#10 - Van IAM naar SecOps en van AAD naar SOC-SIEM (met Marcel de Jong)
Hey, tof dat je weer luistert naar Keep Talking, aflevering 10. Ja, als je er eentje per maand maakt, gaat het niet zo heel hard. En ja, ik vind ook de zomervakantie wel leuk. Maar niettemin toch leuk dat aflevering 10 nu een feit is. En leuk dat jij ook weer luistert.
Speaker 1:Aan InKeepTalking probeer ik vanuit verschillende invalshoeken naar het vakgebied informatiebeveiliging te kijken. In deze aflevering doe ik dat weer vanuit een nieuwe invalshoek. En dat is namelijk meer vanuit de techniek. Security Operations, IEMity access management, logging, SOC, CAM, alles komt voorbij in dit leuke en gezellig gesprek. En dat gesprek is natuurlijk vooral gezellig en leuk omdat we ook weten dat jij weer luistert.
Speaker 1:Dus fijn dat je erbij bent en ik hoop dat je dit een interessant gesprek vindt dat ik heb samen met Marcel de Jong op locatie in Utrecht. Veel plezier. Ja, Marcel, goedemiddag.
Speaker 2:Ja, goedemiddag Remco.
Speaker 1:Marcel, we zitten hier in een heerlijke concentratieruimte waarbij wij heel geconcentreerd kunnen podcasten.
Speaker 2:Ja, bij de gemeente Utrecht. Een mooi werkplekje.
Speaker 1:Zometeen rollen we gewoon het kantoor uit, zo de trein in en weer naar huis.
Speaker 2:En weer naar huis inderdaad.
Speaker 1:Dus we zijn in de gemeente Utrecht. Een gemeente waar wij allebei werken op dit moment en ja, het leek ons dus Het leek mij leuk en volgens mij jou ook. Zeker, ja. Getuige het feit dat je hier zit nu eens een keer samen een podcast op te nemen. Dus hier zijn we.
Speaker 1:Ten eerste leuk dat je op mijn uitnodiging inging en ja, nu is nog de vraag of we een interessant gesprek weten te maken met mekaar.
Speaker 2:Precies. Nou om het te timen, dat was al een aardige uitdaging om hier samen te kunnen zitten om dit op te nemen. Dat heeft even geduurd, maar het is gelukt. Dus nou, dat moet de inhoud ook wel goed komen.
Speaker 1:Precies, precies. We zijn allebei actief in het vakgebied van security en jij hebt een wat andere achtergrond dan ik heb. Je bent eigenlijk technisch veel beter onderlegd. Ik moet in mijn functie nog wel eens doen alsof ik snap waar een techneut het over heeft, terwijl jij gewoon met recht begrijpt waar hij het over heeft.
Speaker 2:Ja, dat klopt ja. Daar komen we elkaar af en ook nog wel eens tegen en dan en dan kan ik je inderdaad van de nodige informatie voorzien.
Speaker 1:Ja, maar voordat we de voordat we de inhoud ingaan. Marcel kan je iets vertellen over wie jij bent?
Speaker 2:Ja, nou ik ben Marcel de Jong, inmiddels 46 jaar. Werk hier bij de gemeente Utrecht, nu inmiddels al ruim 6 jaar. Ben ooit begonnen met de mailomgeving van de gemeente Utrecht, want daar had ik ervaring mee. Die wordt op verschillende manieren gemigreerd, eerst naar een andere omgeving en later naar de cloud omgeving. En eigenlijk vanuit daar langzaam doorgerold richting het IAM vakgebied.
Speaker 1:Ja, en voor mijn mensen die dat niet weten, is bijna vloeken hier, maar als je niet weet waar IAM voor staat dan?
Speaker 2:Ja, IAM dat staat voor Identity and Access Management en dat is eigenlijk een vakgebied wat zich bezighoudt toegang, identiteit en toegang en daar eigenlijk in de breedste zin van het woord.
Speaker 1:Vroeger zou ik dan vroeger voor je, zolang loop ik zelf nog niet echt mee, maar voordat we allemaal naar de cloud gingen hadden we natuurlijk een soort goed beveiligd rekencentrum met grote hoge muren en stalen poorten. Voordat je dan daar naar binnen mocht.
Speaker 2:Ja, dan had je het juiste pasje en een formulier met een aantal stempels nodig en dan mocht je het datacentrum in. Ja, dat was inderdaad vroeger. En eigenlijk is dat nog steeds een beetje. Alleen de pasjes die zijn digitaal geworden en de formuliertjes, dat zijn je rechten die je ergens gekregen hebt.
