dec 7 2020
Is Rapid7 de nieuwe Security Officer ?
 In dit artikel beschrijf ik wat Rapid7 kan betekenen voor een organisatie en hoe het de security officer kan helpen de juiste maatregelen te nemen. Rapid7 heeft namelijk een vulnerability manager wat in normaal Nederlands betekend dat InsightVM is staat is de kwetsbaarheden binnen een ICT infrastructuur inzichtelijk te maken. Priorieiten te stellen en gezamenlijk op te lossen.
Nu is dit artikel ontstaan om te beschrijven of Rapid7 instaat is om de security officer (CISO) te vervangen. Mijn doel is dan ook om te beschrijven wat de rol van tools zijn zoals deze van Rapid7, maar ook om aan te tonen dat de rol van security officer toch erg gewenst is.
Even een stukje achtergrond over mijzelf. Ik heb in het verleden nog niet eerder gewerkt met vurnerability management. Wel ben ik uitvoeren verantwoordelijk geweest voor het doen van een security audit en het maken van een rapport hierover. Dit waren vaak project gebaseerde audit welke voornamelijk gericht worden om een goede moment opnamen vast te leggen en vervolgens de top 5 prio inzichtelijk te maken. Voor een dergelijke audit maakte ik vaak gebruik van splunk of maakte ik een export van log files en gebruikte auditing tools van Microsoft en de betrokken firewall vendor. Veel van deze tools geven inzicht in wat er verkeerd is geconfigureerd en geven je een hele lange lijst met mogelijke beveiligingsrisico’s. Om dit in een advies en rapport om te zetten kosten dit dan ook vaak dagen werk en lag de interpretatie van de logs altijd bij de security enigeer.
Mijn start om InsightVM te gaan gebruiken is het aanvragen van een trailaccount. Wat opvalt is dat het starten van de trail direct toegang geeft tot de cloud infrastructuur van InsightVM. Even lezen geeft mij duidelijkheid dat deze cloud infrastructuur additioneel is en dat eigenlijk alles lokaal geïnstalleerd kan worden. De cloud geeft je toegang tot tal van extra rapportage mogelijkheden en voegt AI toe aan de oplossing. Hiernaast kan je in het console direct de software downloaden welke je lokaal nodig heb.

 

 Even iets kort over de architectuur. Er zijn verschillende methodes om inzicht te verkrijgen in het netwerk. Inzicht is de eerste stap welke gezet dient te worden. Wanneer je enkel gebruik wenst te maken van de cloud infrastructuur dan is het mogelijk om agents te installeren op je servers en werkplekken. Hiermee kan je de kwetsbaarheden inventariseren op die apparaten. Om nu inzicht te krijgen in onderling verkeer of om de mogelijkheid te hebben om correlaties te maken dien je een ochestrator in te richten binnen het netwerk. Deze ochestrator heeft ook de mogelijkheid om alle informatie van de agents te verzamelen waardoor het ook als een standalone oplossing ingericht kan worden.
Er zijn dus verschillende uitrol methodes : agents , ochestrator en als laatste een network sensor. Belangrijk is om te weten dat de agents nu geschikt is voor Windows, Linux en MacOs. De ochestrator kan worden uitgerold als een OVA, Linux embeded of als een MSI voor een Windows device (hoeft geen server te zijn maar heeft wel de voorkeur). Het is met de orchestrator ook mogelijk om zelf een netwerkscan uit te oefenen en het is mij al gebeurt dat dit dan apparaten ontdekte in met netwerk waar ik geen weet van had. Hiernaast is het mogelijk om de ochestrator te verbinden aan je DHCP server en aan bijvoorbeeld AD of een LDAP server om de gebruikers gegevens op te halen. Wat het woord ochestrator natuurlijk al zegt is dit uiteindelijk het hard van de te verzamelen informatie. Bij meerdere netwerken op verschillende locaties is het ook mogelijk om de ochestrator daar uit te rollen. Er zit hier niet echt een limit in, enkel is het gebruik van de cloud dan wel een must wanneer je meer dan 50 locaties aan elkaar gaat verbinden.

 

Voor een Security Officer moet de eerste stap ook zijn om alle gegevens te verzamelen. Hiervoor dient er toegang te zijn tot alle systemen en ook hierin is de rol als security officer gewenst. Natuurlijk hoeft dit geen natuurlijk persoon te zijn en mag dit een fictief persoon zijn of zelfs een tijdelijk rol. Wel krijgt deze rol toegang tot alle systemen en enige vorm van beveiliging rond deze rol is dan ook zeker aan te bevelen.

 

Na het verzamelen van alle gegevens komt de 2de stap, prioriteiten stellen aan de gevonden kwetsbaarheden. Lees hiervoor mijn vervolg blog.

 

Remco 0 Reacties