Op een maandagochtend valt de IP-telefonie uit op een externe site gedurende twee uur. De leverancier diagnosticeert een verzadigde switch, drie jaar eerder geïnstalleerd zonder documentatie. Dit soort storingen, vaak te voorkomen, illustreert hoezeer een IT-netwerk audit niet alleen bestaat uit het afvinken van vakjes: we zoeken naar de blinde vlekken die het dagelijks leven uiteindelijk verbergt.
Shadow IT en niet-geïnventariseerde apparatuur: het echte startpunt van een netwerk audit
Artikelen over netwerk audits beginnen vaak met de definitie van de scope. In de praktijk beweegt de scope voortdurend. IP-camera’s aangesloten door de onderhoudsdienst, een Wi-Fi toegangspunt toegevoegd in een open space, een persoonlijke NAS verbonden met het kantoor VLAN: deze “shadow IT” apparatuur ontsnapt aan de officiële inventaris.
Verder lezen : De ontwikkeling van professionele vaardigheden: een troef voor uw carrière
Voordat we zelfs maar een kwetsbaarhedenscan starten, besparen we tijd door een fysieke en logische scan van alle actieve poorten uit te voeren. Dit betekent het doorlopen van de patchkasten, het vastleggen van de werkelijke verbindingen en deze vergelijken met de ARP-tabellen en DHCP-logs. Het verschil tussen de twee lijsten geeft de omvang van de aanwezige shadow IT op het netwerk aan.
Deze ontdekkingsfase is des te kritischer omdat hybride omgevingen (fysieke sites, cloud, telewerken) de toegangspunten vermenigvuldigen. Sinds 2023 tonen de ervaringen een significante stijging van incidenten gerelateerd aan niet-geïnventariseerde IoT-apparatuur. We kunnen de IT-netwerk audit met E-novateur verdiepen om deze fase van initiële mapping te structureren.
Aanvullende lectuur : De duur van een audit optimaliseren: hoe lang voor een middelgroot bedrijf?
Mapping van inter-site en multi-cloud stromen: een vaak verwaarloosde stap
De meeste netwerk audits documenteren het LAN correct. De stromen tussen externe sites, tussen het datacenter en cloudleveranciers, of tussen twee verschillende cloudomgevingen, worden veel minder vaak in kaart gebracht.
Het in kaart brengen van inter-cloud stromen voordat de beveiliging wordt getest voorkomt dat aan het einde van de audit blijkt dat een site-to-site VPN-tunnel nog steeds verouderde encryptie gebruikt, of dat een directe peering tussen twee cloudproviders door geen enkele sensor wordt gecontroleerd.
Wat de mapping concreet moet dekken
- De WAN en SD-WAN verbindingen tussen elke site, met de gemeten werkelijke doorvoersnelheden (niet alleen de contractuele doorvoersnelheden)
- De applicatiestromen naar kritieke SaaS-diensten (e-mail, ERP, telefonie), waarbij de routeringspaden en de internetuitgangspunten worden geïdentificeerd
- De cloud-to-cloud en cloud-to-on-premise interconnecties, met verificatie van de segmentatieregels en de filteringbeleid die op elke gateway zijn toegepast
Tools zoals NDR (Network Detection and Response) of SASE-platforms bieden deze zichtbaarheid. Het hangt af van de installatie: een eenmalige PME met één cloudtenant heeft niet dezelfde tooling nodig als een multi-site groep.
Netwerk audit en NIS2-naleving: wat de richtlijn in de praktijk verandert
De Europese richtlijn NIS2, waarvan de nationale omzetting vanaf 2024 is gestart, verplicht entiteiten die als “essentieel” of “belangrijk” zijn geclassificeerd om een regelmatige monitoring van hun netwerken met traceerbaarheid van audits aan te tonen. Concreet betekent dit dat een eenmalige audit die eens in de drie jaar wordt uitgevoerd niet langer voldoende is.
NIS2 vereist gedocumenteerde actieplannen na elke audit, met opvolging van de remediaties. Voor een bedrijf dat zijn eerste audit uitvoert, is het belangrijk om een bruikbaar document te produceren voor zowel het management als het technische team.
Structureren van het rapport om aan de wettelijke vereisten te voldoen
Het auditrapport moet minimaal drie verschillende elementen bevatten:
- Een actuele inventaris van netwerkactiva (hardware, software, configuraties), gedateerd en ondertekend
- Een matrix van de geïdentificeerde kwetsbaarheden, geclassificeerd op ernst, met voor elke kwetsbaarheid de bijbehorende technische aanbeveling en een voorgestelde termijn voor correctie
- Een geprioriteerd remediationplan, goedgekeurd door een aangewezen verantwoordelijke, met kwartaalgewijze opvolgingsmijlpalen
Deze formaliteit kan zwaar lijken voor een PME. Een kort en uitvoerbaar document is beter dan een rapport van 80 pagina’s dat nooit wordt gelezen. We raden aan om de beslissingssamenvatting (maximaal twee pagina’s, bestemd voor het management) te scheiden van de technische details (bijlagen gestructureerd per type apparatuur).
Netwerksegmentatietests: controleren wat de firewall daadwerkelijk doorlaat
Het configureren van VLAN’s en filteringregels garandeert niets als niemand de werkelijke effectiviteit ervan controleert. Regelmatig worden “any-any” regels achtergelaten na een migratie, of tijdelijke uitzonderingen die permanent zijn geworden.
Het testen van de segmentatie houdt in dat we een laterale beweging simuleren van een standaard gebruikersstation naar de gevoelige subnetten (servers, administratie, IoT). Als een station van het kantoor VLAN toegang heeft tot de managementinterface van een core switch, is de segmentatie mislukt, ongeacht het gedocumenteerde beleid.
Deze test wordt uitgevoerd met eenvoudige tools (Nmap, Netcat) of met geautomatiseerde pentest-oplossingen. Het doel is niet om een rapport te produceren van honderden gescande poorten, maar om voor elke zone een binaire vraag te beantwoorden: werkt de isolatie of niet.
Prioriteren van correcties na de tests
Niet alle segmentatiefouten hebben dezelfde impact. Een open communicatie tussen het printer VLAN en het bestandserver VLAN vormt een gematigd risico. Toegang van het gast Wi-Fi netwerk naar het administratienetwerk vertegenwoordigt een kritieke kwetsbaarheid die prioriteit moet krijgen.
De klassieke val is om alles gelijktijdig te willen corrigeren. Hierdoor worden legitieme stromen geblokkeerd en ontstaan er cascade-incidenttickets. De meest betrouwbare volgorde: eerst de toegang tot het netwerkbeheer corrigeren, dan de stromen naar gevoelige gegevens, en tenslotte de secundaire inter-VLAN-communicaties.
Een succesvolle netwerk audit wordt niet gemeten aan het aantal pagina’s van het rapport, maar aan het aantal correcties dat drie maanden later daadwerkelijk is toegepast. Het meest nuttige document blijft een opvolgingstabel die gedeeld wordt tussen de IT-afdeling en het management, bijgewerkt bij elke mijlpaal, met een duidelijke status voor elke geïdentificeerde kwetsbaarheid.