Speaker 1:Ik denk ook dat de werkplekomgeving vroeger ook veel meer gewoon langs de randen beveiligd zullen we zeggen. Die werkplek was geconcentreerd op 1 digitale plek en nu zijn er eigenlijk allemaal bouwstenen die samen de werkplek omgeving maken waarvan je een deel misschien nog on premise hebt staan of misschien wel altijd on premise wilt laten staan. Nog maar een groot deel, dat bevindt zich natuurlijk in die cloud.
Speaker 2:Ja, dat klopt.
Speaker 1:Dus toegang wordt daarmee ook een veel, denk ik dan, veel complexer.
Speaker 2:Ja, vroeger was het een toetsenbord. Als je dat toetsenbord maar veilig weglegde, dan was er niks aan de hand, dan kon niemand wat doen op het systeem. En tegenwoordig inderdaad, met alle clouddiensten die toch gebruikt, waarvoor je ook de toegang wil beveiligen, is dat inderdaad heel complex. Waarbij je nog steeds wil zorgen dat die identiteit, het onderdeel van Identity and Access Management, dat dat je basis is. Je identiteit bepaalt je toegang.
Speaker 1:Ja, als we identiteit zeggen, dan zeggen we bijna ook altijd 'activ directory'. Toch? In heel veel gevallen zeggen we dat ook.
Speaker 2:Ja, dat is wel vaak de basis inderdaad. Dat is de bron die 1 van de waarheden zou kunnen zijn.
Speaker 1:Ja, dus als je daarin bestaat, dan besta je. En als je daar niet in bestaat, dan dan besta je voor de organisatie eigenlijk ook feitelijk
Speaker 2:Nee, dat klopt want daar ligt de basis van je toegang en ook tegenwoordig is dat steeds meer richting de cloud waarbij je Active Directory bij Microsoft hebt staan in de cloud. Misschien al gelijk de diepte in maar tegenwoordig is dat Entra ID heet dat wat dan de Active Directory in de Microsoft Cloud is.
Speaker 1:Oké, dus niet alleen de applicaties waar toegang toe verschaft moet worden, migreren in toenemende mate naar de cloud, maar ook eigenlijk de bronregistratie waarin je je identiteit te beheert zitten al in de cloud.
Speaker 2:Ja, op dit moment bij ons ligt de echte basis nog steeds in de Active Directory op onze eigen omgeving en die synchroniseren wij naar de Microsoft Cloud en vanaf daar bied je toegang naar je verschillende SaaS diensten.
Speaker 1:Zo'n leuk uitdagend vakgebied, heeft jou recent doen besluiten om in dat mooie domein van security te stappen?
Speaker 2:Security is eigenlijk altijd mijn Dat is een hele moeilijke zo gelijk. Security heeft altijd mijn interesse gehad en ik ben me ook steeds meer gaan richten op het security onderdeel van Identity en Access Management en ik kreeg nu de kans om binnen een ander team binnen de gemeente Utrecht aan de slag te gaan als security analist. Eigenlijk heel diep technisch die security kan gaan bekijken, dus dat was voor mijn besluit om dat te gaan doen.
Speaker 1:Je hebt eigenlijk het eindelijk licht gezien na al die jaren.
Speaker 2:Eigenlijk wel ja.
Speaker 1:En hoe bevalt dat?
Speaker 2:Ja, nee dat is dat is een hele andere uitdaging weer. Wel heel veel raakvlakken met wat we eigenlijk met die Identity and access management houden ons bezig met toegang tot de omgeving en binnen als security analist kijken we eigenlijk wat heeft er nou toegang of wat wil er toegang gaan hebben tot onze omgeving en gebeurt dat op de manier zoals wij het willen.
Speaker 1:Maar als je zegt wat wil er toegang? Het is volgens mij toch niet zo dat je in je nieuwe rol daar ook inhoudelijk iets over zegt. Je registreert dat iemand toegang wil en mogelijk vind je daar dan wat van, omdat je denkt dat het malafide toegang is of onjuiste toegang of wat dan ook. Maar je zit er natuurlijk niet meer tussen, zoals Ian, dan ging je er ook over. Mocht je zeggen nou jij mag wel en jij mag niet.
Speaker 2:Ja, toen mocht ik inderdaad meedenken over wie en onder welke voorwaarden krijgt toegang tot een specifieke applicatie. En nu zie ik alleen of iemand aan de voorwaarden voldoet of niet.
