die het bedrijf draaiende houden.

PLATFORM EN ONTWIKKELING

Het platform van SecurityHive is zo ontwikkeld dat onze medewerkers en klanten op afstand het platform kunnen gebruiken en onderhouden. Ook zijn onze leveranciers geselecteerd en zijn er afspraken gemaakt op basis van hoge eisen. Vanuit onze leveranciers krijgen wij bevestiging dat ook bij hen alles in orde is en dat er geen problemen worden verwacht.

Onze ontwikkelaars gaan door met de ontwikkeling van ons platform en de Honeypot. Zij kunnen thuiswerken en op afstand de ontwikkeling voortzetten. Zo blijven wij nieuwe features toevoegen en Cyber Security vereenvoudigen! Binnenkort zullen wij al een sneakpreview geven van een aantal van deze neuwe functies.

Door voorbereid te zijn kunnen wij ook tijdens het Coronavirus (COVID-19) ongehinderd onze diensten blijven leveren en innoveren.

NIEUWE KLANTEN

Onze Honeypots zijn eenvoudig binnen 10 minuten op te zetten, geheel online en zonder tussenkomst van ons. Dankzij onze virtuele Honeypots is dit zo eenvoudig als het importeren van een bestand, invoeren van een licentie en het toepassen van een template in ons Portal. Wij willen Cyber Security eenvoudig en toegankelijk maken voor mensen en bedrijven.

Vandaag nog een Honeypot plaatsen? Klik hier!

Vragen omtrent onze dienstverlening tijdens het Coronavirus? Neem contact met ons op.

Laten we een Honeypot in actie zien

NOG NIET BEKEND MET DE HONEYPOT?

Lees dan onze blog over de toegevoegde waarde van Honeypots!

Met de activeringscode die bij de Honeypot wordt geleverd, kun je de Honeypot activeren om te beginnen met het configureren van de sensoren. Maak een Windows-fileserver en voeg een aantal bestanden toe aan de SMB-sensor of maak een een Linux-webserver en wijzig de authenticatiemethoden voor de SSH-sensor. De sensoren zijn dusdanig geprogrammeerd dat zij het gedrag van dergelijke protocollen perfect kunnen nabootsen, zodat Hackers geen onderscheid kunnen maken.

Zodra dat is gebeurd, kun je de notificatiekanalen instellen om ervoor te zorgen dat je direct een melding ontvangt wanneer dat nodig is. Liever meldingen in een monitoringssysteem? Middels onze publieke API is dat geen probleem. En dat is het! Jouw Honeypot is nu actief en klaar om het netwerk te beveiligen.

In de meeste gevallen zien we dat datalekken beginnen met een eenvoudige phishing-mail of bestaande exploit waardoor hackers jouw interne netwerk kunnen binnenkomen. Zodra de aanvaller een van de apparaten te pakken krijgt, is het meeste werk gedaan en kan de aanvaller ~ 191 dagen vrij rondneuzen, gebaseerd op een jaarlijkse studie door het Ponemon Institute LLC. Je kunt dat veranderen met behulp van onze Honeypot.

1. EEN AANVALLER MAAKT VERBINDING MET DE HONEYPOT

De Honeypot is geprogrammeerd om te communiceren als een normaal apparaat, maar op de achtergrond wordt waardevolle informatie zoals inloggegevens, commandos en netwerkinformatie naar het dashboard verzonden.

2. ONTVANG EEN AUTOMATISCHE MELDING

Zodra de Honeypot activiteit detecteert, ontvangt je een automatische melding via de door jouw ingestelde kanalen. Je bent direct op de hoogte en kunt middels de verzamelde informatie een aanvaller zo snel mogeljk isoleren.

3. ANALYSEER DE AANVAL IN HET DASHBOARD

De gegevens die door de Honeypot zijn verzameld, verschijnen live in het dashboard voor verder onderzoek. Analyseer eenvoudig de gegevens en detecteer relaties tussen eerdere aanvallen.

