Wat is telemetrie?

Hoewel telemetrie niet tot de meest opwindende onderwerpen in de IT- en informatiebeveiligingswereld behoort, zijn er weinig onderwerpen die belangrijker zijn voor het bepalen van de gezondheid van apparaten en in grotere mate voor het waarborgen van de beveiliging van je eindpunten.

In deze blogserie belicht deze onderbelichte held de verschillende behoeften, toepassingen en functionaliteit die mogelijk worden gemaakt door telemetriegegevens. Toekomstige artikelen in deze reeks zullen dieper ingaan op de volgende aspecten van telemetrie:

• verzameling en opslag
• geautomatiseerde waarschuwing en rapportage
• volledige automatisering en correlatie

Wat is telemetrie?

Denk aan elke geauthenticeerde aanmelding, uitgevoerde commando's, uitgevoerde processen, enzovoort. Samengevat, de meeste veranderingen die op een apparaat optreden, worden vastgelegd in logboeken:

• uitgevoerde acties
• betrokken programma's
• diagnostische informatie
• gebruikte systeemdiensten
• datum- en tijdsaanduidiingen

Naast andere nuttige gegevens die worden opgenomen, biedt het een venster op je Mac-eindpunt om de huidige vitale gezondheids- en beveiligingsstatistieken te bepalen die rechtstreeks betrekking hebben op de operationele, functionele, technische en beveiligingsstatus van de programma's en gegevens op je Mac.

Waarom is telemetrie zo belangrijk?

Om het belang van telemetriegegevens te illustreren, is het misschien gemakkelijker deze op eenzelfde wijze te benaderen als onze eigen gezondheid. We gaan bijvoorbeeld naar de dokter en die neemt wat bloed af, dat wordt verwerkt, om vast te stellen of er gezondheidsproblemen zijn. Factoren zoals bepaalde vormen van ziekte of te weinig of een opeenhoping van vitaminen en mineralen geven aan dat er misschien iets mis is in ons lichaam en dat medische actie nodig is om het te corrigeren, voordat het tot iets veel verontrustenders leidt.

Hetzelfde kan worden gezegd van telemetriegegevens, behalve dat ze betrekking hebben op de algemene gezondheid van je Mac-vloot. Het is het resultaat van gegevens uit verschillende bronnen en subsystemen binnen Mac die een beeld geven van hoe gezond je eindpunten zijn en op basis daarvan aangeven welke herstelwerkzaamheden moeten worden uitgevoerd om de geïdentificeerde problemen te corrigeren:

• risico's beperken
• gegevens beveiligen
• de privacy van de gebruiker beschermen
• compliance garanderen

"Als je iets niet kunt meten, kun je het ook niet verbeteren." - Lord Kelvin

Hoe werkt telemetrie?

Gewapend met de 'what' en 'why' gaan we nu in op de werking van telemetrie door enkele scenario's aan te reiken waarin het verzamelen en analyseren van granulaire telemetriegegevens absoluut noodzakelijk is:

• identificatie van veiligheidsbedreigingen
• oplossen van beveiligingsincidenten
• compliance van de voorschriften

dat je organisatie het doelwit kan zijn van en/of verband houdt met de sector waartoe je organisatie behoort, waardoor zij onder overheidstoezicht komt te staan.

verdediging tegen en onderzoek van bedreigingen

Zoals eerder gezegd, biedt informatie over de gezondheid van apparaten IT- en beveiligingsteams de details die nodig zijn om hun eindpunten optimaal te verdedigen, aangezien telemetriegegevens granulair inzicht geven in welke delen van het systeem moeten worden hersteld. Dit kan iets eenvoudigs zijn als een app die niet up-to-date is of iets belangrijkers, zoals een kritieke macOS-beveiligingsupdate die een kwetsbaarheid met een hoge ernstgraad patcht.

Zonder deze rijke telemetriegegevens zouden beheerders geen zicht hebben op hun vloot om een dergelijke bedreiging proactief te verhelpen. Hierdoor blijven getroffen apparaten onbeschermd en lopen zij het risico te worden misbruikt door slechte actoren, en mogelijk nog erger.

Laten we evenzo aannemen dat het hierboven gebruikte voorbeeld van de ongepatchte kwetsbaarheid zich heeft voorgedaan en dat het apparaat helaas is misbruikt, waardoor het gecompromitteerd is geraakt. De gebruiker kan melden dat er iets vreemds gebeurt met zijn Mac, maar beheerders zullen moeilijk kunnen begrijpen wat er precies gebeurt en waarom het gebeurt. Dit zijn twee cruciale stukken informatie die nodig zijn om de volgende stappen te bepalen.

Dit is opnieuw een keerpunt voor telemetriegegevens, omdat beheerders hiermee de antwoorden op deze vragen hebben en kunnen nagaan hoe de exploit tot stand is gekomen en hoe het systeem er nu voor staat. Met deze gegevens op zak kunnen herstelworkflows worden uitgevoerd om de bedreiging te verwijderen, de kwetsbaarheid te verhelpen en de functionaliteit van de Mac van de gebruiker te herstellen.

