4 tips voor proactieve dreigingsdetectie en -respons

bitdefender_white_red

 

Het blijft lastig voor organisaties om af te stappen van een reactieve aanpak van dreigingsdetectie en respons. De volgende vier tips kunnen beveiligingsprofessionals helpen om een proactieve benadering te omarmen.

Tip 1: Gebruik dreigingsinformatie als uitgangspunt in plaats van technologie

Security-teams richten hun focus maar al te vaak op beveiligingstechnologie, zonder haarscherp beeld wat die technologie nu precies moet bieden. We zijn allemaal op zoek naar een beveiligingstool die als wondermiddel kan dienen, maar een universele aanpak is geen haalbare kaart. Dat komt omdat elke organisatie uniek is. Dat geldt voor de sector waarin zij actief zijn, hun bedrijfsprocessen, hun IT-omgeving en de data die zij moeten beschermen. En ook de type kwetsbaarheden, dreigingen en cybercriminelen zijn voor elke organisatie weer anders.

De valkuil voor veel beveiligingsprofessionals, is dat ze tools aanschaffen nog voordat ze de voor hun organisatie relevante cyberdreigingen in kaart hebben gebracht. Dit resulteert in een overdaad aan complexiteit. Beveiligingsprofessionals doen er dan ook beter aan om het unieke risicoprofiel van hun organisatie beter te leren begrijpen. Vervolgens moeten ze maatregelen treffen die het mogelijk maken om strategische informatie in te zetten voor de detectie van bedrijfsspecifieke dreigingen.

Als bijvoorbeeld bekend is dat de organisatie een doelwit vormt van de Chinese staatshackersgroep APT-40, die over geavanceerde phishing- en spear phishing-mogelijkheden beschikt, loont het de moeite om te investeren in oplossingen die tot in het kleinste detail afwijkende patronen kunnen detecteren. Dit maakt het mogelijk om bescherming te bieden tegen de diefstal van logingegevens en te zorgen voor een optimale detectie van aanvalspogingen op basis van logingegevens die met behulp van phishing zijn buitgemaakt.

Door het verzamelen van dreigingsinformatie kan het security-team precies nagaan welke beveiligingsmechanismen ze moeten toepassen om in kaart gebrachte dreigingen tegen te gaan. Deze mechanismen moeten vervolgens worden opgesplitst in individuele technische eisen. En pas dan is het tijd om naar beveiligingsplatforms te gaan zoeken die in deze eisen kunnen voorzien.

Tip 2: Maak gebruik van praktisch inzetbare dreigingsinformatie

Uit mijn gesprekken met CISO’s en andere besluitvormers op het gebied van cybersecurity is er één duidelijke rode draad: de wens om een reactieve beveiligingsaanpak in te ruilen voor een proactieve benadering. De meesten van hen begrijpen dat praktisch inzetbare dreigingsinformatie van cruciaal belang is voor een modern en proactief beveiligingsprogramma. Alleen daarmee kunnen ze cyberdreigingen voor zijn.

Maar wat houdt ‘praktisch inzetbare bedreigingsinformatie’ nu precies in? Wij definiëren dit als actuele en relevante informatie. De informatie moet snel worden aangeleverd, zodat we in actie kunnen komen voordat er zich beveiligingsincidenten voordoen. En de informatie moet relevant zijn, zodat wij onze beveiligingsprocessen kunnen optimaliseren.

Stel bijvoorbeeld dat de data aangeeft dat er in de sector waarin jouw organisatie actief is momenteel sprake is van een aanvalsgolf. En dat de cybercriminelen in kwestie misbruik maken van kwetsbaarheden in een IT-platform dat ook in jouw IT-omgeving wordt gebruikt. In dit geval is er dus duidelijk sprake van praktisch inzetbare dreigingsinformatie.

Mits op juiste wijze geïnterpreteerd en toegepast biedt praktische inzetbare dreigingsinformatie:

 

  1. Tactische en operationele ondersteuning voor beveiligingsprocessen en zogenaamde indicators of compromise (IoC’s) van cyberdreigingen die een direct risico vormen.
  2. Strategische ondersteuning voor beveiligingsprocessen in de vorm van voorspellende data over cybercriminelen en dreigingen die een toekomstig risico vertegenwoordigen.

Proactief houdt in dat je bent voorbereid op de cyberaanvallen die vandaag, morgen of volgend jaar kunnen plaatsvinden. Het ontwikkelen van mogelijkheden om deze aanvallen in de kiem te smoren vraagt om mensen, processen en technologie. En dat regel je niet binnen één dag. Degelijke beveiliging vraagt om een lange adem en voortdurende bewaking van het veranderende dreigingslandschap.

