Naar een holistische benadering van cybersecurity

De digitale transformatie van organisaties heeft in 2017 een hoge vlucht genomen. De verandering die dat met zich meebrengt, heeft grote gevolgen. Niet alleen voor de organisaties die er actief mee bezig zijn, maar ook voor de maatschappij als geheel. De groeiende afhankelijkheid van data en digitale oplossingen maakt ons kwetsbaar.

2017 was een jaar waarin we het aantal spraakmakende cybersecurity incidenten opnieuw hebben zien stijgen. Denk aan de ransomware golven rond Wannacry en de Petya-familie, maar ook aan een duizelingwekkende lijst met bedrijven die dit jaar grote hoeveelheden gevoelige gegevens zagen weglekken. Xbox, Playstation, Equifax, Kmart, Verizon, Deloitte, diverse Nederlandse ziekenhuizen, de ANWB... In de eerste drie kwartalen van 2017 kreeg alleen de Nederlandse Autoriteit Persoonsgegevens al 6.184 meldingen van datalekken binnen en werd meer dan 500 keer een onderzoek opgestart. Via de Vault7 dump van Wikileaks werd dit jaar duidelijk dat zelfs de CIA zijn eigen spionageactiviteiten en hacking tools niet uit handen van hackers wist te houden.

Groeiende kwetsbaarheid

0009__MGL9830-300x200 De waarde van data is door de digitale transformatie toegenomen. Data-analyse en Artificial Intelligence brengen nieuwe mogelijkheden, maar maken ook dat we extra waakzaam moeten zijn op de integriteit en de kwetsbaarheid van de gegevens waarop we die nieuwe kansen baseren.

De roep om snelheid en flexibiliteit klinkt steeds luider, en security wordt daardoor gemakkelijk uit het oog verloren. We zien hoe steeds meer operationele omgevingen digitale componenten krijgen (het Industrial IoT), waardoor nieuwe bedrijfsonderdelen - die voorheen onkwetsbaar leken voor aanvallen uit cyberspace - nu plotseling onder vuur komen te liggen.

We zien hoe nationaal en internationaal gezocht wordt naar manieren om cybersecurity te reguleren, wat leidt tot nieuwe verplichtingen en onzekerheden waar organisaties rekening mee moeten houden. En tot slot zien we een groeiende noodzaak om samen te werken en de eigen infrastructuur op een of andere manier te ontsluiten voor andere organisaties, met andere systemen en oplossingen, in andere delen van de wereld.

Het grootste deel van deze veranderingen is bovendien niet van tijdelijke aard, maar structureel, en vraagt om een nieuwe kijk op cybersecurity. Dit zijn de acht belangrijkste aanbevelingen voor 2018:

  1. Manage je kwetsbaarheid

Als in IT-systemen een kwetsbaarheid ontdekt wordt, duurt het (volgens het WhiteHat Web Security Statistics Report 2016) op dit moment gemiddeld 30 dagen voor iemand een manier ontwikkelt om het te misbruiken. De tijd die de gemiddelde organisatie nodig heeft om dergelijke bekende gaten in hun systemen te dichten is 245 dagen... Vulnerability management wordt dan ook een van de belangrijkste pijlers onder een solide veiligheidsbeleid.

  1. Voorkom dat je verzuipt

Alarm slaan is niet moeilijk. Er zijn aardig wat systemen op de markt die iedere afwijking van normale gebruikspatronen direct signaleren. Gemiddeld leidt dat tot 18% - 40% zogenaamde false positives. Een systeem dat zorgvuldig is afgestemd op de organisatie, kan het aantal false positives terugbrengen naar hooguit 5%. Een goed geleid security team weet bovendien direct prioriteiten te leggen door een juiste inschatting te maken van de potentiële impact op de business. Uiteindelijk gaat het er niet om hoe snel iemand alarm slaat - het gaat erom zo snel mogelijk adequaat te reageren, zodat de impact op de business minimaal blijft.

