1. Blog
  2. Cybersecurity
  3. Het pad naar intelligence-led SASE

Het pad naar intelligence-led SASE

Wat een verschil een jaar kan maken. Terwijl bedrijven rustig aan uit de pandemie tevoorschijn komen, zullen hun netwerken er heel anders uitzien dan begin 2020. Veranderde werkpraktijken, versterkt door een migratie uit het kantoor, hebben het netwerkverkeer en toegangspatronen veranderd. Bedrijven veranderen hun houding ten aanzien van beveiliging al om met deze nieuwe situatie om te gaan. Terwijl ze dit doen, is het belangrijk om cyber security kennis centraal te houden.

Bedrijven die worstelen met de beveiligingsuitdagingen van een gedistribueerde workforce, wenden zich tot een concept dat Secure Access Service Edge (SASE) wordt genoemd. Voor het eerst benoemd in een onderzoeksrapport van Gartner medio 2019, combineert het cyber security en netwerken als een enkele entiteit om complexere toegangspatronen te helpen beheren.

SASE combineert belangrijke netwerkbeveiligingsfuncties zoals secure web gateway, cloud access security broker, firewall-as-a-service en zero trust om de toegang tot computerbronnen overal en altijd te beheren. Dit gebeurt op schaal door te focussen op de identiteit van een gebruiker in plaats van op het apparaat dat ze gebruiken. Het neemt automatisch toegangsbeslissingen in de cloud door die identiteitsinformatie te combineren met een scala aan andere factoren die de context van een gebruiker beschrijven.

Het is een fascinerend servicevoorstel, maar velen hebben een essentiële factor overgeslagen die cruciaal is voor een volledige cyber security aanpak: cyber security intelligentie.

Wat houdt een intelligence-led aanpak in?

De security intelligence-led benadering vormt een door data gedreven aanvulling op het geautomatiseerde toegangsbeleid van een SASE initiatief om de cyber security te versterken. Het houdt een SASE oplossing dynamisch en relevant door deze voortdurend bij te werken met nieuwe dreigingsinformatie, beheerd door een speciaal Security Operations Center (SOC) dat snel reageert op opkomende beveiligingsproblemen.

Data vormt de kern van een intelligence-led aanpak. Cybercriminelen staan ​​nooit stil, en dat geldt ook voor de cyber security operatie van een organisatie. Een robuuste security positie is afhankelijk van een evoluerend beeld van het dreigings- en kwetsbaarheidslandschap.

Dat begint met kwetsbaarheidsinformatie over mogelijke zwakke punten. Bedrijven die een SASE initiatief uitvoeren, moeten de virtuele cyber security functies die een SASE framework vormen, controleren en letten op tekenen van problemen. Ze moeten ook de hardware- en softwarecomponenten beschermen waartoe gebruikers toegang hebben via dat framework, variërend van externe opslagsystemen tot zakelijke applicaties. Elke dag ontstaan ​​er nieuwe kwetsbaarheden in bedrijfssystemen. Door die zwakke plekken toe te wijzen aan specifieke geïnstalleerde producten en diensten, kunnen bedrijven deze snel patchen.

Het andere cruciale onderdeel van deze aanpak zijn dreigingsgegevens. Een dienstverlener moet informatie verzamelen en ordenen over de dreigingsactoren die zich richten op bedrijfssystemen, ongeacht of deze worden geleid door de georganiseerde misdaad, gesponsord door overheidssteun of georganiseerd door hacktivisten. Het zal de technieken van deze aanvalsgroepen volgen terwijl ze zich in de loop van de tijd ontwikkelen. Threat intelligence let ook op nieuwe exploits die profiteren van bekende kwetsbaarheden, naast zero-day aanvallen die gebruikmaken van kwetsbaarheden die nog niet algemeen bekend zijn.

Deze data komt uit een mix van bronnen. Het interne onderzoek en de ontwikkeling van de serviceprovider is een primaire bron, evenals de gegevens die hij uit de dagelijkse activiteiten haalt. Dit wordt gecombineerd met gegevens van geaggregeerde dreigingsfeeds, waardoor indicatoren van blootstelling worden gedistilleerd tot een uitgebreide, betrouwbare bron van dreigingsinformatie. Zoek een serviceprovider die regelmatig samenwerkt met wetshandhavers om een ​​extra laag kwaliteitsinformatie te krijgen over opkomende cyberdreigingen.