Speaker 1:Ja en als hij er niet aan voldoet, wat dan?
Speaker 2:Ja dan moet ik vooral in de gaten houden dat hij er dan ook niet in komt. Dat hij ook die applicatie niet kan openen en daar heb je een aantal aantal systemen voor monitoren dat voor jou en die geven overzichten en die geven eigenlijk aan 'hey zie ik een afwijking'. Dat heeft niet alleen met personen en applicaties maar ook met locaties bijvoorbeeld te maken. Als iemand die altijd vanuit Utrecht inlogt opeens vanuit een Zuid-Afrikaans land probeert probeert in te loggen. Dan krijgen we daar een seintje van van hé, dit is gek.
Speaker 2:En daar gaan we naar kijken van joh klopt dat dat iemand dat inderdaad daar vandaan doet? En mag die applicatie wel benaderd worden daarvan?
Speaker 1:Maar zit er dan een soort gelaagdheid in? Want ik kan me voorstellen iets is zo gek dat het eigenlijk niet anders kan dan dat het malafide is, zeg maar. Dat het niet klopt. Dus dat je eigenlijk op basis daarvan meteen zegt dit mag niet of misschien zelfs wel iemand tijdelijk de toegang ontneemt omdat het signaal zo duidelijk wijst op bijvoorbeeld een gehackt account of wat dan ook. En er zit natuurlijk nog een andere laag tussen waarbij je wel zegt dit ziet er vreemd uit, maar er moeten menselijke duiding aan te pas komen om dit te kunnen plaatsen en al dan niet nog actie te ondernemen.
Speaker 1:Hoe differentieer je daarin? Wanneer zet je hem direct dicht en wanneer zeg je nou we zien het nog even aan?
Speaker 2:Dat een afweging van al die signalen eigenlijk die je net aangeeft. Soms is het inderdaad heel simpel, even vaststellen wat heeft deze persoon in het verleden gedaan? Even terugkijken, wacht.
Speaker 1:Als het afwijkend gedrag is?
Speaker 2:Ja precies hij logt vaker uit vanuit het buitenland of en het is een applicatie die bekend is die die vaak gebruikt. Op basis van die signalen ga je inderdaad kijken van klopt het wat hier gebeurt of je moet nog verder onderzoek tot het punt inderdaad joh nu moet het dicht. Er zijn ook punten als iemand vanuit een land waar vanuit wij niet mogen werken probeert in te loggen wordt het gelijk tegengehouden.
Speaker 1:Dus dat is dan een voorbeeld van iets waar geen menselijke interactie tussen Dat is gewoon een regel die we hebben afgesproken met elkaar.
Speaker 2:En dat wordt wel gesignaleerd. Dus op het moment dat het vaak met een specifiek account gebeurt, we daar wel een seintje van. Hier zit mogelijk een gevaar in. Het zou kunnen zijn dat iemand zijn wachtwoord gelekt is naar buiten toe, waardoor we deze persoon wel moeten kunnen verzoeken of dwingen om zijn wachtwoord te wijzigen.
Speaker 1:Wat ik me altijd afvraag bij de functie van security analist. We hebben het dan vaak over SEEM-oplossingen. Dat is een soort centrale bron waar alle logfiles, logstromingen, op geënt worden. Als je dan nog een security operating centre op en dan heb je ook nog een ruimte met allemaal van die indrukwekkende monitoren waar iedereen dan heel interessant naar kijkt en waarvan ik altijd denk hoe hou je in vredesnaam overzicht in deze overload aan informatie? Dus als je dit allemaal goed weet neer te zetten, wat nog best wel wat voeten in de aarde heeft, hoe blijf je dan zeg maar overeind in die enorme hoeveelheid aan informatie?
Speaker 2:Dat is systemen voor je laten werken. Dus je bepaalt zelf welke welke triggers er zijn en je spreekt dan met je team af oké deze vinden we belangrijk deze vinden we niet belangrijk of deze vinden we minder belangrijk deze willen we wel geregistreerd maar hoeft geen actie verder op opgenomen.
Speaker 1:Dat definieer je op voorhand?
Speaker 2:Dat definieer je op voorhand. Daarna ga je kijken van die triggers die je binnenkrijgt. Oké, klopt het? Krijgen we nu binnen wat we verwachten? En kunnen we daar de juiste maatregelen op nemen?
