Loginformatie
De kans dat jouw onderneming slachtoffer wordt van een cyberaanval is reëel. Daarom is het zeer belangrijk om na een incident te kunnen achterhalen wat er precies is gebeurd. Dit is mogelijk door gebeurtenissen en gebruikersacties gedetailleerd te analyseren aan de hand van loginformatie.
Wat is loginformatie?
Loginformatie vastleggen houdt in dat je allerlei gebeurtenissen en acties binnen een netwerk en/of hard- en softwaresystemen van een organisatie verzamelt. In loginformatie kun je bijvoorbeeld bijhouden wat de applicatiegebruikers in een bedrijfsnetwerk hebben uitgespookt. Maar ook statuswaarschuwingen of inlogpogingen binnen specifieke applicaties kunnen in loginformatie worden vastgelegd. Kortom, loginformatie vertelt je wat er binnen een bepaald systeem is gebeurd.
Het bijhouden van logs kan in veel verschillende systemen: beveiligings- en antivirussoftware, firewalls, besturingssystemen, servers, netwerkapparatuur ect.
Waar moet je op letten?
- Veel systemen loggen niet standaard
Allereerst is het belangrijk om te achterhalen of een bepaald systeem überhaupt beschikt over een logfunctionaliteit. De logfunctionaliteit staat mogelijk niet automatisch 'aan'. In dat geval moet je het loggen handmatig activeren. - Mogelijk veel data
Hoe meer systemen je gebruikt die loginformatie genereren, hoe meer informatie je hebt om te verwerken. Het aantal, het volume en de verscheidenheid aan loginformatie is enorm toegenomen. Denk dus goed na over hoe je deze informatie op een zorgvuldige manier kunt behandelen en hoe je verder omgaat met grote volumes loggegevens. - Actief monitoren en afhandelen gaat niet vanzelf
Het actief interpreteren, monitoren en afhandelen van loginformatie kost tijd, geld en specifieke kennis. Stel je zelf de vraag of je dit binnen de organisatie wil borgen en/of je hier structurele capaciteit voor vrij kunt maken. Je zou ook kunnen overwegen om een monitoringsdienst (die bijvoorbeeld de loginformatie van de Active Directory, firewalls, antivirussoftware en webservers afhandelt) bij een gespecialiseerd bedrijf af te nemen. - Alle loginformatie is te vinden in/op verschillende systemen
Als je op alle hard- en software binnen de infrastructuur van je bedrijf de loginformatie vastlegt, dan kun het overzicht wellicht kwijt raken. Alle informatie is verspreid gelogd. Hier zijn oplossingen voor. Je kunt de loginformatie op een centrale plek voor monitoring opslaan. Hiervoor zijn diverse SIEM (Security Information and Event Management) en securityproducten beschikbaar. - Opslag van loginformatie
Hoe en waar worden gevoelige logbestanden opgeslagen? Wie heeft hier binnen de organisatie toegang tot? Wanneer je dit niet goed hebt afgeschermd, bestaat de kans dat aanvallers de logbestanden hebben kunnen aanpassen of verwijderen. In dat geval is zelfs een diepgaand forensisch onderzoek een uitdaging. - Denk na over bewaartermijnen
Als je logbestanden lang bewaart, kun je ook veel later bij incidenten nog achterhalen wat er is gebeurd. Aan de andere kant bevatten logbestanden mogelijk privacygevoelige informatie. Daarnaast neemt loginformatie opslagruimte in beslag.
Zoals je hierboven hebt gelezen is het vastleggen, opslaan en slim inrichten van loginformatie geen gemakkelijke opgave. Desondanks kan het wel hebben van gedetailleerde loginformatie erg nuttig zijn bij het oplossen van (cyber-)incidenten of voorkomen van mogelijke aanvallen. Beschik je als ondernemer niet over (voldoende) loginformatie, dan tast je volledig in het duister. Ga daarom vandaag nog aan de slag met het inrichten van je loginformatie.