  1. Denk om je mensen

Cybersecurity is een samenspel van technologie en tools, processen en methoden, en menselijke kennis en ervaring. Met name het belang van de menselijke component wordt hierin te vaak onderschat. Alle vorderingen op het gebied van AI ten spijt, blijft technologie een tool die afhankelijk is van de mens die hem op de juiste manier weet in te zetten. Dat betekent ook dat de strijd om getalenteerde cybersecurityspecialisten de komende jaren steeds heviger zal worden. Een organisatie die in de nieuwe digitale wereld veilig wil zijn, zal bijzonder zuinig moeten zijn op de talenten waarover het kan beschikken.

  1. Gebruik de technologie

Hoewel menselijk inzicht en expertise de kern vormen van een succesvol beveiligingsbeleid, is de realiteit ook dat de hoeveelheid informatie die op securityspecialisten afkomt extreem groot is en sterk zal blijven groeien. Essentieel is dan ook gebruik te maken van intelligente tools zoals gedragsanalyse, Machine Learning en AI. Enerzijds om voorspelbare en herkenbare incidenten snel af te handelen en zo het aantal meldingen te reduceren tot de voornaamste dreigingen die om menselijke aandacht vragen. Anderzijds om nieuwe dreigingen te signaleren die mogelijk nog niet op het netvlies staan van de menselijke specialisten.

Belangrijk is technologie te blijven zien als een tool: een middel dat specialisten helpt hun taken beter uit te voeren - maar die net zo goed ook door de vijand wordt gebruikt en bestudeerd. Dat maakt dat zelfs de beste tools voorlopig nog kwetsbaar zullen blijven voor misbruik en manipulatie en dat menselijke intelligentie en communicatie de uiteindelijke regie moeten blijven voeren.

  1. Controleer de cloud

De apparatuur waarop public clouds draaien is in veruit de meeste gevallen vele malen beter beschermd dan wat de meeste organisaties ooit on-premise zouden kunnen realiseren. Maar dat is niet het hele verhaal. Met geroofde accountgegevens, via Shadow IT of zelfs door moedwillig misbruik, kan data in de cloud nog steeds gecompromitteerd raken. Cloud computing is goed, maar om het werkelijk veilig te krijgen, moeten organisaties zorgen dat ze beter inzicht krijgen in wat er met hun data in de cloud gebeurt.

  1. Let op de Operationele Technologie

Steeds meer voorheen domme apparatuur, van wissels tot radarsystemen en productielijnen, wordt uitgerust met sensoren en een internetverbinding. Naast de evidente voordelen die dat oplevert, betekent het ook dat deze apparatuur bereikbaar - en kwetsbaar - wordt voor aanvallen vanuit cyberspace. Dit is een nieuwe ontwikkeling waar organisaties vaak onvoldoende op verdacht zijn, maar waar snel specifieke aandacht voor moet komen.

  1. Wees waakzaam - ken je vijand

Voor een goede verdediging is het essentieel te weten wie de vijand is. Threat Intelligence is erop gericht een zo goed mogelijk beeld te vormen van de dreigingen waarmee een organisatie te maken kan krijgen, zodat aanvallen snel worden herkend en afgeslagen. Dit betekent ook dat actief informatie moet worden uitgewisseld met interne en externe partners om de activiteiten van de voornaamste tegenstanders nauwlettend in het oog te houden.

  1. Start een SOC

Security Operation Centers (SOCs) worden nog veel gezien als een luxe die voorbehouden is aan grote organisaties met specifieke veiligheidseisen. Maar in het nieuwe securitybeleid waar we naartoe moeten, is duidelijk behoefte aan één plaats in de organisatie waar alle componenten van een securitystrategie samenkomen. Dat geldt voor alle punten die hierboven al zijn genoemd, maar bijvoorbeeld ook voor governance, risk management en compliance (GRC). Om de steeds complexere en permanent veranderlijke dreiging de baas te blijven, moet iedere organisatie op zoek naar een centrale plaats waar gespecialiseerd personeel alle security operations coördineert.

René van Buuren is directeur Cybersecurity bij Thales Nederland

Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.

Onderzoek WatchGuard: sterke stijging evasive malware

Onderzoek WatchGuard: sterke stijging evasive malware

Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.