Tip 3: Wees gewaarschuwd voor ‘geautomatiseerde’ threat hunting, mensen blijven cruciaal

In de praktijk komen we meer dan genoeg bewijs tegen voor het feit dat beveiligingsplatforms niet elke aanval kunnen voorkomen. Cybercriminelen kennen onze tools even goed als wij. Ze hebben social engineering en phishing tot een kunstvorm verheven en zijn als geen ander in staat om wachtwoorden buit te maken waarmee ze netwerken en systemen kunnen binnendringen. In de wetenschap dat onze tools niet elke aanval kunnen voorkomen is het beter om ervan uit te gaan dat we al zijn gehackt of met malware besmet. Om onze IT-omgevingen op basis hiervan uit te kammen.

De rol van beveiligingsanalisten is veranderd. Zij moeten tegenwoordig in de huid van een cybercrimineel kruipen. Ze moeten begrijpen waar en hoe ze precies naar hackers moeten zoeken, wat hun volgende stap is en wat er gedaan moet worden om die te bestrijden. Dit vraagt niet alleen om relevante telemetrische data, maar ook om vakkundig opgeleide en ervaren beveiligingsanalisten met actuele kennis. We noemen dit proces ‘threat hunting’.                                                                   

Het ontbreekt veel organisaties aan de technologie en expertise om binnen hun IT-omgeving proactief op cyberdreigingen te jagen en snel tegenmaatregelen te treffen. Maar de noodzaak hiervan neemt alleen maar toe. En daarmee groeit ook het aantal leveranciers die beweren dat zij threat hunting bieden. De term heeft voor veel verwarring binnen de markt gezorgd. Als een leverancier zegt te beschikken over een oplossing die “automated hunting” biedt, zouden de alarmbellen bij je moeten gaan rinkelen en hard wegrennen. Waarom? Omdat threat hunting minstens zo sterk afhankelijk is van de expertise en intuïtie van de beveiligingsanalisten als van de technologie. Er moet sprake zijn van een doordacht proces waarbij de analisten hypotheses opstellen over potentiële cyberdreigingen en manieren waarop die kunnen worden geïdentificeerd. Vervolgens moeten zij proactief op zoek naar die dreigingen gaan. Als je beveiligingsanalisten inruilt voor een geautomatiseerde oplossing, ga je voorbij aan de kwaliteiten die een gedegen threat hunting-programma in de strijd gooit, namelijk menselijke expertise, ervaring, intelligentie en intuïtie.

Tip 4: Vind een MDR-partner om een reactieve aanpak in te ruilen voor een proactieve benadering

Het plannen en realiseren van moderne beveiliging is een complexe aangelegenheid die om veel expertise en ervaring vraagt. Voor organisaties die niet over de vereiste kennis, mensen of middelen beschikken om de beveiliging en het risicobeheer binnen hun organisatie op peil te krijgen, kan een managed detection & response (MDR)-dienst uitkomst bieden. Kijk daarbij ook naar het team die de MDR-dienst verzorgt. Naar mijn mening heeft een een ervaren team van beveiligingsexperts en threat hunters de voorkeur. Veel van hen hebben de kneepjes van het vak geleerd bij de politie of een militaire inlichtingendienst. Ze gooien dagelijks hun uitgebreide ervaring en intuïtie in de strijd. Daarmee kunnen ze klanten bedienen in alle verticale markten waarin cruciale data omgaat die cybercriminelen kan aantrekken. Een dergelijk team van beveiligingsexperts beschikt over alle vaardigheden die nodig zijn om daadwerkelijke cyberaanvallen op te sporen en te bestrijden.

 

Daniel Clayton is vice president Global Support & Services bij Bitdefender

Lees ook
Cybercrime treft mkb: zo blijf je uit de vuurlinie

Cybercrime treft mkb: zo blijf je uit de vuurlinie

Het midden- en kleinbedrijf ligt onder vuur. Jaarlijks krijgt naar schatting meer dan de helft van de mkb’ers te maken met cybercrime, en slagen cybercriminelen er bijvoorbeeld in om data te gijzelen met ransomware. Hoe zorg je ervoor dat je uit de vuurlinie blijft?

Proofpoint Human Factor-rapport over het huidige dreigingslandschap

Proofpoint Human Factor-rapport over het huidige dreigingslandschap

Proofpoint presenteert zijn jaarlijkse Human Factor-rapport. Hierin zijn de drie belangrijkste aspecten van gebruikersrisico's (kwetsbaarheid, aanvallen en privileges) uitvoerig geanalyseerd. Daarnaast beschrijft het rapport hoe de gebeurtenissen van 2020 het huidige dreigingslandschap hebben veranderd

Navaio en NetWitness: “Organisaties moeten zichzelf beter beveiligen”

Navaio en NetWitness: “Organisaties moeten zichzelf beter beveiligen”

Navaio IT Security en NetWitness (RSA) zien een landelijke trend. Organisaties investeren niet genoeg tijd en kennis in detectie en response en dat zorgt achteraf voor de nodige problemen. Verdachte activiteiten worden vaak pas laat ontdekt, terwijl dat onnodig is.