Naar hoofdinhoud

De endpointbeveiliging draaide.
Maar verdedigde hij ook echt?

Van geïnstalleerd naar afgesteld om te verdedigen

Een Europese instelling in een streng afgeschermde, hoog-vertrouwelijke omgeving. De endpointbeveiliging stond er, maar de configuratie was in stilte afgedreven van best practice. Wij legden het bloot, prioriteerden het, en leverden een gehard ontwerp, volledig on-prem.

Bevindingen · ernst × inspanningReview
Hoog-ernstMiddel / laag
Bron · configuration reviewOn-prem · privacy by design
Sector
Europese instelling
Omgeving
Streng afgeschermd, on-prem
Doorlooptijd
Review in circa 8 weken
Kaders
On-prem, privacy by design
Bevindingen
circa 28
gegroepeerd op ernst en de inspanning om ze op te lossen.
Instellingen
Vergrendeld
beschermingsfuncties die niemand meer kan uitzetten.
Randvoorwaarde
On-prem
alles binnen de afgeschermde, privacy-by-design-omgeving.

De uitdaging

Een geïnstalleerde agent is nog geen bescherming.

De endpointbeveiliging draaide, maar niemand kon hard maken dat de configuratie nog op best practice stond. In een omgeving waar dat juist cruciaal is, ontbrak die zekerheid.

ConfiguratieStand
Op best practice
In stilte afgedreven van best practice
Op best practice
Afgedreven
  • 01

    Beschermingsinstellingen stonden ontgrendeld. Gebruikers konden ze uitzetten; bescherming was optioneel in plaats van afgedwongen.

  • 02

    Het beheerplatform was verouderd en kwetsbaar. De plek die alles aanstuurt, was zelf een risico.

  • 03

    Gebruikers mochten eigen uitzonderingen toevoegen. Elk gaatje dat iemand zelf maakte, bleef onzichtbaar.

  • 04

    Gedragsdetectie blokkeerde de juiste dingen niet. Manipulatie van DNS en systeembestanden ging er ongehinderd langs.

Een geïnstalleerde agent is geen bescherming. De vraag was niet óf het draaide, maar of het stond afgesteld om je te verdedigen.

De aanpak

Niet aannemen dat het goed staat. Het nakijken.

Een gestructureerde review tegen best practice, en daaruit een ontwerp dat de gaten dicht, binnen de strikte randvoorwaarden.

Tegen best practiceMaatstaf
Op ernst én inspanningPrioritering
On-prem, privacy by designRandvoorwaarde
01

Data-gathering en interview

De volledige configuratie van het beheerplatform, het beleid en de clients verzameld en het doel scherp gekregen, binnen de afgeschermde omgeving.

02

Analyse tegen best practice

Elke instelling getoetst aan best practice en aan wat een aanvaller ermee zou kunnen: waar staat de bescherming aan, waar is hij uit te zetten, waar zitten de gaten.

03

Bevindingen op ernst × inspanning

Circa 28 bevindingen, gegroepeerd op ernst en de inspanning om ze op te lossen. Geen lijst om in te verdrinken, maar een volgorde om mee te beginnen.

04

Een gehard ontwerp

Een low-level design en DMZ-architectuur voor de doelstaat, plus rapportage om het afgesteld te houden, volledig on-prem.

De oplossing

Niet meer optioneel. Afgedwongen.

Wat er nu staat: bescherming die niet meer afhangt van wie aan welke knop kan. Vergrendeld, gepatcht en ontworpen om het zo te houden.

Auto-Protect · vergrendeld
Exploit & gedrag · aan
DNS & hosts · geblokkeerd
Uitzonderingen · centraal
Beheerplatform · gepatcht
Afgesteld om te verdedigen

De beschermingsfuncties vergrendeld en op scherp, niet langer uit te zetten door wie dan ook.

Geprioriteerd bevindingenrapport

Circa 28 bevindingen op ernst en inspanning, een volgorde om mee te beginnen.

Een gehard ontwerp

Een low-level design en DMZ-architectuur voor de doelstaat, geen losse fixes maar een fundament.

On-prem en privacy-conform

Alles binnen de afgeschermde omgeving, zonder data buiten de deur.

“We wisten dat het draaide. Nu weten we dat het ons ook echt verdedigt.”

Security Officer · Europese instelling

Het resultaat

Van aannemen naar aantoonbaar verdedigd.

Voorheen
  • -Beschermingsinstellingen ontgrendeld, uit te zetten
  • -Beheerplatform verouderd en kwetsbaar
  • -Gebruikers voegden eigen uitzonderingen toe
  • -Geen zekerheid dat de bescherming echt verdedigde
Nu
  • Bescherming vergrendeld en afgedwongen, niet langer optioneel.
  • Het beheerplatform gepatcht en gehard.
  • Circa 28 bevindingen geprioriteerd, een volgorde om mee te beginnen.
  • Een gehard ontwerp en rapportage, om het afgesteld te houden, volledig on-prem.

Een vergelijkbaar vraagstuk?

Geen pitch. Eén gesprek.

Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.

Plan een gesprek

30 minuten met een senior, geen pitch.

Spreek met een architectBel direct088 - 163 23 25