Security Engineering Diensten

Wat Is Security Engineering

Security engineering is de discipline van het ontwerpen en bouwen van systemen die betrouwbaar blijven bij kwaadwilligheid, fouten en tegenspoed. Waar security operations zich richt op het monitoren, detecteren en reageren op dreigingen in realtime, richt security engineering zich op de architectuur, configuratie en tooling die effectieve operaties mogelijk maken.

ForgeWork levert security engineering diensten aan organisaties in België en de Europese Unie.

Zie het zo: security operations is het team dat de camera's in de gaten houdt en op alarmen reageert. Security engineering is het team dat het gebouw heeft ontworpen, de sloten heeft geïnstalleerd, de camera's heeft gepositioneerd en de alarmregels heeft geschreven. Beide zijn essentieel, maar zonder solide engineering-fundamenten vecht het operations-team met kapotte tools in een gebouw vol onvergrendelde deuren.

De filosofische basis van security engineering is defense in depth — het principe dat geen enkele beveiligingsmaatregel de enige barrière mag zijn tussen een aanvaller en een kritiek bedrijfsmiddel. Effectieve verdediging vereist meerdere lagen: netwerkmaatregelen, identiteits- en toegangsbeheer, endpoint-bescherming, applicatiebeveiliging, gegevensbescherming en monitoring. Elke laag moet zo ontworpen zijn dat als deze faalt, de lagen erachter nog steeds bescherming bieden, en het falen zelf wordt gedetecteerd.

Defense in depth is niet hetzelfde als defense in redundancy. Het simpelweg achter elkaar plaatsen van vijf verschillende firewalls creëert geen diepte als ze allemaal falen bij dezelfde aanvalstechniek. Echte diepte betekent het stapelen van verschillende typen maatregelen die verschillende aanvalsvectoren adresseren, zodat de vaardigheden en middelen die nodig zijn om elke opeenvolgende laag te doorbreken toenemen, en de kans op detectie van de aanvaller bij elke fase toeneemt.

Security engineering draait ook fundamenteel om het maken van de juiste afwegingen. Perfecte beveiliging is onhaalbaar en zou onbruikbaar zijn als het bestond. Elke engineering-beslissing vereist een balans tussen beveiliging en bruikbaarheid, prestaties, kosten en operationele complexiteit. Het doel is niet alle risico's te elimineren — het is om risico's te verminderen tot een niveau dat aanvaardbaar is gezien het dreigingsmodel, de regelgevende verplichtingen en de bedrijfsvereisten van de organisatie.

Architectuurbeoordeling

Een architectuurbeoordeling onderzoekt het ontwerp van de IT-omgeving van een organisatie vanuit beveiligingsperspectief. Het is de fundamentele security engineering opdracht — begrijpen hoe systemen verbonden zijn, hoe gegevens stromen, waar vertrouwensgrenzen bestaan en waar het ontwerp zelf risico's creëert of vermindert.

Wat We Onderzoeken

Netwerktopologie

Hoe het netwerk is gesegmenteerd, waar vertrouwensgrenzen liggen, welke systemen met welke kunnen communiceren en of de segmentatie het beoogde beveiligingsbeleid daadwerkelijk afdwingt. We beoordelen firewall-regelsets, routeringsconfiguraties, VLAN-toewijzingen en netwerktoegangscontrole (NAC) implementaties. Veelvoorkomende bevindingen zijn: platte netwerken waar een gecompromitteerd werkstation directe toegang heeft tot databaseservers, te permissieve firewallregels opgebouwd over jaren van wijzigingsverzoeken, en VPN-configuraties die externe gebruikers op hetzelfde netwerksegment plaatsen als kritieke infrastructuur.

Identiteits- en Toegangsbeheer

Hoe gebruikers worden geauthenticeerd, hoe toegang wordt geautoriseerd, hoe privileges worden beheerd en hoe de identiteitsinfrastructuur is beveiligd. We beoordelen Active Directory architectuur (forest- en domeinstructuur, vertrouwensrelaties, group policy configuratie), privileged access management, multi-factor authenticatie uitrol, serviceaccount-inventaris en wachtwoordbeleid. Identiteitsinfrastructuur is het meest consistent aangevallen onderdeel bij enterprise-aanvallen — Kerberoasting, Golden Ticket-aanvallen en credential relay technieken exploiteren allemaal zwaktes in identiteitsarchitectuur.