In basistermen is dit wat Honeypots gebouwd zijn om te doen. Simpel, maar zeer effectief! Honeypots zijn jouw vangnet in geval van een securitybreach. Ze helpen jou de kwetsbaarheden van het netwerk te begrijpen, zodat je Cyber ​​Security kunt optimaliseren. Cyberaanvallen vinden continue plaats maar om er pas na 191 dagen achter te komen is onacceptabel. Investeer daarom juist in de detectiemaatregelen.

Het verschil tussen Honeypots en Sandboxing

Als het gaat over Cyber Security, dan mag het duidelijk zijn dat het niet genoeg is om slechts één aspect van de security aan te pakken. Maatregelen nemen als het eigenlijk al te laat is en alleen de voordeur beveiligen met een firewall is gewoonweg niet voldoende.

Hoe kun je zeker weten dat er niet al een hacker actief is in het netwerk? Of er niet al malware op een van de systemen actief is en dat er gebruik wordt gemaakt van geïnfecteerde software? Bij deze vraagstukken komt het belang van Honeypots en Sandboxing kijken. In dit artikel zullen we beide methoden verder toelichten en daarmee de verschillen verduidelijken.

WAT IS EEN HONEYPOT?

Wij hebben al vaker geschreven over de Honeypot en waarom een Honeypot waarde toevoegt aan de cyberveiligheid van organisaties. De volgende beschrijving geeft het beste weer wat een Honeypot doet en wat het idee achter de Honeypot is:

“Een Honeypot kan het best worden omschreven als lokaas om hackers te betrappen. In een Honeypot worden geëmuleerde netwerkprotocollen, kwetsbaarheden en nepgegevens opzettelijk zeer verleidelijk en toegankelijk gemaakt. Het doel is om een hacker te misleiden en aan te trekken tot de geëmuleerde disinformatie. De Honeypot wordt op zijn beurt weer bewaakt door uw IT-team, automatiseerder of monitoringssysteem. Iedereen die betrapt wordt op ongeautoriseerde toegang tot de Honeypot, wordt gezien als indringer.”

Een Honeypot is eigenlijk de bewegingsdetectie van het netwerk. Zodra een hacker op onderzoek uit gaat in een netwerk, of zodra een geïnfecteerd systeem de infectie probeert te verspreiden, komt deze in aanraking met de Honeypot. De Honeypot maakt hier vervolgens een melding van en houdt de hacker bezig. Op deze manier zijn bedrijven direct op de hoogte wanneer het er toe doet.

WAT IS SANDBOXING?

Sandboxing wordt toegepast als er een vermoeden is dat bepaalde software geïnfecteerd is door Malware. De betreffende software wordt geïnstalleerd op een volledig geïsoleerd systeem dat op geen enkele mogelijke manier contact op kan nemen met een andere computer. Vervolgens wordt het geïsoleerde systeem in de gaten gehouden op verdachte activiteit. Op deze manier kan onderzocht worden of de software bijvoorbeeld bezig is met het stelen van gevoelige data.

Sandboxing is een goede methode om toe te passen bij bedrijven die werken met tools/materialen die van het internet gedownload worden en mogelijk besmettingen bevatten. Deze manier van werken verschilt wezenlijk van de Honeypot en is tegelijkertijd een goede aanvulling.

Het feit blijft dat elk bedrijf, ongeacht de grootte, momenteel vatbaar is voor cyberaanvallen. Daarom is het belangrijk om verschillende oplossingen in te zetten en niet te vertrouwen op slechts één oplossing voor uw cyberveiligheid.

Waarom Honeypot Software zoveel waarde toevoegd voor uw organisatie!

Een kernbeveiligingsprincipe is om altijd een een audit trail te hebben. Waarom? Als u ooit geconfronteerd wordt met een cyberaanval, weet u in ieder geval wat er is gebeurd, waar en wanneer dit heeft plaatsgevonden. 

