- Door netwerkapparatuur te controleren, wordt de werkelijke inventaris, de status van de infrastructuur en de kwetsbaarheden in kaart gebracht voordat ze storingen of datalekken veroorzaken.
- Software- en hardwaretools, samen met protocollen zoals SNMP, LLDP, NetFlow en ARP, stellen u in staat de topologie te ontdekken en het verkeer grondig te analyseren.
- Een goede methodologie combineert een fysieke en logische beoordeling, interne en externe beveiligingstests en een gestructureerde analyse van de resultaten met duidelijke aanbevelingen.
- Continue monitoring en analyse van het netwerk zijn essentieel voor het handhaven van prestaties, beschikbaarheid, naleving van regelgeving en bescherming tegen cyberaanvallen.
Het netwerk van een bedrijf is het zenuwstelsel van de gehele onderneming geworden.Als het systeem uitvalt, stopt de productie, wordt de toegang tot cruciale applicaties afgesneden en neemt het risico op een ernstig beveiligingsincident, zoals het volgende, aanzienlijk toe: cyberaanvallen in SpanjeHet is niet langer voldoende om de apparatuur aan te zetten en te "rondkijken"; het is noodzakelijk om te weten wat er werkelijk via de kabels en wifi gebeurt, wie er verbinding maakt, hoe de infrastructuur presteert en welke deuren openstaan voor potentiële aanvallers.
Een goede analyse van netwerkapparatuur combineert audits, monitoring en een beveiligingsbeoordeling. Om de volgende belangrijke vragen te beantwoorden: Is het netwerk correct gedimensioneerd? Zijn er verouderde apparaten die de prestaties vertragen? Zijn er beveiligingslekken? computervirussen Of gaat het om slecht geïmplementeerde protocollen? Welk verkeer komt het internet binnen en verlaat het, en naar welke bestemmingen? In dit artikel zullen we in detail bespreken hoe deze analyse wordt uitgevoerd en welke tools en technieken worden gebruikt in zowel bedrijfs- als industriële omgevingen.
Waarom is het zo belangrijk om het netwerk te analyseren en te controleren?
Netwerkaudits geven inzicht in de "gezondheidsstatus" van de infrastructuur. en problemen te anticiperen voordat ze een wijdverspreide storing of een beveiligingslek veroorzaken. Deze analyses kunnen verkeerde configuraties, prestatieknelpunten, niet-ondersteunde apparatuur, kwetsbaarheden, interne en externe bedreigingen of zelfs misvormde frames detecteren die eindsystemen kunnen destabiliseren.
In bedrijfsnetwerken ligt de focus doorgaans op internettoegang.Omdat het doorgaans de meest belaste en kritieke schakel in de hele organisatie is, kan slecht bandbreedtebeheer of een externe aanval ertoe leiden dat het hele personeel zonder internetverbinding komt te zitten. In industriële netwerken is de uitdaging echter anders: het grote aantal propriëtaire of slecht gedocumenteerde protocollen maakt vaak het gebruik van gespecialiseerde analysers noodzakelijk die elk frame kunnen begrijpen en de implementatie ervan kunnen valideren.
Naast het oplossen van specifieke problemenOrganisaties doen een beroep op netwerkanalyse en -auditing wanneer ze een inventarisatie willen maken van hun daadwerkelijk geïmplementeerde systemen, zich willen voorbereiden op een grote infrastructuurupgrade, willen voldoen aan wettelijke vereisten (bijvoorbeeld PCI DSS in de financiële sector) of simpelweg willen garanderen dat het netwerk aansluit op de huidige bedrijfsbehoeften.
Deze audits beperken zich niet tot beveiliging.Ze beoordelen ook de beschikbaarheid, prestaties, servicekwaliteit, monitoringprocessen, toegangscontroles en administratie, zodat een formeel rapport kan worden opgesteld met kwetsbaarheden, risico's en duidelijke aanbevelingen voor het management en het technische team.
