Een veilige en betrouwbare infrastructuur is voor financiële dienstverleners cruciaal. Niet alleen met het oog op wet- en regelgeving en overheidstoezicht, maar ook vanwege mogelijke reputatieschade wanneer een kwaadwillende zich vanuit hetzij van buiten, hetzij van binnen ongeoorloofde toegang verschaft tot kernsystemen. Tegen deze achtergrond werkt SNS Bank continu aan de optimale beveiliging van zijn infrastructuur. Daarbij speelt security monitoring een belangrijke rol.
“Het monitoren van de infrastructuur op veiligheid gebeurde al lang bij SNS, maar vond in onze optiek niet voldoende gecentraliseerd en geautomatiseerd plaats”, zegt Ben van Zuijlen, hoofd Informatiebeveiliging bij SNS Bank. “Dat was aanleiding om te starten met een project, waarin we een stap vooruit wilden maken op dit gebied. We zijn begonnen met enkele workshops, waarin we de rol van de beheerorganisatie ten opzichte van security monitoring hebben vastgesteld. Je hebt hier eigenlijk twee keuzes: of je sluit alles af voor iedereen of je kiest voor een open benadering waarbij de beheerorganisatie voor de bescherming van de infrastructuur zorgt en iedereen weet dat alles wat er gebeurt, gemonitord wordt. Wij hebben zeer bewust voor dat laatste gekozen. Beheerders mogen veel en kunnen daardoor snel problemen oplossen. Tegelijkertijd is iedereen ervan doordrongen, dat alle activiteiten vastgelegd worden. Dat biedt duidelijkheid aan iedereen en stelt de beheerorganisatie in staat om verantwoordelijkheid te nemen.”
enVision
SNS Bank koos na een uitgebreide selectie voor de enVision-technologie van Network Intelligence om de nieuwe aanpak van security monitoring te ondersteunen. Motiv werd ingeschakeld voor hulp bij de implementatie en het inregelen van de enVision-appliance. Deze appliance verzamelt alle events op servers en netwerkcomponenten en genereert geautomatiseerde rapporten op basis van vooraf ingestelde criteria. “De enVision-appliance had onze voorkeur om twee redenen”, zegt Van Zuijlen. “In de eerste plaats was de appliance makkelijk te implementeren. We waren binnen twee dagen klaar met het aansluiten van een groot aantal systemen. Daarnaast biedt de leverancier een aantrekkelijke licentiestructuur. Je betaalt op basis van het aantal te monitoren activiteiten en niet, zoals bij veel andere leveranciers, voor het aantal aangesloten systemen. Verder is het een voordeel dat enVision zonder agents werkt. Dat betekent dat je nieuwe systemen makkelijk kunt aansluiten.” Daarnaast heeft de appliance in de praktijk aangetoond dat de prestaties van de aangesloten systemen niet aangetast worden. Van Zuijlen: “Er is sinds de in gebruikname van enVision geen merkbare invloed geweest op de systemen. We loggen weliswaar meer events die vervolgens naar de appliance worden gekopieerd, maar dat is vooral van invloed geweest op de bandbreedte van het netwerk. enVision zelf verwerkt probleemloos zo’n 7.500 events per seconde met mogelijke pieken van 10.000.”
Intelligente informatie
De nieuwe oplossing heeft SNS Bank volgens Ben van Zuijlen verschillende voordelen opgeleverd. “Een belangrijk voordeel is dat we nu beschikken over intelligente informatie over de events binnen de infrastructuur. We weten gewoonweg meer en daardoor heb je ook een veel beter inzicht in je infrastructuur. Dat geeft het management een comfortabeler gevoel. Je bent meer ‘in control’. Daarnaast zijn de verzamelde gegevens ook prima bruikbaar om de IT-activiteiten en -processen verder te optimaliseren. We weten nu bijvoorbeeld precies hoeveel mutaties er plaatsvinden in autorisaties. Met die informatie kun je iets doen.”
Vooruitkijken
Nu SNS Bank in samenwerking met Motiv de basis heeft gelegd voor security monitoring is het tijd voor de volgende stappen. Ben van Zuijlen wijst erop dat monitoring voor SNS geen statische zaak is, maar zich steeds verder ontwikkelt. “Dat past in de algemene SNS-filosofie, waarbij we op alle fronten, van product-ontwikkeling en marketing tot aan IT, innovatief willen zijn. Eén van de zaken die nu op de agenda staat is de alerting. Daarbij willen we bepaalde events of trends in events definiëren die tot een alert naar de Operations-afdeling leiden. Het gaat dan vooral om alerts rond zaken die in potentie negatieve gevolgen kunnen hebben. Wanneer een systeem volledig uitvalt, weten we dat snel genoeg. De echt spannende zaken gebeuren uiteindelijk op een werkende infrastructuur. Hoe scherper we die in de gaten kunnen houden, hoe beter.”