Onze Auditors inventariseren het niveau van Cybersecurity paraatheid zeer snel en accuraat aan de hand van de ISO27001 en 27005 versie 2022. Het Audicy framework zorgt voor een extra dimensie door alle communicatie in het bedrijf te centraliseren in Audicy. Mails worden niet over het hoofd gezien. Discussies over een clausule zijn eenvoudig opvolgbaar bij de betreffende Control zelf. De frequentie van herinneringen bepaal jezelf, dagelijks, wekelijks, wat jou als manager het beste uitkomt. De inventaris van alle bedrijfsmiddelen (Assets) linken aan de controls en zijn ook gelinkt aan de risico analyses. Deze opzet zorgt voor zeer belangrijke tijdswinst. Deze tijd is een welkome extra om tot sluitende NIS2 GAP analyses te komen.
CIS Controls v8
Het ‘Center for Internet Security’ afgekort CIS zet zich in om bedrijven inzicht te geven in Major incidents bij bedrijven die dachten het allemaal te weten en onder controle te hebben. De CIS Controls kun je vergelijken met een universitair Labo waar bedreigingen voor de gezondheid vanuit verschillende invalshoeken onderzocht worden. Zo zorgen ze niet voor een onderdrukking van symptomen maar voor ‘voorkomen is beter dan genezen’. In de toekomst zal bijvoorbeeld Digipolis verplicht worden inzicht te geven in de goedgelukte aanval die ze ondergingen zodat dit bij u voorkomen kan worden.
De CIS gemeenschap herbergt veel Cybersecurity Expert vrijwilligers en is goed bekend bij de NIS1 experten. Ze stellen steeds een praktijkgericht schema op met sluitende adviezen en schema’s. In 2013 werd de Verizon Data breach onderzocht. Het advies van een honderdtal experten had als doel dat bedrijven niet dezelfde fouten zouden maken. CIS geeft een aanvalstraject weer in de gekende Mitre & Attack benadering. Wat zegt wikipedia hierover?
De Adversarial Tactics, Techniques, and Common Knowledge of MITRE ATT&CK is een richtlijn voor het classificeren en beschrijven van cyberaanvallen en inbraken. Het werd gecreëerd door de Mitre Corporation en uitgebracht in 2013.[1]
Het raamwerk bestaat uit 14 tactiekcategorieën die bestaan uit “technische doelstellingen” van een tegenstander. Voorbeelden zijn privilege-escalatie en commando en controle.
Deze term wordt ook vaak gebruikt in de computerbeveiligingsindustrie en in de context van cyberoorlogsvoering. Hier verwijst de term naar de invloed die een aanvaller heeft op een gecompromitteerd computersysteem dat hij controleert. Een geldig gebruik van de term is bijvoorbeeld dat aanvallers gebruik maken van “command and control infrastructure” om “bevels- en controle-instructies” te geven aan hun slachtoffers. De geavanceerde analyse van commando- en controlemethodes kan worden gebruikt om aanvallers te identificeren, aanvallen in verband te brengen en lopende kwaadaardige activiteiten te verstoren.
Deze categorieën worden vervolgens verder onderverdeeld in specifieke technieken en subtechnieken.
De CIS controls voldoen aan deze belangrijke vereisten. Ze zorgen voor:
Focus
Verdedigers helpen de meest kritieke dingen te identificeren die ze moeten doen om de belangrijkste aanvallen te stoppen.
Vermijd de verleiding om elk beveiligingsprobleem op te lossen – vermijd het toevoegen van “goede dingen om te doen” of “dingen die je zou kunnen doen”.
Haalbaarheid
Alle individuele aanbevelingen (waarborgen) moeten specifiek en praktisch uitvoerbaar zijn.
Meetbaarheid
Alle CIS-controles, met name voor uitvoeringsgroep 1, moeten meetbaar zijn.
Vereenvoudig of verwijder dubbelzinnige taal in de aanbevelingen om inconsequente interpretatie te voorkomen.
Sommige veiligheidsmaatregelen kunnen een drempel hebben
Overeenstemming
De CIS adviezen brengen een “vreedzame coëxistentie” tot stand met andere Cybersecurity beheers-, regelgevings- en procesbeheerssystemen, -kaders en -structuren.
Onderschat het niet hoe jou Cybersecurity Incident team zijn inzichten vergroot. Als je weet hoe de dief bij de buren binnengeraakt is, zul je dan dezelfde fout maken? Waarschijnlijk niet.
CIS control 1
Elk bedrijf of organisatie moet als belangrijkste eerste stap inzicht hebben welke Cybersecurity bedrijfsmiddelen (assets) aanwezig zijn. Dit kan gaan van Endpoints, software, licenties , menselijke kennis per Cyber afdeling enzovoort. Maar evenzo horen contracten, opgestelde DPIA’s, een ISMS , een Auditschema tot de bedrijfsmiddelen. Interessant is dat CIS control 1 snel inzicht geeft welke niveau van weerbaarheid er aanwezig is. Stel je als vergelijking maar eens voor dat een politie agent naar een schietpartij moet, maar iemand vergeten is de kevlar kogelvrije vesten te voorzien…..
Het bijhouden van zulk een inventaris is dynamisch. Er dienen eikingsmomenten en audits ter controle met een op zijn minstens maandelijkse frequentie te worden voorzien.
1.1 Maak een volledig en gedetailleerd overzicht van alle bedrijfsmiddelen Cybersecurity gerelateerd.
Endpoints
Netwerk apparatuur
Servers
Cloud abonnementen
Contracten
…
Op de weg naar NIS2 certificatie zullen navolgende bedrijfsmiddelen aanwezig moeten zijn:
Active Directory en een beheertool
Gemonitorde SSO (Single Sign On) met een extra bewaker een logging en een extern monitoring team.
Multi factor Authenticatie – MFA en een beheertool
Mobiel apparaat Management (MDM)
Een continue scanner op kwetsbaarheden (bvb. Guardian360)
IAM
Intrusion detection systems (IDS)
Deep Packet Inspection
Voor een uitgebreid overzicht download u het CIS v8 best in excel formaat hieronder:
Bron – CIS Controls Cloud Companion Guide – https://www.cisecurity.org/controls/v8/
1.2 Spoor alles UFO’s op
Wekelijks zoekt u naar ongeautoriseerde hardware. Vervolgens verwijdert u ze van het netwerk of plaatst u ze via een VLAN instelling voor een quarantaine.
1.3 Vergemakkelijk het werk van uw team in dit opzicht met een screening tool. Bijvoorbeeld N-able
1.4 Gebruik DHCP logging
Met DHCP logging krijgt u inzicht in de gebruikers van uw netwerk.
1.5 Zet een passieve inventaris controleur in
Een voorbeeld hiervan is de tool van service now.
https://www.servicenow.com/products/it-asset-management.html
Voor de IT techneut in uw bedrijf is dit een gedwongen kwaad. Maar het motto is en blijft ‘Meten is Weten’
Als je fleetmanager niet weet hoeveel auto’s hij in beheer heeft, hoe kan hij dan zorgen dat ze goed onderhouden zijn, Gecontroleerd door een periodieke strenge keuring en of ze wel verzekering hebben of depannage bijstand.
Op eenzelfde manier dienen we respect te hebben voor de verantwoordelijke van de Cybersecurity Bedrijfsmiddelen Inventaris manager. Dit werkt vergt een continue controle maar voorkomt dat ongeautoriseerde toestellen voor hacking zorgen en dat alle behoeften voor Cybersecurity bescherming met een oplossing of contract gedekt zijn.