ITExpert Effectieve cyber security Organisaties die vertrouwen op hun traditionele beveil iging, worden gehackt De meeste bedrijven gebruiken verouderde technieken om zich te beschermen tegen cybercriminaliteit. Er is een actieve, flexibele aanpak nodig, zeggen Stas Verberkt en Mark van Beek. Een effectieve beveiliging vereist meebewegende verdedigingslinies, een goed overzicht van het strijdveld en verplaatsing in de beweegredenen van de aanvallers. door: Stas Verberkt & Mark van Beek beeld: marc Kolle B edrijven voelen de toenemende druk van cyberbedreigingen die almaar geavanceerder worden. De verdediging van de meeste organisaties is hier nauwelijks tegen opgewassen. De compliance die ze nastreven maakt gebruik van achterhaalde verdedigingstechnieken. Puur preventieve beveiliging is allang niet meer effectief in een wereld waar verstoppen achter kasteelmuren geen optie is. Om te kunnen overleven in de modern zakelijke omgeving, is actieve cybersecurity van groot belang. Daarbij bouwt men een adaptieve beveiliging, die ziet wat om de organisatie heen gebeurt en meebeweegt met de aanvallen die zij te verduren krijgt. Het opbouwen van kasteelmuren en enkelzijdige verdediging maakt hierin plaats voor een flexibele aanpak om de kroonjuwelen zo snel en effectief mogelijk te verdedigen. Zo’n actieve beveiligingsstrategie vereist niet alleen diepgaande kennis van een organisatie, maar ook van de juiste investeringsgebieden. Op die manier ontstaan de meest effectieve verdedigingswerken tegen de meest onvoorspelbare aanvallen van buitenaf. Het bedrijfsleven verliest momenteel de strijd van cyber-aanvallers. Uit recent onderzoek van Verizon blijkt dat 66 procent van alle Blauwdruk 24 Voor reacties en nieuwe bijdragen van IT-experts: Henk Ester, 070 3046812 h.ester@ automatiseringgids.nl Om effectief te kunnen investeren in cybersecurity kan men een investeringsblauwdruk maken. Hierbij wordt eerst op hoog niveau een analyse gemaakt van de volwassenheid van de verschillende delen van de cybersecurityfunctie in een organisatie. Dit valt te doen in workshops met de belangrijkste beveiligingsexperts binnen de organisatie. Door daarna te kijken naar het risicoprofiel van de organisatie kan ook de relevantie van de verschillende functies voor het bedrijf worden bepaald. Zodra men inzicht heeft in de volwassenheid van de onderdelen van de verdedigingslinie gecombineerd met de relevantie van en kennis over de implementatie- en beheerkosten, kunnen de investeringsgebieden voor een effectieve cybersecurity snel worden aangewezen. Een dergelijke analyse is het startpunt voor het opbouwen van een investerings- en projectplan voor een beveiligingsorganisatie. aanvallen pas maanden later wordt ontdekt en dat dit alleen maar erger wordt. Ondertussen is het voor een aanvaller in 84 procent van de gevallen slechts een kwestie van uren om confidentiële informatie te stelen wanneer hij is doorgebroken. Daar bovenop komt dat in minder dan 25 procent van de gevallen een lek na ontdekking binnen een dag gerepareerd is. De aandacht gaat vaak naar compliance, terwijl de standaarden en frameworks gebaseerd zijn op de bedreigingen van een week geleden en meer voortkomen uit regelgeving dan risicoanalyse. Het is dan ook niet vreemd dat het Information Security Forum waarschuwt voor een disproportionele focus op regulering, zoals privacywetgeving, ten koste van de beveiliging van de waardevolste bezittingen. Het structurele probleem wordt pijnlijk zichtbaar in een recente studie van FireEye: 97 procent van de organisaties die vertrouwt op enkel traditionele beveiliging, is gehackt. De traditionele beveiliging van hoge muren, beperkt overzicht van het strijdveld en geen inzicht in de beweegredenen van aanvallers is volledig achterhaald. Effectieve beveiliging vereist meebewegende verdedigingslinies, goed overzicht van het strijdveld en verplaatsing in de beweegredenen van de aanvallers. Door te investeren in een actieve beveiligingsstrategie is een bedrijf in staat om daar te verdedigen waar het nodig is en te overleven in de moderne zakelijke wereld. Moderne verdediging Een sterke beveiliging begint met ‘awareness’ van de omgeving. ‘Security monitoring’ geeft inzage in wat op het netwerk gebeurt. Door dit met Big Data-technologieën te combineren wordt het mogelijk incidenten op te pikken en te prioriteren. Na inzage komt actie. Zodra een incident wordt ontdekt, dient een reactie als een reflex te volgen. Effectieve processen en goed opgeleide professionals maken hier het verschil. Goed inzicht in incidenten, zwakheden en bedreigingen heeft immers geen toegevoegde waarde als er niet gereageerd kan worden als dat nodig is. Daarbij valt gebruik te maken van adaptieve beveiliging om automatisch te leren en te reageren op