Die gegevens worden verwerkt in een cyber security intelligence keten die sterk afhankelijk is van een zeer capabele 24×7 SOC. Menselijke operators daar zullen prioriteit geven aan bedreigingen, de noodzaak van dringende patches benadrukken en eerst de meest kritieke bedreigingen neutraliseren.

Een op intelligentie gebaseerde aanpak in uw SASE-project verweven

SASE projecten zijn grote, complexe initiatieven met veel bewegende onderdelen. Het omvat gefaseerde implementaties die zijn afgestemd op commerciële overwegingen, zoals contractvervaldata voor bestaande producten en diensten. Bij Orange Cyberdefense adviseren we om een intelligence-led aanpak in uw SASE oplossing op te nemen terwijl deze zich ontwikkelt, en deze vanaf het begin te ontwerpen met behulp van een drieledig proces.

Identificeren

Elke SASE implementatie zal anders zijn, gebaseerd op de unieke technische behoeften en het risicoprofiel van de organisatie. Deze beginnende fase is het moment om te pleiten voor een intelligence-led SASE initiatief bij belangrijke besluitvormers. Werk samen met een serviceprovider om een ​​betrouwbare en consistente cyber security ervaring te bouwen en te ontwerpen.

Een consultant zal u helpen uw huidige positie te beoordelen en de security prioriteiten te definiëren die uw bredere SASE initiatief zullen ondersteunen terwijl het zich ontvouwt. Dit omvat het analyseren van zakelijke beveiligingsfactoren, het identificeren van bedreigingen en het in kaart brengen ervan tegen specifieke risico’s voor het bedrijf.

Het evalueren van uw huidige cybersecurity architectuur zal u voorbereiden op een gap-analyse, zodat u uw bestaande beschermingsmaatregelen in kaart kunt brengen ten opzichte van uw SASE visie om een toekomstplan te maken. Uw consultant zal u helpen het meest geschikte SASE framework voor uw bedrijf te identificeren.

Beschermen

Tijdens deze fase kun je samen met je serviceprovider een SASE architectuur ontwerpen die de verbindingen tussen gebruikers, applicaties en data beveiligt. Het beschermt gebruikers tegen cyberdreigingen, ongeacht hun locatie. Gebruik de mix van cyberbeveiliging en netwerkkennis van de consultant om de oplossing te implementeren op basis van best practices uit de branche. Deze architectuur moet een managed cybersecurity service component bevatten die voortdurend veranderende dreigings- en kwetsbaarheidsgegevens door uw SASE activiteiten leidt.

Detection en response

In deze laatste fase komt Threat Intelligence en managed SOC services nauw samen met de SASE oplossing. Het is ook een fase die nooit eindigt, omdat het herhaaldelijk uw cybersecurity status controleert en verfijnt. Menselijke operators zullen, met behulp van geautomatiseerde cybersecurity detection en response bronnen uit het SOC, alle componenten van de SASE oplossing bewaken en die telemetrie combineren met dreigingsinformatie om opkomende incidenten vroegtijdig te herkennen.

Conclusie

Als er één element is dat we willen uitlichten voor organisaties die SASE overwegen, is het dat dit meer is dan alleen een technologische oplossing. Het is een discipline die een constante feedback cyclus vereist om beschermende maatregelen nauw af te stemmen op reële bedreigingen.

Door bij het ontwerp van uw SASE initiatief rekening te houden met kwetsbaarheden en Threat Intelligence, kunt u uw bedrijf toekomstbestendig maken tegen de aanvallen van morgen. Dit stelt u in staat om toenemende aanvalsvectoren en kwaadaardig netwerkverkeer te beheren terwijl u ziet waar de bedreigingen morgen vandaan komen, in plaats van wat u gisteren heeft getroffen.

Meer weten over SASE? Download the whitepaper.

Delen