Volledige audit van de netwerk- en IT-infrastructuur
Het eerste deel van de analyse omvat een grondige evaluatie van de gehele IT-infrastructuur.: servers (inclusief hoe) een thuisserver instellenDit omvat switches, routers, firewalls, draadloze toegangspunten, voedingssystemen, gestructureerde bekabeling, eindapparaten en, in industriële omgevingen, besturings- en automatiseringsapparatuur. Het doel is te controleren of alle hardware correct gedocumenteerd is, door de fabrikant wordt ondersteund en in optimale werkende staat verkeert.
In deze fase wordt doorgaans een zeer gedetailleerde inventaris opgesteld. Deze database registreert modellen, firmwareversies, apparaatfunctionaliteiten, beschikbare interfaces, geïnstalleerde modules, compatibiliteit met beheerprotocollen (SNMP, NetFlow, sFlow, enz.) en belangrijke data in de levenscyclus (einde verkoop, einde ondersteuning, einde levensduur). Dit werk kan handmatig worden gedaan of met behulp van specifieke audittools die een groot deel van het ontdekkingsproces automatiseren.
Audits van de IT-infrastructuur beperken zich niet alleen tot de fysieke inventarisatie.Ze evalueren ook hoe goed interne controles, netwerksegregatie, mechanismen voor hoge beschikbaarheid, configuratiestandaardisatie en IT-governance zijn ontworpen. Het idee is om te controleren of de beste praktijken daadwerkelijk worden gevolgd of dat er in de loop der tijd "laptops" zijn toegevoegd.
Een goed geplande infrastructuurbeoordeling helpt om het netwerk beter te dimensioneren en te beveiligen.Het verbetert de schaalbaarheid, verhoogt de stabiliteit, vermindert de uitvaltijd en maakt effectiever gebruik van bestaande technologie. Dit omvat onder andere proactieve en incrementele monitoring, preventieve mechanismen voor hoge beschikbaarheid, optimalisatie en consolidatie van resources en verbeterd operationeel inzicht.
Daarnaast richten IT-assurance-diensten zich op de bescherming van informatie. We vertrouwen op de vijf pijlers van beveiliging: integriteit, beschikbaarheid, authenticatie, vertrouwelijkheid en onweerlegbaarheid. Dit omvat interne en externe infrastructuuraudits, certificeringsdiensten, analyses van de bedrijfscontinuïteit en beoordelingen van privacy- en gegevensbeschermingsbeleid.
De server- en communicatieruimte: het fysieke hart van het netwerk.
De server- en communicatieruimte herbergt de essentiële onderdelen van het netwerk.Fysieke servers, perimeterfirewalls, hoofdrouters, core-switches, patchpanelen en in veel gevallen ook opslag- en virtualisatieapparatuur. Elke serieuze analyse van netwerkapparatuur moet specifiek aandacht besteden aan dit onderdeel.
Fysieke aspecten zijn net zo belangrijk als logische aspecten.De omgevingstemperatuur, de reinheid en stofophoping op de apparatuur, de correcte organisatie van de bekabeling in de racks, de labeling van poorten en kabels, de adequate scheiding tussen stroomvoorziening en data, evenals de fysieke toegang tot de ruimte (controle van sleutels, passen, camera's, in- en uitgangsregistratie) worden gecontroleerd.
De router die de belangrijkste internetverbinding verzorgt, verdient een gedetailleerde analyse.Er wordt gecontroleerd of de door de provider aangeboden verbinding stabiel, veilig en met voldoende capaciteit is, of de hardware beschikt over Gigabit Ethernet-poorten of hoger, of deze de benodigde monitoringprotocollen ondersteunt en of het beleid voor kwaliteit van de dienstverlening en bandbreedtebeheer goed is gedefinieerd.
Ook de staat van de bekabeling die de ruimte in en uit loopt, wordt gecontroleerd.ervoor zorgen dat de categorie (5e, 6 of hoger) overeenkomt met de vereiste snelheden, dat de aansluitingen op RJ45-panelen en -sockets correct zijn en dat er geen lasverbindingen of "noodoplossingen" zijn die de overdrachtscapaciteit kunnen beperken of verbindingsfouten kunnen veroorzaken.