Gegevensstroomanalyse

Waar gevoelige gegevens zich bevinden, hoe ze tussen systemen bewegen, wie er toegang toe heeft en welke beschermingen bij elke fase bestaan. We brengen gegevensstromen in kaart voor de meest kritieke informatiemiddelen van de organisatie — klantgegevens, financiële dossiers, intellectueel eigendom, credentials — en evalueren of versleuteling, toegangscontroles en monitoring op elk punt in de stroom passend zijn. Deze analyse onthult vaak onverwachte gegevensblootstelling: kopieën van productiedatabases in ontwikkelomgevingen, gevoelige gegevens die over onversleutelde interne netwerkverbindingen reizen, of back-upsystemen die gegevens opslaan met zwakkere bescherming dan de primaire systemen.

Cloudarchitectuur

Voor organisaties die AWS, Azure of GCP gebruiken, beoordelen we de cloudaccountstructuur, IAM-beleiden, netwerkarchitectuur (VPC's, security groups, netwerk-ACL's), gegevensopslagconfiguratie, logging- en monitoringopzet, en de grens tussen cloud- en on-premises omgevingen. Cloudarchitecturen groeien vaak organisch, en de beveiligingshouding van bronnen uit het eerste jaar komt zelden overeen met de huidige beveiligingsstandaarden van de organisatie.

Vertrouwensgrenzen

Vertrouwensgrenzen definiëren waar het ene beveiligingsdomein eindigt en het andere begint. Effectieve architectuur stelt duidelijke vertrouwensgrenzen vast en handhaaft deze met passende maatregelen. We onderzoeken waar vertrouwensgrenzen bestaan (of zouden moeten bestaan), of de maatregelen bij elke grens adequaat zijn, en of de impliciete vertrouwensaannames van de organisatie overeenkomen met de werkelijkheid. Een veelvoorkomende bevinding: de organisatie behandelt haar interne netwerk als vertrouwd, maar elke aanvaller die initiële toegang verkrijgt via phishing, VPN-compromittering of een supply chain-aanval bevindt zich onmiddellijk binnen die vertrouwde zone met onbeperkte laterale beweging.

Veelvoorkomende Bevindingen en Aanbevelingen

Architectuurbeoordelingen brengen consequent meerdere categorieën bevindingen aan het licht. Overmatig impliciet vertrouwen — waar systemen communiceren zonder authenticatie of autorisatie simpelweg omdat ze een netwerksegment delen. Overgeprivilegieerde accounts — waar serviceaccounts en beheeraccounts bredere machtigingen hebben dan hun functie vereist. Ontbrekende monitoring — waar kritieke systemen of netwerksegmenten geen beveiligingstelemetrie genereren en effectief onzichtbaar zijn voor de SOC. En architecturale schuld — waar legacy-ontwerpbeslissingen die jaren geleden logisch waren nu beveiligingslacunes creëren in de huidige dreigingsomgeving.

Infrastructuurverharding

Infrastructuurverharding is het proces van het verkleinen van het aanvalsoppervlak van systemen, netwerken en diensten door onnodige functionaliteit te verwijderen, veilige configuraties toe te passen en aanvullende beschermende maatregelen te implementeren. Het is methodisch, vaak onopvallend werk — maar het elimineert het laaghangende fruit waarop aanvallers vertrouwen voor initiële toegang en laterale beweging.

Besturingssysteemverharding

We verharden besturingssystemen volgens CIS (Center for Internet Security) Benchmarks — industriestandaard configuratiebaselines voor Windows, Linux en macOS. Dit omvat: het uitschakelen van onnodige diensten en protocollen, het configureren van host-based firewalls, het beperken van lokale beheerderstoegang, het inschakelen van auditlogging, het verharden van authenticatiemechanismen, het verwijderen van standaardaccounts en credentials, en het toepassen van bestandssysteemmachtigingen die het least privilege principe volgen. CIS Benchmarks bieden twee profielniveaus: Level 1 (praktische verharding met minimale operationele impact) en Level 2 (diepere verharding voor omgevingen met hoge beveiliging). We helpen organisaties het juiste profiel voor elke systeemklasse te bepalen en geautomatiseerde compliance-controle in hun deployment pipeline in te bouwen.

