Continue monitoring

Niveau:

1 t/m 5


Gericht op:

Continue monitoring

Continue monitoring Continue uitlezen dashboard/boardcomputer

Gaan er lampjes op uw dashboard branden die aangeven dat er iets fout gaat? U wilt graag direct worden gewaarschuwd, zodat u de juiste actie kunt ondernemen.

Wat doen we?
We voeren continue monitoring op uw systemen uit, waarbij afwijkingen worden gedetecteerd. Deze monitoring kan door sensoren te plaatsen in het netwerk, infrastructuur (AD/DNS), applicaties (bijvoorbeeld Office 365) of file-omgevingen. Het verschil met de vulnerability management is dat daar op afgesproken momenten wordt gespeurd naar kwetsbaarheden (preventie), terwijl deze dienst juist is gericht op continue detectie. Met andere woorden: er gaat al iets fout, dit moet worden gedetecteerd en aangepakt.
Waarom is deze dienst nodig?
Gemiddeld duurt het zo’n 250 dagen voordat een hack wordt ontdekt. In het merendeel van de gevallen had een en ander voorkomen kunnen worden door eerder te detecteren. We monitoren continu uw netwerkverkeer (ingaand en uitgaand) op afwijkingen. Hierdoor kunt u enerzijds snel calamiteiten detecteren, anderzijds heeft u direct de juiste informatie om tot actie over te gaan.

Door de verkeersstromen in uw netwerk te meten en te monitoren op afwijkend gedrag (zogenaamde ‘anomalies’) kunnen we (pogingen tot) inbraak achterhalen. We controleren het netwerk, applicatieservers, fileservers, de Office 365-omgeving en/of uw Sharepoint/Teams-omgeving op relatief onschuldige malware tot aan keyloggers (die toetsenbordaanslagen bijhouden) en geïnstalleerde achterdeurtjes die in een later stadium door kwaadwillenden kunnen worden gebruikt voor het opstarten van een ransomware-aanval of het stelen van data.

Hoe werkt het?
Na een intakegesprek bepalen we gezamenlijk op welke plaatsen we sensoren plaatsen in uw netwerk die het netwerkverkeer gaan analyseren. Vervolgens plaatsen we een (passieve) monitoring-unit die het verkeer continu analyseert waarbij – indien nodig – tussentijds de sensoren worden aangepast. We verzamelen de data via zogenaamde port-mirroring.
U ontvangt op afgesproken momenten heldere, begrijpelijke rapportages. De resultaten en aanbevelingen bespreken we met u en uw IT’er(s). Uw IT’er(s) kan (kunnen) hiermee direct aan de slag om eventueel vreemd gedrag verder te analyseren en uw organisatie beter weerbaar te maken.
We kunnen verkeer controleren van/naar internet, maar ook tussen interne netwerksegmenten of van/naar thuiswerkers. Verder kunnen we verkeer controleren van/naar Azure en van Office 365. Als ook andere logging gewenst is, dan kunnen we in overleg kijken of dit mogelijk is.
Ten slotte slaan we uiteraard alarm op het moment dat we afwijkend verkeer zien. In overleg bepalen we wat de gewenste vervolgstappen zijn om een incident te voorkomen of de schade te beperken.
ThreadStone helpt!
De belangrijkste voordelen van Continue monitoring
  • U weet wat er gebeurt op uw netwerk

    We meten al uw binnenkomende en uitgaande netwerkverkeer en controleren het op afwijkingen. De praktijk leert dat veel incidenten voorkomen hadden kunnen worden door gebruik te maken van monitoring. Zie Continue monitoring als het brandalarm van uw netwerk: het gaat af zodra we vreemde dingen constateren.

  • Zicht op vreemd verkeer en verdachte inlogpogingen

    U krijgt zicht op vreemd verkeer en mogelijke hackpogingen. Wordt er bijvoorbeeld gecommuniceerd met IP-adressen in landen waar u helemaal geen data-uitwisseling mee zou moeten hebben? Met deze kennis kunt u de zwakke plekken in uw netwerk direct versterken, om nieuwe incidenten te voorkomen.

  • PDCA voor uw Informatiebeiliging

    Doordat we continu meten, krijgt u inzicht in of uw verbetermaatregelen effect hebben. De aanbevelingen in onze rapportages zijn bruikbare input voor een plan-do-check-act-cyclus voor uw IB-beleid.