Tot slot worden hulpsystemen zoals UPS'en, airconditioning en sensoren besproken.Een UPS met de juiste afmetingen zorgt ervoor dat servers en communicatieapparatuur lang genoeg actief blijven om georganiseerde back-ups uit te voeren en apparatuur af te sluiten zonder risico op gegevenscorruptie. Koeling en omgevingsmonitoring zijn essentieel om de levensduur van hardware te verlengen en onverwachte uitval te voorkomen.
Schakel-, toegangs- en bekabelingsapparatuur
Switches zijn verantwoordelijk voor het intelligent verdelen van het verkeer. Van alle apparaten die via Ethernet zijn verbonden, wordt tijdens de analyse beoordeeld of hun schakelcapaciteit, het aantal poorten en hun snelheid (Fast Ethernet, Gigabit, 10 GbE) voldoende zijn voor de huidige en toekomstige belasting, en of verouderde elektronica de algehele prestaties van het netwerk beperkt.
Het is relatief gebruikelijk om oude schakelaars te vinden. Deze apparaten, die geen snelheden van 1000 Mbps halen, vormen knelpunten op cruciale punten en belemmeren de communicatie tussen servers, opslag en werkstations. Het opsporen en vervangen van deze apparaten heeft een directe impact op de prestaties die gebruikers ervaren.
Draadloze toegangspunten (AP's) vormen ook een essentieel onderdeel van de analyse.Hun locatie wordt gecontroleerd om een homogene dekking te garanderen, er wordt geverifieerd of ze zijn aangesloten op netwerkaansluitingen die de benodigde bandbreedte ondersteunen, of ze voldoende stroom hebben (PoE indien van toepassing) en of hun beveiligingsconfiguratie (WPA2/WPA3, VLAN's, clientisolatie) correct is.
Het type en de kwaliteit van de gestructureerde bekabeling hebben een enorme invloed op de prestaties.Het wordt aanbevolen om bij nieuwe installaties minimaal categorie 5e of 6 bekabeling, of hoger, te gebruiken om betrouwbaar gigabitsnelheden of zelfs 10 gigabitsnelheden over korte afstanden te ondersteunen. Naast de categorie worden ook connectoren, afdekplaten, patchkabels en de juiste plaatsing in kabelgoten en buizen gecontroleerd.
De connectiviteit en elektrische beveiliging worden specifiek gecontroleerd op de serverlocatie.Een goed bereikbare locatie, een Gigabit- of snellere verbinding met de netwerkkern, aansluiting op redundante UPS-systemen en voldoende koeling om oververhitting te voorkomen. Al deze factoren hebben een directe invloed op de stabiliteit van de diensten die door gebruikers worden afgenomen.
Analyse van verbonden apparaten en netwerkbeveiliging
Een van de belangrijkste doelstellingen van netwerkapparatuuranalyse is om te weten wie er verbonden is.Door middel van netwerkscans, SNMP-query's, controle van ARP- en MAC-tabellen en detectietools worden alle aanwezige apparaten geïdentificeerd: pc's, servers, printers, IP-camera's, IoT-apparaten, industriële apparatuur, mobiele telefoons, enz., en wordt gecontroleerd of ze geautoriseerd zijn.
Het is essentieel om te controleren welke apparaten toegang hebben tot het netwerk om risico's te minimaliseren.Het bestaan van 'spookapparatuur' of niet-geïnventariseerde apparatuur is vaak de toegangspoort tot beveiligingslekken. In industriële netwerken kunnen hardware-analysatoren zelfs controleren of apparaten protocollen zoals Modbus of DNP3 correct implementeren, waardoor onverwacht gedrag wordt voorkomen.
De beoordeling van de netwerkbeveiliging omvat verschillende lagen.Het logische schema wordt geanalyseerd (segmentatie in VLAN's, gedemilitariseerde zones, gastnetwerken), firewallbeleid en toegangscontrolelijsten worden beoordeeld, wachtwoorden en authenticatiemethoden worden gecontroleerd en antimalwareoplossingen, IDS/IPS en back-upsystemen worden geverifieerd.