Netwerksegmentatie

Effectieve segmentatie beperkt de impactradius van een compromittering door te voorkomen dat een aanvaller vrij kan bewegen tussen netwerkzones. We ontwerpen segmentatiestrategieën op basis van gegevensgevoeligheid, systeemfunctie en dreigingsmodel — met scheiding van gebruikerswerkstations en servers, productie en ontwikkeling, beheernetwerken en datanetwerken, en internetgerichte systemen en interne infrastructuur. Segmentatie wordt geïmplementeerd door een combinatie van VLAN's, firewallregels en in toenemende mate microsegmentatietechnologieën die beleid afdwingen op workloadniveau in plaats van op het netwerkperimeter.

E-mailbeveiliging

E-mail blijft de meest voorkomende initiële toegangsvector. We implementeren en configureren e-mailbeveiligingsmaatregelen waaronder: SPF, DKIM en DMARC voor domeinauthenticatie (het voorkomen van spoofing van het domein van de organisatie), configuratie van secure email gateway met attachment sandboxing en URL rewriting, mailbox auditlogging, externe e-mailtagging en beleid voor het omgaan met gevoelige gegevens via e-mail. We beoordelen ook Exchange- of Microsoft 365-configuraties op veelvoorkomende misconfiguraties die de organisatie blootstellen — zoals te permissieve mail flow rules, gedeelde mailboxen met buitensporige toegang, of legacy authenticatieprotocollen die MFA omzeilen.

DNS-beveiliging

DNS is zowel een kritieke afhankelijkheid als een vaak geëxploiteerd protocol. We implementeren DNSSEC waar passend, configureren DNS-logging voor beveiligingsmonitoring, zetten DNS-filtering in om bekende kwaadaardige domeinen te blokkeren en beoordelen de interne DNS-architectuur op zones die interne naamgevingsinformatie lekken. DNS-gebaseerde aanvallen — waaronder DNS tunneling voor gegevensexfiltratie, DNS rebinding en cache poisoning — worden vaak over het hoofd gezien in verhardingsprogramma's, maar blijven effectief in omgevingen die DNS behandelen als een zuiver infrastructuurdienst zonder beveiligingsrelevantie.

Endpoint-bescherming

We beoordelen en optimaliseren endpoint protection platforms (EPP) en endpoint detection and response (EDR) implementaties. Dit omvat: het valideren van dekking (ervoor zorgen dat elk endpoint is ingeschreven en rapporteert), het afstemmen van beleid om bescherming in balans te brengen met operationele impact, het configureren van geavanceerde functies zoals geheugenbescherming, credential theft prevention en gedragsdetectie, en het waarborgen dat EDR-telemetrie naar het SIEM wordt gestuurd voor correlatie met andere gegevensbronnen. Veel organisaties implementeren EDR maar gebruiken slechts een fractie van de mogelijkheden — vaak draaiend in "detect only" modus voor onbepaalde tijd, of zonder ooit de gedragsdetectieregels af te stemmen op hun omgeving.

Detectie-engineering

Detectie-engineering is de praktijk van het ontwerpen, bouwen, testen en onderhouden van de detectieregels en analyses die kwaadaardige activiteit binnen een omgeving identificeren. Het is de brug tussen beveiligingsmonitoringtools (SIEM, EDR, NDR) en de analisten die op meldingen reageren. Goed uitgevoerd, produceert het high-fidelity meldingen die echte dreigingen aan het licht brengen. Slecht uitgevoerd, produceert het alert fatigue, gemiste aanvallen en een SOC-team dat verdrinkt in false positives.

Detectieregels Bouwen

Effectieve detectie begint met een helder begrip van wat u probeert te detecteren. We gebruiken threat-informed detectieontwikkeling: uitgaand van bekende aanvallerstechnieken (gemapt naar MITRE ATT&CK), het identificeren van de telemetriebronnen die elke techniek zouden onthullen, en het bouwen van detectielogica die de techniek betrouwbaar identificeert terwijl false positives in de specifieke omgeving van de klant worden geminimaliseerd.