Speaker 1:Wie moeten dan iets doen eigenlijk? Stel dat jullie zeggen, wij signaleren iets, het maakt even niet uit wat, maar we signaleren iets wat niet in de haak is. Stel je voor, je hebt iets gesignaleerd wat niet zuiver lijkt, wat doe je er dan vervolgens mee?
Speaker 2:Dat hangt ervan af wat je signaleert. Uiteindelijk moet je op zoek gaan naar iemand die verantwoordelijk is voor het systeem. Als het in dit geval om een systeem gaat waarop geprobeerd wordt in te loggen, dan wel wie verantwoordelijk is voor de medewerker die het probeert te doen.
Speaker 1:Dus je meld je, ik ben security analist en we zien afwijkend gedrag of een zorgelijk gedrag of wat dan ook. En dan ga je eigenlijk verhaal halen van hey, is hier een logische of een redelijke verklaring voor?
Speaker 2:Ja, het is wel leuk dat je het zegt. 1 van de dingen die heel erg opvalt is als je je meldt van joh, ik ben van ons sec opsteam en ik heb wat vragen dat mensen altijd een beetje een beetje angstig worden dat ze denken van wat gebeurt hier ik heb toch niks verkeerd gedaan ja alsof een politieagent op je raampje tikt van kunt u even kunt u even uw raampje open doen.
Speaker 1:Nou dat
Speaker 2:dat gevoel inderdaad terwijl nou ja meestal willen we alleen maar meer informatie hebben en begrijpen wat er gebeurd is en inderdaad nou eventueel je waarschuwen voor wat er gebeurd is en dat kan bijvoorbeeld hè als we die als voorbeeld, die medewerker in het buitenland. Nou, soms moet je dan de leidinggevende benaderen van joh klopt het dat jouw medewerker op dit moment probeert vanuit het buitenland te werken. Dat kan.
Speaker 1:En als dat dan bevestigend beantwoord wordt, is het eigenlijk voor jullie
Speaker 2:ook
Speaker 1:de
Speaker 1:kous
Speaker 2:Dan is het voor ons goed. Als er voor de rest niks is wat dat tegenhoudt, is het prima. Maar dan klopt het wat we gezien hebben en dan is het goed.
Speaker 1:En als je nou terugkijkt naar je vorige job toen je nog in het team van IAM zat. Wat mis je?
Speaker 2:Soms mis je het mogen meedenken over welke oplossingen er geboden worden.
Speaker 1:Technische oplossingen?
Speaker 2:Ja, de inrichting van die technische oplossingen. Ik nu dingen voorbij komen dat ik denk dat hadden we vanuit IAM beter in kunnen richten en dan krijg ik allerlei ideeën. Gelukkig heb ik dan wel contacten met de oude teamleden dus daar kan ik heel goed mee schakelen.
Speaker 1:Ja, daarom. Dus dan kan je
Speaker 2:heel makkelijk zeggen: jongens, dit moeten we nu op gaan pakken of dit zouden jullie nu op kunnen gaan pakken, want dit is wel heel belangrijk. Dus dat mis ik wel, maar ik vind het wel heel leuk om in het nieuwe team juist te zien wat de gevolgen daarvan kunnen zijn van hoe die toegang dan ingeregeld wordt.
Speaker 1:Je zou eigenlijk kunnen zeggen dat je aan de andere kant zit of zo. Aan de andere kant van de tafel wou ik zeggen, maar ja, eigenlijk zit je nooit tegenover elkaar. Dat zou valse tegenstelling zijn. Maar in plaats van dat je nu helpt het in te richten, zit je nu aan de andere kant en neem je waar, in hoeverre er conform die inrichting, moet ik dat zo zeggen?
Speaker 2:Ja, of er of er zo gewerkt wordt en inderdaad welke gevolgen dat dan dat dan kan hebben. Als die toegang niet goed ingeregeld is, mensen kunnen bepaalde applicaties niet openen behalve als ze aan een aantal voorwaarden voldoen, zien we nu bij Secops zien we dat heel veel mensen dat proberen maar dat het niet lukt.
Speaker 1:Secops voor de duidelijkheid is security operations.
Speaker 2:Het team waar ik nu in zit.
Speaker 1:Als je nou constateert dat er veel dingen gesignaleerd worden bij jullie die opvallen, maar eigenlijk blijkt dat het eigenlijk elke keer gewoon wel klopt. Dan zou dan naar mijn idee een reden zijn om je trigger aan te passen. Toch? Want dan heb je eigenlijk je trigger verkeerd afgesteld. Want die zegt elke keer: 'Hé, pas op, hey, let op, hey, let op.' Je steekt er tijd in.
Speaker 1:Je komt eigenlijk elke keer tot de conclusie: hé, niks aan de hand, hé, niks aan de hand.
Speaker 2:Eigenlijk bij elk signaal wat je krijgt waarvan je achteraf denkt van deze had ik niet hoeven te krijgen, dan ga je dus je volgende taak om vast te stellen. Oké, hoe had ik dit van tevoren kunnen bepalen? Hoe had ik kunnen voorkomen dat ik deze trigger kreeg, zodat ik mijn tijd aan andere dingen kan besteden dan aan dingen die achteraf niet
Speaker 1:nodig hebben? Zo noemen we 'false positive' eigenlijk. Die zul je altijd blijven houden, maar niemand wordt vrolijk van false positives, want je gaat tijd en energie steken in iets wat niet nodig bleek.
Speaker 2:Precies, die probeer je inderdaad zo weinig mogelijk te krijgen.
Speaker 1:Toen ik je net vroeg hoe je blijft in die enorme datastroom die je te verwerken krijgt, Je laat applicaties voor je werken, stel dat goed in. Maar dat lijkt me ook nog een flinke kluif.
Speaker 2:Ja, is ook zeker. Daarom ben je ook echt met een team daarmee bezig. En heb je een aantal mensen die zich op een specifieke dag bezighouden met het verwerken van de triggers en een aantal mensen die zich bezighouden met het finetunen eigenlijk.
Speaker 1:Dus eigenlijk hoe langer je zeg maar dit doet en je zult natuurlijk ook weer nieuwe logbronnen koppelen, dus uiteindelijk heb je altijd schuivende panelen. Hoe langer je dit doet, hoe beter het werkt.
Speaker 2:Hoe beter, ja. Hoe beter je
Speaker 1:configuratie de werkelijkheid benadert.
Speaker 2:Ja, hoe beter je kan bepalen waar ik moet ondernemen en waar niet op
Speaker 1:Ik ben toch wel benieuwd. We kunnen natuurlijk niet specifiek inzoomen op de gemeente Utrecht, maar in algemene termen Wat is nou een veel voorkomende false positive?
Speaker 2:We nu het meeste zien zijn mensen die
Speaker 1:In algemene zin hè?
Speaker 2:Ja, werken tegenwoordig met een authenticator app en dat werkt met zo'n nummercode. Betekent dat als jij ergens inlogt dan vul je je gebruikersnaam en wachtwoord in en dan krijg je op je telefoon een pop-up en op je beeldscherm staat een getal en je moet het getal invullen in de pop-up. Vroeger
Speaker 1:kon je dan gewoon op je telefoon zeggen 'akkoord, ik ben het' en dan ging je verder op je scherm en nu moet je iets overtikken.
Speaker 2:Ja, Dat is een extra beveiliging omdat mensen altijd op 'ja' klikten zonder te kijken wat er verder gebeurde. Tegenwoordig moet je die nummertjes invullen, maar er zit ook een knopje 'nee ik ben het niet' zit daarin. Op een of manier krijgen mensen het vrij vaak voor elkaar om dat knopje in te drukken. Daarna komt er nog een tweede knopje waarbij je kan zeggen er ging iets fout of nee ik ik heb echt er is nu echt iets raars gebeurd en ik heb deze melding echt niet opgeroepen en daar krijgen wij een trigger van maar op een manier krijgen mensen het heel vaak voor mekaar om daar per ongeluk 2 keer op het verkeerde knopje te drukken.
Speaker 1:2 keer ook nog?
Speaker 2:Ja, en onze afspraak is wel dat we dat altijd even netjes nabellen of in ieder geval contact opnemen met degenen die dat gemeld hebben, want het zou kunnen betekenen dat inderdaad je wachtwoord ergens gelekt is.
Speaker 1:Je kunt natuurlijk niet weten of iemand dat zonder goed te lezen of uit gemakzucht aanklikt of dat dat daadwerkelijk reden is tot zorg. Dat moet je allemaal aflopen.
Speaker 2:Ja, en dat is 9 van de 10 keer, misschien nog wel vaker, mensen die op de verkeerde knopjes hebben gedrukt.
Speaker 1:Eigenlijk is het ook wel fijn dat er dan heel vaak ook niks aan de hand blijkt. Je moet het wel elke keer aflopen.