Om u te helpen is er een scala aan hulpmiddelen beschikbaar bij het controleren van apparaten, systemen, applicaties en logboeken. Denk hierbij aan IDS/IPS-systemen of volledige SIEM-oplossingen. Aangezien deze hulpprogramma’s netwerken op 24/7-basis controleren, genereren ze dagelijks duizenden logboekitems en worden beheerders met informatie overspoeld. Naast de vele gegevens zijn er grote hoeveelheden waarschuwingen en meldingen, wat resulteert in overvolle inboxes met SIEM- en inbraakdetectiemeldingen.

Is het mogelijk dat we tegenwoordig door de bomen het bos niet meer zien?

Natuurlijk deden deze tools wat hen werd verteld; controleer dit, vindt dat en activeer een waarschuwing… Maar, met een stortvloed aan waarschuwingen is het moeilijk om aan te geven en te identificeren wat belangrijk is om te onderzoeken.

Als alles belangrijk is om te onderzoeken, dan is niets belangrijk.

Dit is de reden waarom Honeypot software een geliefd beveiligingshulpprogramma en controlemechanisme is geworden!

WAT IS EEN HONEYPOT?

Een Honeypot kan het best worden omschreven als lokaas om hackers te betrappen. In een Honeypot worden geëmuleerde netwerkprotocollen, kwetsbaarheden en nepgegevens opzettelijk zeer verleidelijk en toegankelijk gemaakt. Het doel is om een ​​hacker te misleiden en aan te trekken tot de geëmuleerde disinformatie. De Honeypot wordt op zijn beurt weer bewaakt door uw IT-team of monitoringssysteem. Iedereen die betrapt wordt op ongeauthoriseerde toegang tot de Honeypot, wordt gezien als indringer.

VOORDELEN VAN EEN HONEYPOT:

1. Waarschuwingen die het daadwerkelijk waard zijn om te onderzoeken

Zoals eerder vermeld, wordt uw IT-team vaak gebombardeerd met duizenden waarschuwingen per dag, met weinig of geen onderscheid tussen hoge risico’s, lage risico’s en andere bedreigingen. Dit terwijl Honeypot Software enkel evenementen registreert die daadwerklijk van belang zijn. Hierdoor wordt het voor uw IT-team eenvoudiger om sneller te analyseren, handelen en vervolgens de indringer te stoppen voordat verdere schade wordt aangericht.

2. Alternatief om ransomware te detecteren

Als u geen geautomatiseerd bestandscontrolesysteem hebt, kunt u in plaats daarvan een Honeypot instellen met nepbestanden en mappen. U wordt automatisch op de hoogte gebracht als er verdachte activiteit aanwezig is in uw bestandsbronnen. Aangezien er in theorie geen legitieme gebruikersactiviteit geassocieerd zou moeten zijn met een bestand op een Honeypot, kan elke activiteit gezien worden als een indringer. Een waarschuwing van de Honeypot Software moet dan ook gezien worden als kritisch.

3. Potentiële gevaren van insiders detecteren

Er wordt vaak vanuit gegaan dat elke interactie met een Honeypot wordt beschouwd als bewijs dat een hacker actief is in uw netwerk. Er is tenslotte geen reden voor iemand om daar te zijn. Een Honeypot detecteert ook wanneer een medewerker iets te nieuwsgierig het bedrijfsnetwerk afzoekt. Dit is natuurlijk niet de bedoeling, uw medewerkers dienen enkel gebruik te maken van de netwerkbronnen die ze daadwerkelijk nodig hebben.

Vertrouw uw medewerkers hierin, maar verifieer dit wel.

IS ENKEL EEN HONEYPOT VOLDOENDE?

Nee, zeker niet. Let goed op hoe u uw Honeypot software implementeert en van welke overige beveiligingsoplossingen u gebruik wilt maken. Honeypots voegen hun waarde toe door met bestaande beveiligingsoplossingen samen te werken. Leer hier meer over de Honeypot oplossing die SecurityHive u aan biedt!