Bijvoorbeeld, het detecteren van Kerberoasting (ATT&CK T1558.003) vereist: Windows Security Event logs met Kerberos service ticket request events (Event ID 4769), filtering op versleutelingstypen die offline kraakbare tickets aangeven (RC4, specifiek versleutelingstype 0x17), en baselineanalyse om legitieme service ticket requests te onderscheiden van aanvalspatronen. De detectielogica moet rekening houden met normaal omgevingsgedrag — een webserver die legitimaal honderden service tickets per dag aanvraagt, moet niet dezelfde melding genereren als een gebruikerswerkstation dat plotseling tickets aanvraagt voor 50 verschillende serviceaccounts.

SIEM-afstemming

De meeste SIEM-implementaties lijden aan een van twee problemen: te veel meldingen van lage kwaliteit (alert fatigue), of te weinig meldingen met kritieke lacunes in dekking. Afstemming adresseert beide. We beoordelen bestaande detectieregels, elimineren of verfijnen regels met hoge false positive rates, identificeren dekkingslacunes door detecties te mappen tegen ATT&CK, en stellen doorlopende afstemmingsprocessen vast die detectieregels behandelen als code die onderhoud vereist.

Meldingskwaliteitsmetrieken

U kunt niet verbeteren wat u niet meet. We helpen organisaties metrieken vast te stellen voor hun detectiecapaciteit:

• Precisie: Het percentage meldingen dat echte positieve beveiligingsgebeurtenissen vertegenwoordigt. Lage precisie betekent dat analysetijd wordt verspild aan het onderzoeken van false positives.
• Recall: Het percentage daadwerkelijke beveiligingsgebeurtenissen dat een melding genereert. Lage recall betekent dat dreigingen worden gemist.
• Gemiddelde Detectietijd (MTTD): Hoeveel tijd er zit tussen de actie van een aanvaller en het genereren van een melding. Lager is beter.
• Gemiddelde Reactietijd (MTTR): Hoeveel tijd er zit tussen het genereren van een melding en het afronden van de initiële responseacties. Dit meet de gecombineerde efficiëntie van detectie en operaties.

Detection-as-Code

Moderne detectie-engineering behandelt detectieregels op dezelfde manier als software engineering applicatiecode behandelt: versiebeheerd, peer-reviewed, getest en uitgerold via een CI/CD pipeline. Detection-as-code biedt: wijzigingsbijhouding (wie heeft deze regel gewijzigd en waarom), rollback-mogelijkheid, geautomatiseerd testen tegen bekende goede en bekende slechte gegevens, en consistente uitrol over omgevingen. We helpen organisaties detection-as-code pipelines te implementeren met tools zoals SIGMA-regels (een leverancier-onafhankelijk detectieregelformaat) die kunnen worden gecompileerd naar het specifieke SIEM-platform van de klant.

SIGMA-regels

SIGMA is een open standaard voor het schrijven van detectieregels in een SIEM-onafhankelijk YAML-formaat. Een enkele SIGMA-regel kan worden gecompileerd naar Splunk SPL, Elastic Query Language, Microsoft Sentinel KQL of tientallen andere platforms. Dit elimineert leveranciersafhankelijkheid voor detectiecontent, maakt het delen van detectielogica binnen de gemeenschap mogelijk en stelt organisaties in staat een enkele canonieke set detectieregels te onderhouden ongeacht hun SIEM-platform. ForgeWork ontwikkelt op maat gemaakte SIGMA-regels voor klantomgevingen en draagt bij aan de open-source SIGMA-regelrepository.

Zero Trust Architectuur

Zero Trust is een beveiligingsmodel gebaseerd op het principe dat geen enkele gebruiker, apparaat of netwerksegment inherent vertrouwd mag worden. In plaats van de traditionele castle-and-moat benadering (waarbij alles binnen de perimeter vertrouwd is), vereist Zero Trust continue verificatie van elk toegangsverzoek op basis van alle beschikbare context.

