4 tips voor proactieve dreigingsdetectie en -respons

bitdefender_white_red

 

Het blijft lastig voor organisaties om af te stappen van een reactieve aanpak van dreigingsdetectie en respons. De volgende vier tips kunnen beveiligingsprofessionals helpen om een proactieve benadering te omarmen.

Tip 1: Gebruik dreigingsinformatie als uitgangspunt in plaats van technologie

Security-teams richten hun focus maar al te vaak op beveiligingstechnologie, zonder haarscherp beeld wat die technologie nu precies moet bieden. We zijn allemaal op zoek naar een beveiligingstool die als wondermiddel kan dienen, maar een universele aanpak is geen haalbare kaart. Dat komt omdat elke organisatie uniek is. Dat geldt voor de sector waarin zij actief zijn, hun bedrijfsprocessen, hun IT-omgeving en de data die zij moeten beschermen. En ook de type kwetsbaarheden, dreigingen en cybercriminelen zijn voor elke organisatie weer anders.

De valkuil voor veel beveiligingsprofessionals, is dat ze tools aanschaffen nog voordat ze de voor hun organisatie relevante cyberdreigingen in kaart hebben gebracht. Dit resulteert in een overdaad aan complexiteit. Beveiligingsprofessionals doen er dan ook beter aan om het unieke risicoprofiel van hun organisatie beter te leren begrijpen. Vervolgens moeten ze maatregelen treffen die het mogelijk maken om strategische informatie in te zetten voor de detectie van bedrijfsspecifieke dreigingen.

Als bijvoorbeeld bekend is dat de organisatie een doelwit vormt van de Chinese staatshackersgroep APT-40, die over geavanceerde phishing- en spear phishing-mogelijkheden beschikt, loont het de moeite om te investeren in oplossingen die tot in het kleinste detail afwijkende patronen kunnen detecteren. Dit maakt het mogelijk om bescherming te bieden tegen de diefstal van logingegevens en te zorgen voor een optimale detectie van aanvalspogingen op basis van logingegevens die met behulp van phishing zijn buitgemaakt.

Door het verzamelen van dreigingsinformatie kan het security-team precies nagaan welke beveiligingsmechanismen ze moeten toepassen om in kaart gebrachte dreigingen tegen te gaan. Deze mechanismen moeten vervolgens worden opgesplitst in individuele technische eisen. En pas dan is het tijd om naar beveiligingsplatforms te gaan zoeken die in deze eisen kunnen voorzien.

Tip 2: Maak gebruik van praktisch inzetbare dreigingsinformatie

Uit mijn gesprekken met CISO’s en andere besluitvormers op het gebied van cybersecurity is er één duidelijke rode draad: de wens om een reactieve beveiligingsaanpak in te ruilen voor een proactieve benadering. De meesten van hen begrijpen dat praktisch inzetbare dreigingsinformatie van cruciaal belang is voor een modern en proactief beveiligingsprogramma. Alleen daarmee kunnen ze cyberdreigingen voor zijn.

Maar wat houdt ‘praktisch inzetbare bedreigingsinformatie’ nu precies in? Wij definiëren dit als actuele en relevante informatie. De informatie moet snel worden aangeleverd, zodat we in actie kunnen komen voordat er zich beveiligingsincidenten voordoen. En de informatie moet relevant zijn, zodat wij onze beveiligingsprocessen kunnen optimaliseren.

Stel bijvoorbeeld dat de data aangeeft dat er in de sector waarin jouw organisatie actief is momenteel sprake is van een aanvalsgolf. En dat de cybercriminelen in kwestie misbruik maken van kwetsbaarheden in een IT-platform dat ook in jouw IT-omgeving wordt gebruikt. In dit geval is er dus duidelijk sprake van praktisch inzetbare dreigingsinformatie.

Mits op juiste wijze geïnterpreteerd en toegepast biedt praktische inzetbare dreigingsinformatie:

 

  1. Tactische en operationele ondersteuning voor beveiligingsprocessen en zogenaamde indicators of compromise (IoC’s) van cyberdreigingen die een direct risico vormen.
  2. Strategische ondersteuning voor beveiligingsprocessen in de vorm van voorspellende data over cybercriminelen en dreigingen die een toekomstig risico vertegenwoordigen.

Proactief houdt in dat je bent voorbereid op de cyberaanvallen die vandaag, morgen of volgend jaar kunnen plaatsvinden. Het ontwikkelen van mogelijkheden om deze aanvallen in de kiem te smoren vraagt om mensen, processen en technologie. En dat regel je niet binnen één dag. Degelijke beveiliging vraagt om een lange adem en voortdurende bewaking van het veranderende dreigingslandschap.

