‘Een predictive securitybeleid kan niet langer zonder een gespecialiseerde partner’

Cybercriminaliteit loont. Volgens de Amerikaanse FBI gaat er in deze tak van criminaliteit meer om dan in de wereldwijde georganiseerde drugshandel. Cybercrimininaliteit is een industrie geworden met diepe zakken, eigen research & development-activiteiten en een professionalisering die niet onder doet voor het reguliere bedrijfsleven. Al met al voldoende reden voor elke organisatie om maatregelen te nemen die de risico’s van een succesvolle aanval op IT-systemen verminderen. Daarbij lopen zij echter tegen steeds grotere problemen aan, die volgens Stefaan Hinderyckx, Senior Vice President Security bij NTT Ltd. en Charles Bovy, Director Managed Security Services Presales bij NTT Ltd. wel oplosbaar zijn.

Het eerste grote probleem waar een organisatie tegenaan loopt is wat in de branche de skills-gap wordt genoemd. Hinderyckx: “Analisten komen uit op verschillende schattingen, maar duidelijk is dat er een enorm tekort ontstaat aan gekwalificeerde security-specialisten. Wereldwijd gaat het volgens certificeringsorganisatie (ISC)2 om 1,8 miljoen vacatures op dit gebied in 2022. Voor Europa zou dat ongeveer uitkomen op 400.000 mensen en in Nederland op circa 30.000 onvervulbare vacatures.”

“De oorzaken hiervan zijn divers. Security heeft kennelijk minder aantrekkingskracht dan applicatie­ontwikkeling, machine learning of artificial intelligence. Daarnaast weet de technologiebranche nog steeds te weinig vrouwen te interesseren voor een loopbaan in de branche, wat de tekorten vergroot.”

Complexiteit

Een tweede probleem voor een solide security-beleid is de toenemende complexiteit van IT-omgevingen en de daarbij behorende security-oplossingen. Bovy: “Deze complexiteit vraagt van organisaties steeds diepere en bredere kennis die ze zelf alleen met veel moeite kunnen bijhouden. Het gevaar is groot dat je snel achterloopt omdat de IT-afdeling niet het volume heeft om alle ontwikkelingen goed te volgen. Het is al lastig genoeg om mensen te vinden en te houden, laat staan om ze continu op te leiden zodat ze goed op de hoogte zijn van de laatste bedreigingen. En omdat cybercriminelen geen kantooruren aanhouden, neemt de vraag naar 24x7 monitoring toe, wat de skills-gap en het beroep op een kleine groep binnen de eigen organisatie alleen nog maar vergroot.”

Zelf doen of uitbesteden?

Naast de skills-gap en de complexiteit is er nog het eenvoudige gegeven dat het aantal dreigingen sterk toeneemt. En elke organisatie is een potentieel slachtoffer. Sommigen proberen deze problematiek zelf op te lossen door zoveel mogelijk security-processen te automatiseren. Een prima stap volgens Hinderyckx en Bovy, maar wel een met beperkingen. “Want je zult altijd mensen nodig hebben om alerts te interpreteren en de juiste methodiek voor remediation te vinden. Automatisering is nodig en helpt zeker, maar is op zich onvoldoende om alle problemen op te lossen.” Daarom kiezen steeds meer bedrijven voor het uitbesteden van security-activiteiten aan gespecialiseerde bedrijven, zoals NTT. Dat begint volgens Hinderyckx en Bovy vaak klein met het uitbesteden van routinematige activiteiten zoals regulier device-management of patching. Maar de laatste tijd ziet NTT een uitbreiding naar nieuwe diensten zoals threat detection en response.

Hoe vind je de juiste partij?

Met zo’n 3.500 verschillende fabrikanten die security-oplossingen verkopen en honderden leveranciers van managed security services kan het voor organisaties lastig zijn om de juiste selectie te maken. Hinderyckx en Bovy wijzen erop dat het leveren van deze diensten meer is dan het in gebruik hebben of beschikbaar stellen van enkele standaard security-oplossingen.

“De kans is groot dat een groep criminelen deze software even goed gebruikt en kent en dus weet waar eventuele zwakheden zitten. NTT kiest als aanbieder van managed security services voor een andere aanpak: wij gebruiken weliswaar oplossingen van derden, maar combineren die met veel eigen research en development. Zo hebben we in eigen huis technologie ontwikkeld, waarmee we enorme hoeveelheden dataverkeer kunnen analyseren op verdachte zaken. Daarmee vinden we twee tot drie keer meer zogenaamde indications of compromise dan concurrerende oplossingen. Wij profiteren in dit verband onder meer van het feit dat NTT een tier 1-ISP is. Zo’n veertig procent van het internetverkeer gaat via onze backbone en daardoor beschikken we over heel veel data die nuttig is om analyses uit te voeren. Overal in de security-branche wordt geschermd met artificial intelligence en machine learning, maar er zijn maar weinig partijen die over voldoende datasets beschikken om er ook daadwerkelijk iets mee te doen.”

Schaalgrootte

Bovy voegt daar aan toe dat schaal­grootte ook een factor van belang is bij het leveren van managed security services. “Er is een duidelijk verschil tussen een lokale of regionale speler en een wereldwijde partij als NTT met 2.500 security-specialisten wereldwijd, waarvan 600 in Europa. Doordat we met een groot team werken en zo veel verschillende klanten bedienen, bouwen we enorm veel kennis op waarvan elke individuele medewerker en elke klant profiteert. Hierdoor zijn we ook een aantrekkelijke werkgever. Wij kunnen gemakkelijker talent aantrekken omdat we op elk moment interessant werk kunnen bieden en er bij ons verschillende groeimogelijkheden zijn. Dat is voor veel individuele organisaties moeilijk te realiseren.”

Predictive security

Voor NTT moet security predictive zijn. Hinderyckx en Bovy noemen als voorbeeld de WannaCry-ransomware die in mei 2017 meer dan 230.000 computers in 150 landen besmette. “Onze eigen technologie had deze ransomware al in de vroege ochtend in het vizier en wij konden klanten vroeg­tijdig op de hoogte brengen dat ze zich moesten wapenen tegen deze aanval. Een ander voorbeeld is het op basis van analyses voorspellen van de locatie van nodes met command-en-control-servers voor DDoS-aanvallen, zodat ze te voorkomen zijn.”

Risicomanagement

Bovy benadrukt dat security uiteindelijk een kwestie is van goed risico­management. “Elke organisatie weegt regelmatig zijn risico’s. Inmiddels is duidelijk dat van de top vijf risico’s van een organisatie drie gerelateerd zijn aan security. Dat betekent dat beveiliging hoog op de agenda hoort te staan.
En dat de ‘cost of doing nothing’ altijd hoger is dan investeren in goede dienstverlening. Een predictive security-beleid kan in dat verband niet zonder een gespecialiseerde partner.”