Voorkom ransomware-uitbraken en data-exfiltratie met Smart Network Monitoring

Signaleert u het direct als het netwerkverkeer abnormaal gedrag vertoont? Afwijkend gedrag op het netwerk kan een signaal zijn dat het kwaadwillenden is gelukt om toegang tot uw netwerk te krijgen. Waar u dat aan kunt zien? Bijvoorbeeld doordat er op vreemde tijden door clients wordt ingelogd. Of doordat twee apparaten die normaal alleen met diensten praten ineens activiteiten uitwisselen. Duidelijke signalen, maar dan moet u ze wel zien! Met Smart Network Monitoring van aaZoo maken wij het onzichtbare zichtbaar. Dat begint bij de basis: netwerkdetectie. In deze blog leggen wij uit hoe wij u helpen om onder meer ransomware-uitbraken en data-exfiltratie te voorkomen.

Hoe voorkomt netwerkdetectie dat systemen gehackt worden?

Met netwerkdetectie monitort u continu of er niet toch iemand voorbij de voordeur is gekomen en zich met kwade bedoelingen in het netwerk bevindt. Dit gebeurt niet door ín het dataverkeer te kijken, maar door het gedrag te analyseren. Dit doen wij onder andere met Cisco Secure Network Analytics (voorheen Stealthwatch). Netwerkdetectie stelt u in staat een aantal belangrijke securityrisico’s aan te pakken voor het te laat is:

1. Ransomware

Doordat al het verkeer tussen clients binnen en buiten het netwerk inzichtelijk is, is het mogelijk om te zien hoe een ransomware-uitbraak zich door het netwerk verspreidt. Dit geeft ons de mogelijkheid om in te grijpen vóórdat systemen daadwerkelijk gehackt worden. Als medewerkers vanaf hun pc werken, wordt er gepraat met onder meer de e-mailserver, applicatieservers en Microsoft 365, maar níet met de pc’s van andere collega’s. Verkeer tussen twee clients wijst op abnormaal gedrag en kan dus een indicatie zijn om in te grijpen.

Naast netwerkdetectie maken wij binnen onze Smart Network Monitoring-dienst onder andere ook gebruik van Cisco Umbrella voor DNS-beveiliging en managed firewalls. Dankzij deze complementerende diensten, hebben wij onlangs niet alleen een ransomware-uitbraak gedetecteerd, maar ook proactief geblokkeerd. Met Cisco Umbrella konden we domeinnamen die met de aanval te maken hadden blokkeren en tegelijkertijd hielden de firewalls daadwerkelijk adressen tegen.

2. Data-exfiltratie

Data-exfiltratie betekent dat er data uit het netwerk lekt. Dit kan natuurlijk via een usb-stick zijn, maar in de meeste gevallen zien we dat er data verstuurd wordt vanuit het netwerk naar een vage server op het internet. Ook Box.com, Wetransfer en OneDrive worden hiervoor veel gebruikt. Detectiesystemen leren continu wat normaal gedrag is. Als gebruikers iedere dag bestanden ophalen, dan is dat normaal. Gaat iemand ineens hele directories downloaden, dan is dat abnormaal gedrag en is het belangrijk om hier opvolging aan te geven.

3. Verkenners in beeld brengen

Voordat een aanval daadwerkelijk plaatsvindt, kan het zijn dat een aanvaller ervoor kiest om zich eerst een beeld te vormen van de netwerkomgeving. Hij kijkt bijvoorbeeld welke machines er in het netwerk zitten en scant welke poorten openstaan. Het gaat hier om gerichte en gemotiveerde aanvallen, waarbij u te maken heeft met iemand (of een heel team) aan de andere kant die aan de knoppen zit. Hoe je dit detecteert? De scans die worden uitgevoerd door de aanvaller, zijn detecteerbaar. Scanmethodes zijn vrij goed gedocumenteerd en daardoor goed te herkennen als verkeer dat niet valide is.

4. Archief opbouwen

Door gebruik te maken van netwerkdetectie, bouwt u over korte periodes een archief met informatie op. Zodoende kunt u achteraf terugzien wat er op het netwerk is gebeurd. Handig wanneer u een probleem moet oplossen of om in de gaten te krijgen dat het netwerk ergens door geraakt is. Een mooi voorbeeld is het recente drama met het lek in Microsoft Exchange. Zodra bekend werd welke adressen met de hack geassocieerd waren, konden we terugkijken of deze op het netwerk van onze klanten geweest waren en eventueel actie ondernemen.

Zelf doen of uitbesteden

Zoals gezegd staat netwerkdetectie aan de basis van onze Smart Networking Monitoring-dienst. De informatie die hieruit voortkomt, wordt gelogd en verrijkt met informatie uit eigen onderzoek en Threat Intelligence van derden. Naar mate we meer informatie hebben, wordt het beeld completer en zijn we steeds beter in staat om netwerken optimaal te beveiligen. Daarom bestaat onze dienstverlening niet alleen uit detectie, maar optioneel bijvoorbeeld ook uit DNS-beveiliging, multi-factor authenticatie en E-mail Security. Stuk voor stuk cloudoplossingen die waardevolle inzichten opleveren en die wij inzetten om uw netwerk op afstand te beschermen.

Meer weten over Smart Network Monitoring? Neem dan contact met ons op