Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    Hoe u uw beveiligingsintegraties ontwerpt

    Een productmanager van Mimecast deelt tips voor het integreren van best-of-breed tools via API's om bedreigingen sneller te identificeren, te analyseren en erop te reageren.

    by Jason Miller
    GettyImages-1166072020-1200px.jpg

    Hoofdpunten

    • Planning is de sleutel tot succesvolle integratie, te beginnen met het bepalen van uw doelstellingen.
    • Als u in het begin geen precieze doelstellingen hebt, verzamel dan een breed scala van gegevens die u kunt doorzoeken om patronen en problemen op te sporen.
    • Krijg een duidelijk inzicht in de mogelijkheden en beperkingen van elk van uw beveiligingstools.
    • Gerichte dashboards en zorgvuldige gegevensintegratie kunnen de analyse-inspanning en de time-to-value helpen verminderen.

    In een snel veranderende omgeving met bedreigingen is voor effectieve cyberverdediging een uiteenlopende reeks gerichte, hoogwaardige beveiligingstools nodig. De integratie van deze tools is essentieel voor een snellere identificatie van en reactie op bedreigingen, waardoor beveiligingsteams meer kunnen doen met minder en de organisatie het maximale uit haar investeringen in beveiliging kan halen.

    Mimecast hecht veel belang aan deze aanpak, en daarom bieden we vooraf gebouwde API-gebaseerde integraties met andere toonaangevende producten, evenals een uitgebreide set open API's die klanten kunnen gebruiken om zelf producten te integreren. Mijn rol bestaat uit het bouwen van die integraties - en in deze blogbijdrage deel ik best practices en inzichten die ik heb opgedaan tijdens dat werk, met als doel andere organisaties te helpen hun beveiligingstools zo snel en effectief mogelijk te integreren.

    5 beste praktijken voor het integreren van beveiligingstools

    Planning is de sleutel tot succes. Dat is de overkoepelende praktijk die u in gedachten moet houden bij het lezen van de vijf tips hieronder - de enige die ze allemaal overtreft, zo u wilt. Hoewel u zich onder druk gezet voelt om resultaten te leveren, loont het de moeite om te beginnen met het definiëren van uw doelstellingen, een duidelijk inzicht te krijgen in de integratiemogelijkheden en -beperkingen van elke tool en na te denken over hoe u de gegevens van elke tool zult combineren en analyseren. Deze vijf best practices behandelen elke stap in het proces.

    1. Bepaal uw doelen

    Denk na over waarom u deze reis begint en wat u wilt doen. Wilt u bedreigingen eerder aan het licht brengen? Wilt u een overzicht krijgen van uw gehele omgeving? Als u uw doelen definieert, kunt u precies bepalen welke gegevens u moet verzamelen en hoe u deze moet analyseren. Soms wordt de onmiddellijke noodzaak ingegeven door een specifieke recente gebeurtenis, zoals de compromittering van een senior executive via kwaadaardige e-mail. Om het probleem te lokaliseren kan het nodig zijn logbestanden van voorgaande dagen of zelfs weken te verzamelen en te analyseren om de bron en de omvang van de bedreiging te bepalen.

    2. Als u geen precieze doelen hebt, verzamel dan een breed scala aan gegevens

    Realistisch gezien is het niet altijd mogelijk om bij het begin precieze doelstellingen te definiëren, zelfs als u een algemeen idee hebt van wat u wilt doen. Soms worden specifieke problemen, patronen en mogelijke oplossingen pas duidelijk als u begint met het analyseren van de gegevens. Als dat het geval is, ga dan breed: verzamel logs of andere datasets uit meerdere bronnen, zodat u een brede set gegevens hebt voor analyse. Hier zijn enkele van de nuttigste gegevensbronnen:

    • Systemen voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM)
    • Systemen voor veiligheidsorkestratie, -automatisering en -respons (SOAR)
    • E-mail audit logs
    • Beveiligingslogboeken van eindpunten
    • Tools gericht op specifieke problemen zoals pogingen tot imitatie, kwaadaardige bijlagen en kwaadaardige URL's, zoals de Targeted Threat Protection-producten van Mimecast.
    • Data Loss Prevention logs

    Zodra u deze informatie hebt verzameld, kunt u deze gaan analyseren op patronen en anomalieën. Op zijn beurt kan de analyse dan nuttige visualisaties en acties voorstellen. Meerdere mislukte aanmeldingspogingen kunnen bijvoorbeeld betekenen dat aanvallers proberen in te breken in iemands account. Zodra u dat patroon door analyse hebt onthuld, kunt u detectieregels en visualisaties maken om soortgelijke pogingen vast te leggen en te markeren.

