Door Anoniem: Door Anoniem: Door Anoniem: Jezus christus hebben ze dan helemaal geen SOC, SIEM, IDS capaciteiten?
Ik wist dat het slecht gesteld was met hun IT maar dit is wel een blamage.
Ale je denkt dat wat ze hier gaan doen bij een SOC/SIEM/IDS hoort ben je een ongelofijke amateur .
Leuk hoor, dat je de woordjes SOC/SIEM/IDS kent . Nuttige zaken . Maar - DIE GAAN HIER NIET OVER.
Die zoeken externe hackers/intruders.
Dit gaat over het analyseren (technisch) valide access, vanaf valide terminals, door geauthoriseerde accounts .
Alleen - accounts die hun boekje te buiten gaan met wat ze over wie opzoeken. Misschien omdat ze voor wat centen 'even iemand natrekken' . Of omdat het vriendje van hun dochter door het systeem gooien.
Dat vind je (ook) de systeem logging - is iemand zo ijverig dat ie op zondag avond nog even een kenteken natrekt , of is het een omgekochte opvraging. Waarom vraagt een agent uit midden-nederland iets op over een persoon uit noord-brabant .
Dat type analyse - en dat is niet voor een SOC of IDS, maar voor een interne recherche afdeling.
Hey slimmerik ooit gehoord over internal threat detection? Denk jij dat bijvoorbeeld DC's niet interne verkeer monitoren? Ja daar zijn wel die voorzieningen ook voor bedoeld. Als jan die op vakantie hoort te zijn volgens HR ineens data benaderd vanaf een locatie horen er alerts te gaan. Als piet kopies maakt van gevoelig bestempelde data of beter poogde tot hoort er een alert te gaan. Je snapt de definitie van SIEM right?
Internal threat analyse is typisch 'technisch fout' verkeer.
scans/recon vanaf clients , kortom , "intrusion detection" .
_dat_ is wat SIEMs en IDS - INTRUSION detection systemen zoeken.
En - zoals het artikel (en mijn posting) uitleggen - de scope van dit politie project gaat verder.
Waarom denk je dat we redteaming events hebben en fysieke pentests omdat soort shit onder andere te trainen.
Precies - PEN testing. Ook nuttig, maar niet waar de politie in dit project mee aan de slag gaat.
Dat je deze punten noemt laat alleen maar zien dat je (nog) niet snapt wat de politie nu in dit project gaat doen.
Het is niet aan een SIEM of IDS om te bepalen of iets mis is enkel afwijkend en de SOC medeweker kan vervolgens gepaste actie treffen.Weet je wat wel bedoeld is specifiek voor externe hackers? Firewalls.
Capslock gaat je bericht geen extra waarde geven.
En als je 20 jaar als DC manager amateur vindt prima maar dan wil ik niet weten waar jezelf tot hoort.
Blijkbaar is die 20 jaar ervaring (2 jaar ervaring, en dat 10x achter elkaar ? ) niet genoeg om het verschil te begrijpen tussen "hackers die intern gekomen zijn" en "valide medewerkers met valide authorisatie die vanaf een valide werkplek dingen doen waar hun authorisatie niet voor bedoeld is"
Bijzonder, want het artikel was echt vrij duidelijk - en zowel mijn als andere posters schreven dat ook.
Want waar kom jij mee - verdere detectie van (eventueel intern gekomen) hackers en hun mogelijkheden , want je noemt redteaming en pentesting. Dat laat alleen maar nog meer zien dat je niet snapt wat de politie nu (pas?) gaat doen - en ook dat je niet ziet dat dit buiten gebruikelijke IDS/pentest/ fysieke _intrusion_ scope valt.
Het is helemaal normaal dat een arts in het ziekenhuis het dossier van een patient bekijkt - zolang de arts betrokken is bij de behandeling. het is alleen fout als het een BN'er is en de arts die BNer niet als patient heeft.
HR medewerker kijkt naar salaris . Normaal als er een zakelijke reden voor is. Niet OK als ze kijkt of die lekkere bink van de expeditie nog wat te makken heeft voor ze 'm gaat daten.
En de politie is een van de instellingen die noodzakelijkerwijs erg veel vertrouwelijke gegevens _kan_ inzien, _mag_ inzien als het deel is van werk , en NIET mag inzien (laat staan delen) als het een persoonlijk belang is van de agent is.
Dat type analyse van gebruikslogging - zeker pro-actief - is vrij zeldzaam (sommige ziekenhuizen doen het ook, soms pro-actief, soms alleen achteraf als er een BNer lag) .
En dit valt niet in scope van een SIEM, IDS , redteam, of pentesting.
Blijkbaar lastig dat er kaders zijn die buiten/voorbij je bekende kader gaan.
Het valt mij ietwat tegen dat de politie dit blijkbaar nu _pas_ (proactief/structureel) wil gaan doen, want de noodzaak is de afgelopen jaren zo af en toe al gebleken. Vaak pas 'via de andere deur' - tapgegevens en vondsten bij criminelen wezen naar een 'mannetje bij de politie' die ze gebruikten om dingen te laten natrekken of gewaarschuwd te blijven over lopende onderzoeken.
Mijn perceptie is dat de 'normale' bewaking - SIEMs,IDS en bergen toegangscontroles en pasjes best voor elkaar is bij de politie.