Het concept is ontstaan bij John Kindervag van Forrester Research in 2010 en is geformaliseerd door NIST in Special Publication 800-207 (Zero Trust Architecture). Het rust op drie kernprincipes:

Expliciet Verifiëren

Elk toegangsverzoek wordt geauthenticeerd en geautoriseerd op basis van alle beschikbare gegevenspunten: gebruikersidentiteit, apparaatstatus, locatie, broncriticaliteit en gedragsafwijkingen. Dit contrasteert met traditionele modellen waarbij authenticatie eenmalig plaatsvindt (bij de VPN-gateway of domeinaanmelding) en opvolgende toegang binnen de vertrouwde zone grotendeels ongecontroleerd is.

Least Privilege

Toegang wordt verleend op het minimale niveau dat nodig is voor de taak, met just-in-time (JIT) en just-enough-access (JEA) beleiden. Geprivilegieerde toegang is tijdgebonden en doelspecifiek in plaats van permanent. Dit beperkt de impactradius van gecompromitteerde credentials — als het account van een gebruiker wordt gecompromitteerd, verkrijgt de aanvaller alleen toegang tot de bronnen die die gebruiker kan bereiken, en beheerderstoegang vereist aanvullende verificatiestappen die de aanvaller mogelijk niet kan doorstaan.

Ga Uit Van Inbreuk

Ontwerp systemen en maatregelen onder de aanname dat een aanvaller al aanwezig is in de omgeving. Dit stimuleert investeringen in monitoring, anomaliedetectie, microsegmentatie en geautomatiseerde response — want als u aanneemt dat het perimeter al doorbroken is, richt u zich op het beperken van wat de aanvaller kan doen eenmaal binnen, in plaats van uitsluitend op het buiten houden.

Praktische Implementatie

Zero Trust is een strategie, geen product. Implementatie is een meerjarig traject dat doorgaans begint bij identiteit (sterke authenticatie, conditional access beleiden, privileged access management) en progressief uitbreidt naar apparaatstatusverificatie, netwerkmicrosegmentatie, applicatieniveau-toegangscontroles en gegevensclassificatie-gedreven beleiden. ForgeWork helpt organisaties een pragmatische Zero Trust routekaart te ontwikkelen die incrementele beveiligingsverbeteringen levert bij elke fase, in plaats van te wachten op een volledige transformatie die mogelijk nooit aankomt.

Cloud Security Posture

Cloudomgevingen introduceren een fundamenteel ander beveiligingsmodel. Het shared responsibility model betekent dat de cloudprovider de infrastructuur beveiligt, maar de klant verantwoordelijk is voor het beveiligen van hun configuraties, gegevens, toegangsbeleiden en workloads. Misverstand over deze grens is de oorzaak van de meeste cloudbeveiligingsincidenten.

Cloud Security Posture Management (CSPM)

CSPM-tools monitoren continu cloudconfiguraties tegen beveiligingsbaselines en compliance-frameworks. We helpen organisaties CSPM-oplossingen te implementeren en af te stemmen, herstelworkflows voor bevindingen vast te stellen en de organisatorische processen op te bouwen om bij te blijven met het tempo van configuratiewijzigingen in cloudomgevingen. Zonder CSPM kunnen cloudmisconfiguraties maandenlang voortbestaan voordat ze worden ontdekt — als ze al worden ontdekt voordat een aanvaller ze vindt.

IAM Review

Cloud IAM is het meest kritieke en meest complexe onderdeel van cloudbeveiliging. We beoordelen IAM-beleiden op te permissieve toegang, analyseren cross-account toegangspatronen, identificeren slapende en weesrollen, evalueren service-linked roles en hun machtigingen, en beoordelen het gebruik van tijdelijke credentials versus langlevende toegangssleutels. Een enkel te permissief IAM-beleid kan elke andere beveiligingsmaatregel in de cloudomgeving tenietdoen.

Versleuteling en Gegevensbescherming

We beoordelen versleutelingsimplementaties voor gegevens in rust (opslag, databases, back-ups) en in transit (TLS-configuraties, certificaatbeheer, intern verkeer versleuteling). We evalueren sleutelbeheerprocessen — wie heeft toegang tot versleutelingssleutels, hoe worden ze geroteerd, zijn ze veilig opgeslagen — en identificeren gegevensopslagplaatsen die passende versleuteling of toegangscontroles missen.