Op dit punt wordt een kwetsbaarheidsanalyse belangrijk.Op basis van de inventaris en de verzamelde gegevens proberen de auditors het netwerk eerst van buitenaf aan te vallen (door een externe aanvaller te simuleren) en vervolgens van binnenuit (ervan uitgaande dat een intern apparaat is gecompromitteerd). Het doel is om kleine zwakke punten aan elkaar te koppelen totdat ze toegang op hoog niveau verkrijgen en de werkelijke impact aantonen.
Na het exploiteren van kwetsbaarheden wordt altijd een handmatige verificatie uitgevoerd. Om valse positieven te onderscheiden van echte problemen, systemische oorzaken te identificeren en prioriteit te geven aan maatregelen om de problemen te verhelpen. De bevindingen worden samengevat in een managementrapport, vergezeld van technische en zakelijke aanbevelingen: vervanging van verouderde apparatuur, configuratiewijzigingen, aanscherping van het beleid, personeelstraining, enz.
Netwerkanalysetools: software en hardware
Er zijn twee hoofdcategorieën hulpmiddelen voor het analyseren van netwerkverkeer en het gedrag van apparatuur.Softwarematige oplossingen, meestal generiek en in staat om algemeen gedocumenteerde protocollen te interpreteren, en hardwarematige oplossingen, meer gericht op specifieke omgevingen (met name industriële) en met ondersteuning voor zeer specifieke protocollen.
De bekendste softwarematige netwerkanalyseprogramma's zijn Wireshark, TCPDump en Windump.Wireshark legt bijvoorbeeld frames in realtime vast en stelt je in staat ze laag per laag te ontleden, waarbij bron- en bestemmingsadressen, poorten, protocolvlaggen en applicatie-inhoud worden weergegeven. Het is nuttig voor zowel het diagnosticeren van fouten als voor het onderzoeken of pakketten aan de specificaties voldoen.
Op het gebied van netwerkinventarisatie en -mapping. Er worden tools gebruikt zoals SolarWinds, Open-AudIT en NetformX, waarmee apparaten kunnen worden ontdekt, topologiediagrammen kunnen worden gegenereerd, relaties tussen apparaten kunnen worden gelegd en uitgebreide rapporten kunnen worden gemaakt. Andere oplossingen zoals Nessus en Nipper richten zich op beveiligingsbeoordeling, het controleren van configuraties, het voorstellen van best practices en het detecteren van kwetsbaarheden zoals... verborgen cyberaanval in browsers.
Voor prestatie-evaluatie en gedetailleerde verkeersanalyse.Naast Wireshark worden hulpprogramma's zoals iperf, ntop of NetFlow/sFlow-systemen voor verkeersanalyse gebruikt. Deze helpen om te begrijpen wie de meeste bandbreedte verbruikt, welke applicaties het meeste verkeer genereren en hoe de belasting in de loop van de tijd varieert.
Hardware-analysatoren, die veelvuldig worden gebruikt in industriële besturingssystemen.Ze bevatten doorgaans geavanceerde functies zoals een fuzzer voor het testen van protocolimplementaties, een oscilloscoop voor het controleren van signalen en frequenties, en elektrische paneelanalysatoren. Producten zoals Achilles, Netdecoder of Line Eye zijn specifiek ontworpen om te werken met Ethernet, seriële (RS-232, RS-485), glasvezel en andere media-interfaces.
Methoden voor het vastleggen en analyseren van netwerkverkeer
Om een software-analyzer in staat te stellen netwerkverkeer te bestuderenHet is noodzakelijk dat de frames waarin u geïnteresseerd bent, de apparatuur bereiken waarop deze is geïnstalleerd. Dit kan op verschillende manieren: door een oude hub aan te sluiten waar al het verkeer over alle poorten wordt doorgestuurd, door een gespiegelde poort (SPAN) op een switch te configureren, of door specifieke hardwareapparaten zoals Network TAPs te gebruiken.
Het gebruik van een gespiegelde poort op een switch is de meest gangbare optie in moderne netwerken.De switch krijgt de instructie om al het verkeer van een of meer poorten of VLAN's te kopiëren naar een aangewezen poort, waarop de analyzer is aangesloten. Dit maakt nauwkeurige monitoring mogelijk van wat er door de switch gaat, hoewel het belangrijk is om te weten dat overmatig verkeer de gespiegelde poort kan overbelasten en ervoor kan zorgen dat er geen gegevens worden vastgelegd.
Netwerk-TAP's zijn apparaten die ontworpen zijn om een "transparant" observatiepunt te creëren. Tussen twee netwerksegmenten repliceren ze verkeer naar de analyzer zonder de communicatie te verstoren en ondersteunen ze doorgaans verschillende fysieke media en snelheden. In industriële of bedrijfskritische omgevingen, waar schakelconfiguraties ongewenst zijn, vormen ze een zeer gewaardeerde optie.
Het grote verschil tussen software- en hardware-analysatoren. De eerstgenoemde richt zich voornamelijk op het monitoren en analyseren van vastgelegde signalen (zelfs achteraf), terwijl de laatstgenoemde mogelijkheden toevoegt voor actieve protocoltesten, fysieke signaalmeting en het genereren van synthetisch verkeer. Dit laatste is essentieel voor het valideren van industriële apparatuur zonder afhankelijk te zijn van openbare documentatie van de fabrikant.
Het gebruik van analyseapparatuur moet in elk geval worden gepland. Om verstoring van de productie te voorkomen: tests voor protocolimplementatie of fuzzingcampagnes moeten worden uitgevoerd in laboratoriumomgevingen of wanneer het hoofdsysteem niet in gebruik is, omdat ze ongeldige pakketten genereren die het netwerk of de controllers in een instabiele toestand kunnen brengen.
Protocollen en technieken voor het ontdekken van apparatuur en topologie.
Een belangrijk onderdeel van de analyse van netwerkapparatuur is het automatisch ontdekken van de topologie. en de relaties tussen apparaten. Dit wordt bereikt door verschillende protocollen en technieken te combineren, waardoor beheertools van apparaat naar apparaat kunnen springen totdat de volledige netwerkkaart is getekend.
SNMP is het meest gebruikte netwerkbeheerprotocol.Compatibele apparaten (routers, switches, firewalls, printers, enz.) bevatten een SNMP-agent die via UDP reageert op beheervragen, waardoor de overhead van een TCP-verbinding wordt vermeden. Beheerde informatie is georganiseerd in object-ID's (OID's) binnen MIB-databases, die tellers, interfacestatussen, doorstuurtabellen, inktniveaus, poortstatistieken en nog veel meer opslaan.
Het LLDP-protocol (Link Layer Discovery Protocol) biedt nog een stukje fundamentele informatie.Elk apparaat dat dit ondersteunt, zendt periodiek gegevens over zichzelf (apparaattype, identificatiecode, poort) naar zijn directe buren op laag 2. Deze buren slaan deze gegevens op in hun eigen MIB's, zodat beheertools buren aan elkaar kunnen koppelen om de fysieke topologie te reconstrueren.
Zelfs simpele hulpprogramma's zoals ping zijn nog steeds nuttig voor het opsporen van apparaten.Door ICMP-echoverzoeken te versturen en te controleren wie er reageert, is het mogelijk om actieve apparaten op een subnet te detecteren. Deze techniek is eenvoudig, maar in combinatie met SNMP, ARP en andere methoden helpt het om de inventaris compleet te maken.
Het ARP-protocol is verantwoordelijk voor het koppelen van IP-adressen aan MAC-adressen.Dit wordt ook gebruikt tijdens audits. Door de ARP-cache van routers en switches via SNMP te bevragen, kan beheersoftware een eigen database opbouwen van routes, subnetten en Layer 2- en Layer 3-buren, waarbij dit recursieve proces wordt voortgezet totdat alle bekende segmenten zijn gedekt.