    3. Zorg voor voldoende documentatie - en lees ze!

    Het is van vitaal belang dat u een duidelijk inzicht krijgt in de mogelijkheden - en beperkingen - van elk hulpmiddel. Zorg er dus voor dat je voldoende documentatie hebt voor elk product dat je probeert te integreren, en lees die grondig door. Dat klinkt misschien voor de hand liggend, maar ik ben al heel wat gevallen tegengekomen waar integratie-inspanningen werden gehinderd door problemen die hadden kunnen worden geïdentificeerd door de referentiehandleidingen aandachtiger te lezen. Enkele veel voorkomende problemen en tips:

    • Het overbrengen van gegevens tussen producten is niet altijd eenvoudig. Verschillende hulpmiddelen presenteren gegevens op verschillende manieren, en het is vaak nodig om gegevens in een nieuw schema in te passen.
    • Wees u bewust van productbeperkingen. Sommige hulpmiddelen beperken het aantal rijen in tabelweergaven; andere hebben geen waarschuwingsmogelijkheden.
    • Zorg ervoor dat u op de hoogte bent van productkenmerken die het gebruik van API's beïnvloeden. Mimecast past bijvoorbeeld, net als sommige andere bedrijven, rate limiting toe om overmatige API-calls te voorkomen en goede prestaties te garanderen.
    • Maak geen veronderstellingen over de betekenis van genummerde foutcodes en berichten, zelfs niet als u ze als gestandaardiseerd beschouwt. Een foutcodenummer kan voor het ene (of vele systemen) één ding betekenen, maar door een ander systeem toch anders worden gebruikt.

    4. Gerichte dashboards helpen problemen te lokaliseren

    Bij het visualiseren van gegevens is het vaak beter om meerdere dashboards te maken - elk met een gecureerde set visualisaties gericht op een specifiek gebied - in plaats van een enkel, allesomvattend dashboard. Het mengen van ongerelateerde gegevens in één dashboard kan verwarrend zijn en de informatie die het dashboard moet overbrengen vertroebelen. Als u bijvoorbeeld een dashboard samenstelt om problemen bij te houden met gebruikers die op schadelijke URL's klikken, heeft het meestal geen zin om verificatielogs op te nemen, omdat de verificatiegeschiedenis u niet helpt te begrijpen welke URL's het meest problematisch zijn of welke gebruikers het meest risicovol gedrag vertonen. Gebruik in plaats daarvan de URL-dashboardvisualisaties om schadelijke URL's te markeren die u moet aanpakken, en volg de frequentie waarmee gebruikers proberen toegang te krijgen tot die URL's. Iemand die herhaaldelijk op een schadelijke koppeling klikt, vormt een groter risico dan iemand die slechts één keer klikt.

    5. Wees voorzichtig bij het integreren van gegevens - en identificeer de bron

    Het is vaak beter om gegevens van veel tools niet samen te voegen in een enkele database voor analyse, omdat het zoeken in de gegevens dan veel ingewikkelder wordt. Als u toch gegevens combineert, voeg dan een aangepast veld toe dat de bron identificeert. Anders kan de toegenomen complexiteit betekenen dat het langer duurt om waarde uit de gegevens te halen - wat ook betekent dat de analyse meer van de schaarse beveiligingsmiddelen van de organisatie vergt.

    De kern van de zaak

    Het integreren van best-of-breed beveiligingsproducten via open API's is van cruciaal belang voor het sneller opsporen en analyseren van bedreigingen en voor reacties daarop. Deze best practices zijn erop gericht u te helpen beveiligingstools snel en effectief te integreren om het hoofd te bieden aan het steeds veranderende bedreigingslandschap.

     

     

     

    getty-people-in-meeting-on-phone.jpg
    Up Next
    E-mailbeveiliging |
    Oklahoma herziet cyberbeveiliging om vuur met vuur te bestrijden

    Verwante Artikelen

    E-mailbeveiliging
    Ransomware’s Decline Reveals Value of Improved Defenses 
    E-mailbeveiliging
    How to Measure the Success of Cyber Awareness Training
    E-mailbeveiliging
    The Rise of Identity-Based Attacks

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven