De endpointbeveiliging draaide.
Maar verdedigde hij ook echt?
Van geïnstalleerd naar afgesteld om te verdedigen
Een Europese instelling in een streng afgeschermde, hoog-vertrouwelijke omgeving. De endpointbeveiliging stond er, maar de configuratie was in stilte afgedreven van best practice. Wij legden het bloot, prioriteerden het, en leverden een gehard ontwerp, volledig on-prem.
De uitdaging
Een geïnstalleerde agent is nog geen bescherming.
De endpointbeveiliging draaide, maar niemand kon hard maken dat de configuratie nog op best practice stond. In een omgeving waar dat juist cruciaal is, ontbrak die zekerheid.
- 01
Beschermingsinstellingen stonden ontgrendeld. Gebruikers konden ze uitzetten; bescherming was optioneel in plaats van afgedwongen.
- 02
Het beheerplatform was verouderd en kwetsbaar. De plek die alles aanstuurt, was zelf een risico.
- 03
Gebruikers mochten eigen uitzonderingen toevoegen. Elk gaatje dat iemand zelf maakte, bleef onzichtbaar.
- 04
Gedragsdetectie blokkeerde de juiste dingen niet. Manipulatie van DNS en systeembestanden ging er ongehinderd langs.
Een geïnstalleerde agent is geen bescherming. De vraag was niet óf het draaide, maar of het stond afgesteld om je te verdedigen.
De aanpak
Niet aannemen dat het goed staat. Het nakijken.
Een gestructureerde review tegen best practice, en daaruit een ontwerp dat de gaten dicht, binnen de strikte randvoorwaarden.
Data-gathering en interview
De volledige configuratie van het beheerplatform, het beleid en de clients verzameld en het doel scherp gekregen, binnen de afgeschermde omgeving.
Analyse tegen best practice
Elke instelling getoetst aan best practice en aan wat een aanvaller ermee zou kunnen: waar staat de bescherming aan, waar is hij uit te zetten, waar zitten de gaten.
Bevindingen op ernst × inspanning
Circa 28 bevindingen, gegroepeerd op ernst en de inspanning om ze op te lossen. Geen lijst om in te verdrinken, maar een volgorde om mee te beginnen.
Een gehard ontwerp
Een low-level design en DMZ-architectuur voor de doelstaat, plus rapportage om het afgesteld te houden, volledig on-prem.
De oplossing
Niet meer optioneel. Afgedwongen.
Wat er nu staat: bescherming die niet meer afhangt van wie aan welke knop kan. Vergrendeld, gepatcht en ontworpen om het zo te houden.
De beschermingsfuncties vergrendeld en op scherp, niet langer uit te zetten door wie dan ook.
Circa 28 bevindingen op ernst en inspanning, een volgorde om mee te beginnen.
Een low-level design en DMZ-architectuur voor de doelstaat, geen losse fixes maar een fundament.
Alles binnen de afgeschermde omgeving, zonder data buiten de deur.
“We wisten dat het draaide. Nu weten we dat het ons ook echt verdedigt.”
Het resultaat
Van aannemen naar aantoonbaar verdedigd.
- -Beschermingsinstellingen ontgrendeld, uit te zetten
- -Beheerplatform verouderd en kwetsbaar
- -Gebruikers voegden eigen uitzonderingen toe
- -Geen zekerheid dat de bescherming echt verdedigde
- ✓Bescherming vergrendeld en afgedwongen, niet langer optioneel.
- ✓Het beheerplatform gepatcht en gehard.
- ✓Circa 28 bevindingen geprioriteerd, een volgorde om mee te beginnen.
- ✓Een gehard ontwerp en rapportage, om het afgesteld te houden, volledig on-prem.
Een vergelijkbaar vraagstuk?
Geen pitch. Eén gesprek.
Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.
Plan een gesprek