Netwerkverkeersanalyse, NetFlow en geavanceerd inzicht
Naast het vastleggen van individuele datapakketten, maken veel organisaties gebruik van flow-analyse. Om een geaggregeerd beeld van het verkeer te verkrijgen. Technologieën zoals NetFlow (Cisco), sFlow, J-Flow of IPFIX exporteren samenvattingen van netwerkcommunicatie naar een centrale collector, die deze opslaat en grafisch weergeeft.
Tools zoals NetFlow Analyzer zijn verantwoordelijk voor het verzamelen van die stroomgegevens.Ze correleren deze gegevens en genereren rapporten met informatie over wie bandbreedte verbruikt, welke applicaties het meeste verkeer genereren, welke poorten en protocollen worden gebruikt en hoe het netwerkgebruik zich in verschillende perioden heeft ontwikkeld. Je kunt zowel realtime gegevens (met een nauwkeurigheid van één minuut) als historische gegevens voor uren, dagen, maanden of kwartalen bekijken.
Deze verkeersanalysesystemen bieden doorgaans zeer uitgebreide dashboards.Hierin kunt u in één oogopslag zien welke interface, applicatie, gebruiker, host of conversatie de meeste resources verbruikt. Rapporten worden doorgaans geëxporteerd in CSV- of PDF-formaat, wat vooral handig is voor presentaties aan het hoger management en om investeringen of beleidswijzigingen te rechtvaardigen.
Een ander interessant punt is het vermogen om afwijkend gedrag te detecteren. Aan de hand van de verkeersstromen zelf: ongebruikelijke pieken in het verkeer naar specifieke poorten, patronen die doen denken aan denial-of-service-aanvallen, stromen met vreemde TOS-waarden of misvormde pakketten. Door deze gebeurtenissen te classificeren, kunnen interne of externe bedreigingen worden geïdentificeerd, waardoor snel kan worden gereageerd.
Verkeersanalysatoren worden ook steeds vaker gebruikt als belangrijk hulpmiddel bij forensisch onderzoek. In geval van een mogelijke inbraak. Door gedetailleerde informatie over wat er op het netwerk is gebeurd te bewaren, kunnen ze het incident reconstrueren: welke apparatuur erbij betrokken was, welke hoeveelheden data zijn buitgemaakt en op welke tijdstippen de verdachte toegangspogingen plaatsvonden.
Stapsgewijze handleiding voor het structureren en uitvoeren van een netwerkaudit
Een grondige audit of beoordeling van de netwerkbeveiliging bestaat uit drie hoofdfasen.Planning, uitvoering en evaluatie achteraf. Het overslaan of minimaliseren van de planningsfase leidt meestal tot frustratie en tijdverspilling, omdat halverwege het project blijkt dat er machtigingen, gegevens of tools ontbreken.
Tijdens de planningsfase wordt de scope nauwkeurig gedefinieerd.Welke apparaten zijn inbegrepen (meestal routers, switches, firewalls en beveiligingsapparatuur, met uitzondering van werkstations en applicatieservers tenzij anders vermeld), welke doelstellingen worden nagestreefd (inventarisatie, naleving van regelgeving, probleemoplossing, prestatieverbetering), welke regelgeving van toepassing is en welke werkvensters worden gebruikt.
De betrokkenheid van belanghebbenden is eveneens gewaarborgd.Zonder steun van het management en het technische team is het vrijwel onmogelijk om een volledige netwerkaudit uit te voeren, aangezien hiervoor toegangsgegevens (SNMP, Telnet, SSH), tijdelijke configuratiewijzigingen (zoals het inschakelen van SNMP of SPAN) en zelfs computers of laptops met voldoende capaciteit om de benodigde tools uit te voeren nodig zijn.
De gereedschapskeuze is een ander belangrijk punt in deze fase.Voor kleine netwerken kan een meer handmatige aanpak worden gekozen, waarbij apparaten één voor één worden aangesloten, maar in middelgrote en grote omgevingen is het doorgaans essentieel om automatische detectieoplossingen, configuratieanalyses, kwetsbaarheidsscanners en verkeersanalyses te gebruiken.