Speaker 2:Ja, klopt. Ook daar zijn we bezig met een automatiseringsslag. Dat betekent dat op het moment dat jij daarop gedrukt hebt, dat je eerst een e-mail krijgt. We hebben gezien dat jij op het knopje gedrukt hebt. Graag zo snel mogelijk melden of het inderdaad per ongeluk was en zo niet, dan moeten we helaas je account afsluiten.
Speaker 1:Eigenlijk is dit ook nog een manier, tenminste het is enerzijds een manier om het aantal false positives terug te brengen, maar als iemand niet binnen 3 dagen reageert, dan wordt het account geblokkeerd.
Speaker 2:Ja, dan moet hij zijn wachtwoord wijzigen.
Speaker 1:Dan moet je je wachtwoord wijzigen. Precies, op basis van wat je binnenkrijgt en alle triggers en thresholds, die grenswaarden die je definieert, kan je eigenlijk de opvolging ook voor een deel automatiseren. Zodat je minder menskracht nodig hebt om die opvolging in te vullen.
Speaker 2:En dat is 1 van de dingen waar we mee bezig zijn, is om ook die opvolging van incidenten om die meer bij de eigenaren van de applicaties, als ze echt applicatie gericht zijn, te leggen dan dat wij ze moeten gaan doen, omdat wij de inhoud van de applicatie verder niet kennen en dat niet goed kunnen inschatten. Dus dan gaan we geautomatiseerd de werkzaamheden richting de eigenaar van de applicatie brengen.
Speaker 1:Dan hoorde ik jou net het woord 'incidenten' gebruiken. Wat definieer je als een incident?
Speaker 2:Ja, een incident is heel ruim. Een securityincident is een afwijking eigenlijk. Een afwijking op security gebied. Dus er gebeurt iets en daarvan veronderstel je dat dat niet had moeten gebeuren.
Speaker 1:Dat noemen we incidenten. Ik vraag het even omdat we in de context van SIEAM, security incident en event monitoring, hebben natuurlijk in die context te maken met events en met incidenten. Een event is gewoon iets wat gebeurt. Laat ik het even aanvullen op jouw definitie van net. Een incident is altijd ook al een event, anders kan dat niet.
Speaker 1:Gelukkig is niet elk event ook een incident.
Speaker 2:Gelukkig niet, nee. Want events willen we graag zoveel mogelijk. Dat is wat je net zei, we sluiten zoveel mogelijk systemen aan. Die helpen je alle events die er gebeuren helpen je bij een afwijking om vast te stellen wat de aanleiding geweest kan zijn en daarmee kan je ook verder kijken als er iets echt gebeurd is wat niet had mogen gebeuren nou welke events, welke gebeurtenissen zijn daarna dan weer? Welke gebeurtenissen zijn daarna gestart vanuit dat incident?
Speaker 2:Ja, wordt een beetje wazig zo.
Speaker 1:Nou, dat valt nog wel mee hoor. Als we het logbronnen hebben, gewoon even in zijn algemeenheid, naar de toekomst toe, applicaties steeds in de komen te staan. Die worden niet meer centraal gehost in 1 rekencentrum, maar die staan in allerlei uiteenlopende cloud omgevingen. Het voordeel als je alles in 1 rekencentrum hebt staan, dat je zowel je voorziening waar je alle logs naartoe wilt brengen als de applicaties die de logs genereren, die zitten dan in digitale zin logisch gezien vrij dicht bij elkaar. Op het moment dat je alles of in toenemende mate naar de cloud migreert, moeten er steeds meer dingen over het internet.
Speaker 1:Dus die logbron van applicatie Huppeldepup die naar de cloud gemigreerd is, die ging eerder heel logisch gewoon over het interne netwerk naar de Seam oplossing. Ik veronderstel even dat die Seam oplossing dan ook lokaal draait. Dat weet ik helemaal niet en maakt ook niet uit, maar mijn punt is op het moment dat dat allemaal steeds meer uit elkaar komt te liggen, Hoe ga je dan nog zorgen dat al die gevoelige loginformatie wel veilig? Je introduceert daarmee ook een nieuwe kwetsbaarheid of een nieuwe dreiging dat die gevoelige loginformatie over het moeten naar die SIEM oplossing. Dat kan je dan vervolgens weer gaan monitoren, dus dan heb je een soort eigen werkverschaffing.
Speaker 2:Ja, je vooral ziet bij ons is, zeker als je naar SaaS applicaties kijkt, daar ga je niet naar de binnenkant van de applicatie. Daar loggen wij niet. Dat is ook de verantwoordelijkheid van je SaaS leverancier om dat in de gaten te houden.
Speaker 1:Oké, dus dat is iets meer wat je contractueel moet afspreken met je met je software leverancier?
Speaker 2:Ja, zij zijn daar verantwoordelijk voor. Wat wij altijd naar ons toetrekken is de Identity and Access management. Daar zijn we weer. Dat doen we binnen onze omgeving. Wij bepalen wie er toegang heeft en wij bepalen hoe we authenticeren.
Speaker 1:Maar dat gebeurt ook allemaal nog voordat men daadwerkelijk in die SaaS applicatie Ja,
Speaker 2:maar dat eerste stuk en dat loggen wij. Dat loggen we binnen onze Seam oplossingen ook. Er heeft iemand toegang gevraagd en gekregen tot die specifieke applicatie.
Speaker 1:Dus de IAM voorziening die ontsluit zijn logs op op die CAM-blok? Ja, dat klinkt ook heel logisch eigenlijk.
Speaker 2:Die lezen we uit en als die daarna in die SaaS applicatie is, dan is het de verantwoordelijkheid van SaaS leverancier.
Speaker 1:Dus dan heb je dat probleem wat ik theoretisch net schetste, dat heb je niet.
Speaker 2:Nee, want die data hoeven wij niet te ontvangen.
Speaker 1:Dus dan zeg je eigenlijk als een applicatie bedrijfskritiek is of anderszins heel gevoelige gegevens bevat, dan moet je ervoor zorgen dat je afspraken maakt met die leverancier, er een soortgelijke monitoring op die applicatie plaatsvindt, vergelijkbaar met wat jij vertelde, wat je nu vanuit het Secobs team intern inricht.
Speaker 2:Ja, en daar hebben we pakketten van eisen voor die we aan leveranciers stellen voordat we ze aansluiten op onze omgeving en voordat wij gebruik gaan maken van hun diensten.
Speaker 1:Heb je het gevoel dat de markt dat normaal vindt of normaler gaat vinden, dat dat ook een onderdeel is van de diensten. Vroeger nam je misschien gewoon functionaliteiten af en dat noemden we dan samen een applicatie. Maar eigenlijk is dit een dienst waarvan we nu zeggen dat dat gewoon erbij. Je kunt niet meer kaal een applicatie leveren. We willen ook dat je a, b en c.
Speaker 1:En c zou dan bijvoorbeeld security monitoring kunnen zijn. Heb je het gevoel dat dat goed ontvangen wordt aan de leverancierskant?
Speaker 2:Ja, je dat leveranciers ontdekken ook wel dat ze dat wel moeten. Steeds meer van hun klanten gaan dat ook gewoon vragen en eisen dat dat gewoon netjes gebeurt. Dat klopt inderdaad.
Speaker 1:Dus iets wat in het begin nog een soort 'nice to have' is, wordt eigenlijk een need to have gaandeweg.
Speaker 2:Ja, vroeger was het echt zo'n vertrouw ons maar wij zijn wij zijn de leverancier en we weten wat we doen en nou ja, goed. De krant staat dagelijks vol vol met leveranciers die dachten dat ze wisten wat ze deden en dat en nou ja, je moet daar gewoon afspraken over maken en zij moeten ook gewoon aantonen dat ze zich aan die afspraken houden.
Speaker 1:Waarom zou je eigenlijk niet je hele monitoring van je omgeving aan een commerciële partij overlaten?
Speaker 2:Dat zie je ook gebeuren. Dat wordt ook af en toe onderzocht en bij ons is het bij het laatste onderzoek daarvan wel vastgesteld dat we het beste kunnen doen.
Speaker 1:Ik kan me daar veel bij voorstellen hoor. Dat je dat zegt, dat willen we niet om allerlei redenen. Maar ik kan me ook voorstellen dat het constant monitoren van een omgeving waarbij er misschien in de toekomst nog meer logbronnen ontsloten worden, ook wel een beroep op de organisatie. Net zoals heel veel dingen in IT-lands, kan je dan op een gegeven moment afvragen kunnen wij dit goed of is er een leverancier die dit beter kan of efficiënter kan?
Speaker 2:Dat moet je blijven doen. Dat moet je elke keer blijven doen. Gewoon periodiek vaststellen zijn wij degene die dit het beste kunnen doen of zijn er nu partijen in de markt die dit beter voor ons kunnen Precies.
Speaker 1:Dat vraagstuk heeft dus ook aandacht als ik je vraag
Speaker 2:Ja, zeker aandacht.