Logging en Monitoring

Cloudomgevingen genereren uitgebreide audittrails — CloudTrail in AWS, Activity Log in Azure, Cloud Audit Logs in GCP — maar veel organisaties slagen er niet in alle relevante logbronnen in te schakelen, logs voor een adequate retentieperiode op te slaan, of ze daadwerkelijk te monitoren op beveiligingsgebeurtenissen. We beoordelen loggingconfiguratie, zorgen ervoor dat kritieke gebeurtenissen worden vastgelegd en doorgestuurd naar het SIEM, en bouwen detectieregels specifiek voor cloudaanvalstechnieken.

Container- en Serverless-beveiliging

Containeromgevingen (Docker, Kubernetes) en serverless platforms (Lambda, Azure Functions, Cloud Functions) introduceren unieke beveiligingsoverwegingen: image-kwetsbaarheidsbeheer, runtime-bescherming, secrets management, netwerkbeleidafdwinging en het uitgebreide aanvalsoppervlak dat door container-orchestratie API's wordt gecreëerd. We beoordelen containerbeveiligingsconfiguraties, evalueren Kubernetes RBAC-beleiden, beoordelen image scanning en admission control pipelines, en testen serverless functieconfiguraties op veelvoorkomende kwetsbaarheden.

Ons Leveringsmodel

Security engineering opdrachten volgen een gestructureerd leveringsmodel dat is ontworpen om blijvende verbeteringen te produceren — niet alleen een rapport dat beschrijft wat er moet worden gedaan, maar daadwerkelijke implementatie en kennisoverdracht die het team van de klant bekwamer achterlaat.

Beoordelingsfase

We beginnen met het begrijpen van de huidige staat: het beoordelen van bestaande architectuur, configuraties en documentatie; het interviewen van belangrijk technisch personeel; en het in kaart brengen van de beveiligingshouding van de omgeving tegen relevante frameworks en benchmarks. Deze fase levert een gedetailleerd beoordelingsrapport op met geprioriteerde bevindingen en aanbevelingen.

Ontwerpfase

Op basis van beoordelingsbevindingen en de prioriteiten van de klant ontwerpen we oplossingen die de geïdentificeerde lacunes adresseren. Ontwerpwerk omvat: architectuurdiagrammen, configuratiespecificaties, implementatieplannen en — cruciaal — een duidelijke definitie van succescriteria die zullen worden gebruikt om de implementatie te valideren. Ontwerpdocumenten worden beoordeeld met het technische team van de klant voordat de implementatie begint, om afstemming te waarborgen en eventuele operationele beperkingen vroegtijdig te signaleren.

Implementatie

We implementeren de ontworpen oplossingen in de omgeving van de klant, werkend naast hun technisch team. Voor wijzigingen met hoog risico (netwerksegmentatiewijzigingen, identiteitsinfrastructuurwijzigingen, detectieregeluitrol) volgen we een gefaseerde aanpak: eerst implementeren in monitoringmodus, gedrag valideren, daarna afdwingen. Deze aanpak minimaliseert operationele verstoring terwijl wordt gewaarborgd dat beveiligingsverbeteringen effectief zijn.

Kennisoverdracht

Elke engineering-opdracht omvat speciale kennisoverdrachtsessies waarbij we het team van de klant door alles heen lopen wat is geïmplementeerd, waarom het op die manier is geïmplementeerd, hoe het te onderhouden en hoe het uit te breiden naarmate de omgeving evolueert. We bieden draaiboeken voor doorlopende operaties en troubleshooting-handleidingen voor veelvoorkomende problemen. Het doel is dat het team van de klant de nieuwe mogelijkheden zelfstandig kan beheren en bedienen nadat de opdracht eindigt.

Documentatie

Al het werk wordt gedocumenteerd: architectuurbeslissingen, configuratiewijzigingen, detectieregellogica, operationele procedures en onderhoudsvereisten. Documentatie wordt opgeleverd in het formaat van voorkeur van de klant en geïntegreerd in hun bestaande documentatiesystemen. Goede documentatie is het verschil tussen een beveiligingsverbetering die blijft en een die afbrokkelt op het moment dat het adviesteam vertrekt.

Gerelateerde Bronnen

• Dreigingsevaluatie & Penetratietesten — Identificeer lacunes voordat u oplossingen engineert.
• ForgeWork Inzichten — Technische artikelen over security engineering onderwerpen.