incidenten. ‘Threat intelligence’ geeft inzage in bedreigingen in de buitenwereld met behulp van informatie vanuit derde bronnen, zoals securitybedrijven en samenwerkingsverbanden. Dit levert een weerbericht op van bedreigingen die in de buitenwereld spelen. Om vervolgens het beeld helemaal volledig te krijgen wordt ‘Vulnerability management’ gebruikt om de zwakheden in de organisatie op te sporen en op de voet te volgen. Bijkomend voordeel is dat het uitrollen van security patches ook vergemakkelijkt wordt. Een van de kroonstukken van de moderne cybersecurity is ‘Exploratory analytics’. Hierbij worden Big Data-technologieën ingezet om nieuwe indicatoren van incidenten op te sporen in de historische logboeken. Exploratory analytics zorgt dat verdachte acties opvallen en kunnen in het verleden gemiste incidenten alsnog worden gezien of in hun bredere context worden begrepen. Om de gehele cybersecurityorganisatie tot een succes te maken is investering in de integratie en inbedding in de processen van groot belang. Uiteindelijk moeten alle delen van de organisatie goed samenwerken om het maximale resultaat te boeken. Zonder een goede taakverdeling, de juiste kennis en heldere processen is cybersecurity een onbegonnen strijd. Tekort experts Hoewel de noodzaak van een goede beveiliging bij de meeste organisaties diep is doorgedrongen, blijft de overgang van traditionele beveiligingsmodellen naar een succesvolle cybersecurityfunctie Onderdelen cybersecurityfunctie Een moderne verdedigingslinie kent de volgende onderdelen: 1. Security monitoring Inzage in alle beveiliginggerelateerde activiteiten op het netwerk. 2. Incident management Reactie op en management van incidenten. 3. Active defense Geautomatiseerde en zelflerende omgang met incidenten. 4. Threat intelligence Inzicht in bedreigingen die zich in de buitenwereld manifesteren. 5. Vulnerability management Management van de zwakheden in het eigen netwerk. 6. Exploratory security analytics Analyse van historische informatie om patronen en verdachte acties op te sporen. Daarnaast bestaan ondersteunende onderdelen, die ervoor zorgen dat het beveiligingsapparaat goed kan werken. Hierbij valt te denken aan de governancestructuur, de volwassenheid van het IT-management en inzage in de IT-bezittingen. vaak uit. De belangrijkste oorzaken die hieraan ten grondslag liggen zijn het tekort aan experts, de immer achtervolgende legacy in de IT-infrastructuur en onvoldoende strategische investeringen in cybersecurity. De grootste uitdaging voor een sterke verdediging is het vinden van de juiste kennis. De markt kan de snel groeiende vraag naar securityprofessionals maar moeilijk bijbenen. Het is om deze reden belangrijk dat organisaties hun cybersecurity effectief inrichten en gebruik maken van technologie die het werk vergemakkelijkt. Zo kan het opzetten van heldere incident-responseprocessen in combinatie met security monitoring tooling die de incidenten filtert, van context voorziet en helder visualiseert, het werk sterk vergemakkelijken. Dat zorgt ervoor dat met de schaarse groep experts de beveiliging toch in tact gehouden kan worden. Waar men in de IT ook gaat, legacy blijft een van de grootste veroorzakers van kopzorgen. Zo is het in de industriële IT niet bijzonder als beheersystemen nog op Windows XP draaien. In deze landschappen is het belangrijk om in ieder geval een goed overzicht te hebben van de eigendommen, IT-systemen inclusief hun zwakheden, en de acties die worden uitgevoerd. Binnen de cybersecuritywereld betekent dit dat Security monitoring, Incident response en Vulnerability management een grote rol spelen. Natuurlijk komt daarbovenop de noodzaak van een gelaagde beveiliging om de kwetsbare componenten heen en een doelgericht plan om van de zwakke plekken af te komen, wanneer deze te dicht op de kroonjuwelen of kritieke processen liggen. Tot slot schort het organisaties vaak aan een strategisch investeringsplan in cybersecurity. Door een gebrek aan een cybersecuritystrategie, vallen de losse componenten niet goed in elkaar. Daarnaast is de kans groot dat het schaarse budget onevenredig wordt verdeeld, waardoor het eindresultaat te wensen overlaat. De oplossing is het maken van een cybersecuritystrategie en een bijbehorende investeringsblauwdruk, passend bij het risicoprofiel van de organisatie en de volwassenheid van de bestaande beveiliging. Het risicoprofiel van een organisatie laat zich daarin niet alleen bepalen door de waarde van haar kroonjuwelen en kritieke processen, maar ook door de dreiging die zij ondervindt. Zo wordt niet alleen naar de economische motivatie van de verdediging gekeken, maar ook naar die van de aanvallers. » Stas Verberkt ([email protected]) en Mark van Beek werken als adviseurs bij Accenture Security Consulting. 25