Industriele omgeving net specifieke risico’s vraagt om een unieke aanpak
Onze zusterorganisatie AKSI Automatisering te Haren beschikt over een 24/7 Security Operations Center SOC en een Network Operations Center NOC zodat we u optimaal van dienst kunnen zijn.
Host Intrusion Detection
Cyberaanvallen vinden gewoonlijk in fases plaats. Eén systeem wordt geïnfecteerd en van daaruit zoekt men naar mogelijkheden om verder te komen. Het is dus van groot belang om dit vroegtijdig te signaleren. Dit kan met zogenaamde Host Intrusion Detection Systems (HIDS). Servers en workstations worden continu bewaakt door monitoring van kritische services, netwerkactiviteit, user accounts, etc. Geconstateerde afwijkingen resulteren in een alert via pop-up of een bericht naar een centraal systeem.
Enkele voorbeelden van bekende HIDS zijn CyberBit Endpoint Detection & Reponse, Symantec Endpoint Protection, McAfee HIPS, Trend Micro, TripWire, FireEye HX, AlienVault en anderen. In tegenstelling tot het verleden zijn deze systemen tegenwoordig ook compatible met industriële software, mits goed geconfigureerd.
Network Intrusion Detection
Het doel van Network Intrusion Detection Systems (NIDS) is vergelijkbaar met Host Intrusion Detection, maar richt zich op netwerkverkeer. Vooraf wordt in kaart gebracht wat normaal netwerkverkeer is (source/destination, ports, protocols, functions). Dit wordt vastgelegd in een baseline. Vervolgens kunnen afwijkende patronen worden gesignaleerd. Uit onderzoek moet dan blijken of er daadwerkelijk sprake is van een cybersecurity incident. In geval van een false positive wordt de baseline bijgesteld, waardoor het systeem steeds beter in staat is de juiste analyse te maken.
Bekende voorbeelden van industriële NIDS zijn o.a. Sentryo CyberVision, CyberBit SCADAshield, CyberX, FireEye NX, AlienVault. Met sommigen hiervan heeft Aksi Automatisering een partnership.
Security Operations Center
Het nemen van adequate technische maatregelen om uw systemen te beveiligen, biedt geen vrijbrief om achterover te leunen. Geïmplementeerde security controls mogen een tijdelijke barrière vormen, maar waakzaamheid blijft nodig om een tijdige Incident Response te kunnen waarborgen.
Een Security Operations Center staat continu in verbinding met detectieapparatuur in uw netwerk. Logs van diverse locaties worden automatisch verzameld en gecorreleerd door middel van een Security Information & Event Management (SIEM) systeem. Zodra bijzonderheden worden geconstateerd, worden experts gewaarschuwd. Zij onderzoeken en beoordelen de informatie; indien nodig nemen zij contact op met een verantwoordelijke in uw organisatie om direct de juiste maatregelen te treffen.