Zodra het plan is opgesteld, begint de uitvoering van de audit.Nadat de inloggegevens zijn voorbereid en de tool is geconfigureerd (SNMP-communitystrings, Telnet/SSH-gebruikersnamen en -wachtwoorden, IP-bereiken of seed-apparaten), begint het ontdekkingsproces. Afhankelijk van de grootte van het netwerk kan deze fase enkele uren tot meerdere dagen duren.
Zodra de gegevensverzameling is voltooid, begint de fase na de audit.waarbij alle resultaten grondig worden geanalyseerd: rapporten worden gegenereerd, risico's worden geïdentificeerd, kwetsbaarheden worden geprioriteerd op basis van impact, valse positieven worden gescheiden en duidelijke aanbevelingen worden opgesteld. Een deel van het rapport zal zich richten op zakelijke taal (kosten van een storing, juridische risico's, impact op de productiviteit) en een ander deel zal puur technisch van aard zijn.
Gedetailleerde fasen in netwerkbeveiligingsbeoordelingen
Bij grondigere beveiligingsaudits Specialisten verdelen het werk doorgaans in verschillende, duidelijk onderscheiden technische fasen om ervoor te zorgen dat geen enkel aspect over het hoofd wordt gezien.
De eerste fase bestaat uit een analyse van de voetafdruk en het verzamelen van informatie.Hier wordt een fysieke en virtuele inventarisatie van het netwerk gemaakt: hardware, software, licenties, domeinnamen, IP-bereiken, gepubliceerde services, routes, beveiligingsbeleid, reeds actieve monitoringprocessen, enzovoort. Het doel is om een zo compleet mogelijk netwerkmodel en beveiligingsprofiel te verkrijgen.
De tweede fase richt zich op de analyse en evaluatie van kwetsbaarheden vanuit een extern perspectief.Het doel is om, gebruikmakend van de verzamelde informatie, het netwerk te infiltreren door zwakke plekken op laag niveau te exploiteren die samen toegang kunnen verschaffen tot gevoelige informatie of kritieke systemen.
De derde fase herhaalt dezelfde strategie, maar dan van binnenuit de organisatie.Het scenario gaat ervan uit dat een aanvaller al toegang heeft verkregen (bijvoorbeeld via een phishing-e-mail of een geïnfecteerde USB-stick) en probeert zijn bevoegdheden te verhogen en zich lateraal te verplaatsen. Dit test de sterkte van de interne beveiliging en de systeemsegmentatie.
In de vierde fase wordt elke ontdekte kwetsbaarheid handmatig gecontroleerd.Dit houdt in dat configuraties, versies, patches en potentiële alternatieve aanvalsvectoren worden gecontroleerd. Deze verificatie voorkomt dat middelen worden geïnvesteerd in het oplossen van problemen die niet echt exploiteerbaar zijn of die minimale impact hebben op de specifieke context van de organisatie.
Tot slot wordt een uitgebreide kwetsbaarheidsanalyse uitgevoerd. Om patronen en onderliggende oorzaken te identificeren: ontwerpfouten, gebrek aan beleid, gebrek aan training, niet-ondersteunde apparatuur, afwezigheid van regelmatige tests, enz. Vervolgens worden actieplannen met prioriteit opgesteld, die de IT-afdeling in overleg met het management moet uitvoeren.
Zowel netwerkaudits als IT-infrastructuuraudits zijn essentieel. Om ervoor te zorgen dat de computersystemen van het bedrijf robuust zijn, met vertrouwen gebruikt kunnen worden en het hoogst mogelijke niveau van privacy en bescherming bieden tegen steeds geavanceerdere cyberdreigingen.
Een grondige analyse van netwerkapparatuur, gecombineerd met continue monitoring, goede tools en regelmatige evaluaties. Het maakt het verschil tussen een organisatie die pas reageert op problemen als het te laat is en een organisatie die storingen, aanvallen en knelpunten tijdig detecteert, waardoor bedrijfsstoringen, gegevensverlies en boetes voor het niet naleven van regelgeving worden voorkomen.
