Zo, de illegale software is ontdekt en we kijken goed of er geen nieuwe software bijkomt die we liever niet over ons netwerk hebben. Als we dan toch allerlei monitoring tools inzetten dan kunnen we dat net zo goed wat breder inzetten, toch?
De vraag:
Wordt het gebruik van de systemen en het netwerk actief gemonitord?
We willen graag weten wat er op ons netwerk gebeurt. Niet alleen voor beveiliging trouwens, maar ook om een optimale inzet van middelen te kunnen bewerkstelligen. Zo zien we maar weer dat beveiliging niet iets los of exotisch is. Nee, het maakt onderdeel uit van een groter geheel.
Weten we wat er op ons netwerk gebeurt dan kunnen we tijdig bijsturen en kunnen we tijdig bijvoorbeeld de capaciteit verhogen als dat nodig is. Ook daarbij gaan we natuurlijk weer eerst op zoek naar de oorzaken. Een mooi praktijkvoorbeeld hierbij is het geval waarbij een organisatie besloot om websites als Youtube, Hyves en LinkedIn dicht te zetten omdat het bandbreedte opslokte.
Altijd een mogelijkheid om sites dicht te zetten natuurlijk maar de vraag is of je commerciële en marketingafdeling niet dankbaar gebruik maken van de nieuwe mogelijkheden die geboden worden. Het dichtzetten van dergelijke sites kan tot verlies van klanten leiden…en we zijn op aarde om onze klanten te helpen, toch?
Nee, bij een nadere analyse bleek dat er de afgelopen 10 jaar niet zoveel aan bandbreedte bij was gekomen. Met web 1.0 was dat allemaal niet zo’n probleem, maar met filmpjes en interactieve netwerksites ontstond er toch een tekort.
Als we tijdig hadden gemonitord dan zagen we dit probleem natuurlijk allang aankomen en hadden we op tijd onze capaciteit uit kunnen breiden. Nu moeten er investeringen gedaan worden waarbij de Raad van Bestuur alleen maar voor dat soort bedragen mag tekenen. Een gemiste kans, maar ook een lesson learned…tenminste, als we vanaf nu wel gaan monitoren natuurlijk.
Richten we actieve monitoring in dan kunnen we incidenten in een aantal gevallen voorkomen. We zien dat de capaciteit minder en minder wordt en kunnen bedenken dat een server binnen niet al te lange tijd uit de lucht gaat. Daar gaan we natuurlijk niet op wachten…nee, we installeren bijvoorbeeld een nieuwe voeding zodat hij weer even mee kan. Daarnaast geldt dat als we weten wat er onder normale omstandigheden op ons netwerk gebeurt we afwijkingen sneller zullen ontdekken.
We zien dat er vreemde zaken gebeuren of raar verkeer voorbij komt. Daar kunnen we wat aan doen. We kunnen tot de conclusie komen dat een segment getroffen is door een virus. Als we wachten is straks het hele netwerk een puinhoop. We kunnen ook ingrijpen en dat segment loskoppelen om verdere schade te voorkomen.
Actieve monitoring doen we dus niet alleen om beveiligingsredenen maar ook om redenen als capaciteit en beschikbaarheid van het netwerk. Doen we dat op een goede manier dan merkt de klant niet eens dat er zich bijna een incident voordeed.