Compliance van de regelgeving

Eerder hebben we het gehad over compliance, meer bepaald het overheidstoezicht op sterk gereguleerde industrieën. Voorbeelden hiervan zijn gezondheidszorg, fintech en onderwijs. Afhankelijk van waar je bedrijf is gevestigd, kunnen bepaalde lokale, staats-, federale en/of regionale wetten van toepassing zijn. Bovendien kan je organisatie, in welke landen zij zaken doet, ook onderworpen zijn aan wettelijke vereisten in die regio's, zoals de AVG en de privacybescherming voor gebruikers die wettelijk afdwingbaar is voor elke organisatie die persoonlijk identificeerbare informatie (PII) van Europese burgers verzamelt, ongeacht of je organisatie fysiek aanwezig is in Europa.

In feite vereisen veel veiligheidsbeleidsmaatregelen van de overheid met betrekking tot regelgevend toezicht telemetrie om aan te tonen dat organisaties actief stappen ondernemen om aan de voorschriften te voldoen. De algemene richtlijn is: als je niet kunt controleren of je gegevens beschermd waren, dan waren ze dat niet.

Vergis je niet, telemetriegegevens alleen staan niet gelijk aan compliance. Maar als je organisatie de juiste controles en beleidsregels heeft ingevoerd om de beveiliging van datatypes die aan de eisen voldoen te waarborgen, naast de nodige controles en balansen om de compliance te handhaven, dan zullen de rijke telemetriegegevens dit weerspiegelen wanneer ze worden verzameld en worden gebruikt om tijdens audits de compliance door de regelgevers te verifiëren.

Cyberbeveilingsverzekering

Met de toenemende beveiligingsdreigingen en het toegenomen risico is het geen verrassing dat een cyberbeveiligingsverzekering een populaire optie is onder organisaties die kiezen voor risicobeperking als onderdeel van hun beveiligingsstrategie. Dat gezegd hebbende, betekent recente bezorgdheid over aangescherpt beleid van verzekeraars 'deels gebaseerd op de frequentie, ernst en kosten van cyberaanvallen', volgens CNBC, dat het moeilijker kan worden voor organisaties om een cyberverzekering te krijgen of door beperkingen van de dekking kunnen organisaties te maken krijgen met extra onderzoek tijdens het acceptatieproces.

Dit laatste wijst op een mogelijke verschuiving waarbij verzekeraars voor het verkrijgen en/of behouden van dekking eisen dat wordt nagegaan of er risicobeperkende strategieën bestaan en actief worden onderhouden. Dit verschilt niet van verzekeringsmaatschappijen in andere sectoren, bijvoorbeeld auto- en opstalverzekeringen, die bepalingen bevatten die eigenaren verplichten met de nodige zorgvuldigheid te handelen om hun auto's en huizen te onderhouden, omdat anders de dekking kan vervallen. In dit geval verifieert telemetrie deze zorgvuldigheid namens de organisatie en levert het bewijs dat de noodzakelijke beveiligingscontroles en beleidsregels zijn ingevoerd in overeenstemming met de verzekeringseisen.

Om nog een stap verder te gaan: stel dat je organisatie een cyberverzekering heeft en helaas slachtoffer wordt van een cyberaanval. Je denkt misschien: hoe kan telemetrie je dan helpen als de schade is aangericht?

Welnu, telemetriegegevens zijn nog steeds cruciaal voor intern en strafrechtelijk onderzoek, zoals eerder vermeld. Het speelt ook een essentiële rol bij het verzamelen van bewijsmateriaal voor een cyberverzekeringsclaim om te bepalen wat er is gebeurd, hoe het is gebeurd en mogelijk wie de slechte actoren zijn, vooral nu men zich steeds meer bewust wordt van bedreigingen van binnenuit en hoe verwoestend dit soort aanvallen kan zijn. Ten slotte helpen telemetriegegevens digitale forensische professionals om uit schijnbaar onbeduidende gegevensartefacten details te halen die belangrijk zijn voor het onderzoek.

Jamf Protect is telemetrie (en nog veel meer)

Jamf Protect is eindpuntbeveiliging die speciaal is ontworpen voor Mac. Dat weet je.

Maar wist je dat het diepe inzicht dat het biedt in je Mac-vloot rechtstreeks wordt ondersteund en geïnformeerd door de telemetriegegevens die het actief verzamelt van elk beheerd eindpunt?

Echt waar! Aangezien Jamf Protect voortdurend Mac-eindpunten controleert op bedreigingen, genereert deze en alle activiteit vermeldingen in de loggegevens (telemetrie). Dit wordt verzonden via de Jamf Protect agent naar de cloud-gebaseerde console, of je favoriete oplossing voor Security Information and Event Management (SIEM) (meer hierover in de tweede blog in deze serie).

Wanneer zij deze gegevens ontvangen, kunnen IT- en beveiligingsprofessionals ze gebruiken om proactief onbekende bedreigingen op macOS-computers in hun omgeving op te sporen. En met de release van agent versie 3.6.0.727 wordt nieuwe functionaliteit voor Protect-telemetrie en Protect-offline-implementatiemodus beschikbaar gemaakt.

Het eerste is in deze hele blog besproken en zal in toekomstige afleveringen in deze serie worden voortgezet. Terwijl de laatste veel van de datastreamfuncties van Jamf's vorige overname bevat, is Compliance Reporter voor alle Jamf Protect-klanten!