Tip 3: Wees gewaarschuwd voor ‘geautomatiseerde’ threat hunting, mensen blijven cruciaal

In de praktijk komen we meer dan genoeg bewijs tegen voor het feit dat beveiligingsplatforms niet elke aanval kunnen voorkomen. Cybercriminelen kennen onze tools even goed als wij. Ze hebben social engineering en phishing tot een kunstvorm verheven en zijn als geen ander in staat om wachtwoorden buit te maken waarmee ze netwerken en systemen kunnen binnendringen. In de wetenschap dat onze tools niet elke aanval kunnen voorkomen is het beter om ervan uit te gaan dat we al zijn gehackt of met malware besmet. Om onze IT-omgevingen op basis hiervan uit te kammen.

De rol van beveiligingsanalisten is veranderd. Zij moeten tegenwoordig in de huid van een cybercrimineel kruipen. Ze moeten begrijpen waar en hoe ze precies naar hackers moeten zoeken, wat hun volgende stap is en wat er gedaan moet worden om die te bestrijden. Dit vraagt niet alleen om relevante telemetrische data, maar ook om vakkundig opgeleide en ervaren beveiligingsanalisten met actuele kennis. We noemen dit proces ‘threat hunting’.                                                                   

Het ontbreekt veel organisaties aan de technologie en expertise om binnen hun IT-omgeving proactief op cyberdreigingen te jagen en snel tegenmaatregelen te treffen. Maar de noodzaak hiervan neemt alleen maar toe. En daarmee groeit ook het aantal leveranciers die beweren dat zij threat hunting bieden. De term heeft voor veel verwarring binnen de markt gezorgd. Als een leverancier zegt te beschikken over een oplossing die “automated hunting” biedt, zouden de alarmbellen bij je moeten gaan rinkelen en hard wegrennen. Waarom? Omdat threat hunting minstens zo sterk afhankelijk is van de expertise en intuïtie van de beveiligingsanalisten als van de technologie. Er moet sprake zijn van een doordacht proces waarbij de analisten hypotheses opstellen over potentiële cyberdreigingen en manieren waarop die kunnen worden geïdentificeerd. Vervolgens moeten zij proactief op zoek naar die dreigingen gaan. Als je beveiligingsanalisten inruilt voor een geautomatiseerde oplossing, ga je voorbij aan de kwaliteiten die een gedegen threat hunting-programma in de strijd gooit, namelijk menselijke expertise, ervaring, intelligentie en intuïtie.

Tip 4: Vind een MDR-partner om een reactieve aanpak in te ruilen voor een proactieve benadering

Het plannen en realiseren van moderne beveiliging is een complexe aangelegenheid die om veel expertise en ervaring vraagt. Voor organisaties die niet over de vereiste kennis, mensen of middelen beschikken om de beveiliging en het risicobeheer binnen hun organisatie op peil te krijgen, kan een managed detection & response (MDR)-dienst uitkomst bieden. Kijk daarbij ook naar het team die de MDR-dienst verzorgt. Naar mijn mening heeft een een ervaren team van beveiligingsexperts en threat hunters de voorkeur. Veel van hen hebben de kneepjes van het vak geleerd bij de politie of een militaire inlichtingendienst. Ze gooien dagelijks hun uitgebreide ervaring en intuïtie in de strijd. Daarmee kunnen ze klanten bedienen in alle verticale markten waarin cruciale data omgaat die cybercriminelen kan aantrekken. Een dergelijk team van beveiligingsexperts beschikt over alle vaardigheden die nodig zijn om daadwerkelijke cyberaanvallen op te sporen en te bestrijden.

 

Daniel Clayton is vice president Global Support & Services bij Bitdefender

Lees ook
Iraanse cybercriminele groep TA456 richt zich met social media-persona “Marcella Flores” op militaire doelwitten

Iraanse cybercriminele groep TA456 richt zich met social media-persona “Marcella Flores” op militaire doelwitten

Onderzoekers van Proofpoint hebben een social engineering- en malware-campagne geïdentificeerd die jaren heeft geduurd en is opgezet door TA456, een cybercriminele groep die banden heeft met de Iraanse staat.

LANCOM breidt firewall-portfolio voor mkb-bedrijven uit met nieuw rackmount-model UF-360

LANCOM breidt firewall-portfolio voor mkb-bedrijven uit met nieuw rackmount-model UF-360

LANCOM Systems, de Duitse netwerkleverancier, breidt zijn aanbod van rackmount-firewalls voor het midden- en kleinbedrijf uit. De nieuwe LANCOM R&S Unified Firewall UF-360 is een krachtige alles-in-één-oplossing voor effectieve cybersecurity. De firewall combineert geavanceerde cybersecurity-technologieën, zoals Unified Threat Management (UTM), met...

Bitdefender introduceert nieuwe generatie Endpoint Detection & Response-oplossing met eXtended EDR (XEDR)

Bitdefender introduceert nieuwe generatie Endpoint Detection & Response-oplossing met eXtended EDR (XEDR)

Bitdefender, leverancier van cybersecurity-oplossingen, introduceert vandaag eXtended EDR (XEDR). Deze nieuwe generatie Endpoint Detection & Response-oplossing voegt gegevensanalyse en correlatie van beveiligingsgebeurtenissen toe op alle endpoints aan Bitdefender Endpoint Detection & Response (EDR)