Speaker 1:Dat is natuurlijk een afweging die je op heel veel gebieden doet in de IT organisatie. Willen we dit zelf doen en blijven doen of willen we dit uitbesteden? Ja, klopt. Wat vind jij daarvan in zijn algemeenheid? Daar ben ik gewoon even benieuwd naar.
Speaker 1:Naar de drang of de wens om steeds meer dingen uit te besteden, af te nemen als een diensten bij een leverancier. Daar waar we dat voorheen zelf deden. Hoe bezi jij dat vanuit Vanuit
Speaker 2:security moet je daar vraagtekens bij zetten. Gezond wantrouwen hebben van gaat dit de goede kant op? Maar ook vanuit security oogpunt maak je de afweging van kan deze partij dit beter en veiliger dan dat we dat zelf kunnen.
Speaker 1:Diezelfde leverancier belooft en zegt vaak dat hij dat kan. Aan de voorkant krijg je natuurlijk vaak daar een heel positief verhaal voorgespiegeld. Dat zal in een hoop gevallen ook volledig terecht zijn. Maar die krant staat natuurlijk niet voor niets vol met voorbeelden waarbij een leverancier het toch niet zo goed voor elkaar bleek te hebben dan je op voorhand dacht. Dus het lijkt mij best lastig om goed te beoordelen of vast te stellen of die leverancier dat waarmaakt of dat je vooral te maken hebt met een mooi verhaal.
Speaker 2:Ja, daar kan leverancier natuurlijk goed op bevragen. Daar heb je speciale certificeringen voor die je leverancier moet behalen en kan aantonen dat hij daadwerkelijk aan jouw eisen als organisatie voldoet. En voor de rest moet je vooral goed onderzoek doen naar je leverancier.
Speaker 1:Dus niet de leverancier geloven op zijn woord, maar ook zelf aantonen ofwel een onafhankelijke derde partij vragen het aan te tonen bij de leverancier. What's next? Hoe gaat jouw security carrière nu in de aftrapfase? Vanaf nu wil je nooit meer wat anders natuurlijk. Over 10 jaar dan Marcel, dan ben je
Speaker 2:Dat is een hele goede vraag. Zeg altijd doe maar een voorstel, zeg ik wel ja of nee. Nee, ik ben nu eigenlijk vrij recent begonnen in deze job dus ik ben heel veel aan het leren en heel veel informatie aan het verzamelen.
Speaker 1:Letterlijk.
Speaker 2:Ja, letterlijk inderdaad. Dus ja, prima. Ik sta open voor alles op dit moment.
Speaker 1:Dank je wel, Marcel. Ik vond het interessant om eens meer vanuit de techniek IAM, maar vooral het hele monitoring verhaal, meer te horen over hoe dat eraan toegaat. Ikzelf zit vaak in opdrachten die meer op de beleidslaag zitten. Ik meen wel enige technische kennis mee te brengen maar ik moet ook toegeven waar de grenzen liggen waarbij ik het vooral moet overlaten aan mensen die er veel meer verstand van hebben. Dit is gewoon een interessante vraagstuk waar ik zelf ook wel mee te maken heb in mijn eigen werk van hé die hele monitoring kant, hoe ontwikkelt dat zich naar de toekomst toe dankjewel dat je
Speaker 2:er was. Veel
Speaker 1:plezier in je security functie en ja we gaan elkaar nog tegenkomen.
Speaker 2:Zeker. Dankjewel. Yo, high ye.
Speaker 1:Ja joh, en voor je het weet zit zo'n half uur er alweer op hè. Zowel tijdens het gesprek opnemen ervaren we dat. Ik hoop ook dat jij dat ervaart tijdens het luisteren van deze podcast, want het betekent dat het interessant en boeiend en hopelijk ook af en toe leuk was. Dank je wel dat je er weer bij was. Over een maand staat er weer een nieuwe aflevering online en in de tussentijd heb ik nog een leuk nieuwtje.
Speaker 1:We zijn gestart of eigenlijk we, dat ben ik gewoon. Ik ben gestart met een nieuwsbrief en die heet Keep Post-it. Dus ga naar Keep. All in. Ik zou gewoon gaan naar keepetsafe punt nl.
Speaker 1:Dan vind je daar diverse buttons. Dan klik je door, kom je op het aanmeldformulier. Schrijf je in en dan krijg je ook in het kwartaal de KeepPost-it nieuwsbrief. Dus naast Keeptalking ook KeepPost-it. Ja, waar haalt het vandaan, Hartstikke leuk.
Speaker 1:Hey, tot de volgende keer.
