De noodzaak van een gebalanceerde beveiligingsaanpak

Sander Bakker is Sales Manager Noord Europa bij LogRhythm

Overal in de wereld staan organisaties voor de uitdaging om hun data en applicaties te beschermen tegen steeds geavanceerdere cyberaanvallen. Traditionele benaderingen zijn niet langer afdoende. In een serie blogs beschrijven we hoe een organisatie met het Security Operations Maturity Model (SOMM) een effectief en efficiënt Security Operations Center (SOC) inricht. In deze eerste blog een analyse van de uitdagingen.

In 2018 ondervroeg de CyberEdge Group 1.200 security-professionals van over de hele wereld, werkzaam bij bedrijven met meer dan 500 medewerkers. Maar liefst 77 procent van de bedrijven had de twaalf maanden voorafgaand aan het onderzoek te maken gehad met een beveiligingsincident. 79 procent gaf aan het securitybudget te verhogen. En een doorsnee organisatie besteedde volgens het onderzoek 12 procent van het IT-budget aan security.

De bedreigingen waar organisaties mee te maken hebben, komen van alle kanten: sommige actoren hebben puur financiële motieven, andere handelen vanuit ideologisch perspectief en weer andere hebben politieke motieven. In de meeste gevallen zijn deze actoren zeer gemotiveerd en beschikken ze over veel financiële middelen. Bovendien zijn ze erg goed ingevoerd in softwareontwikkeling, wat heeft geleid tot een echte industrie. Volgens schattingen van deskundigen is de Cybercrime-as-a-Service-markt (CaaS) goed voor meer dan een biljoen dollar.

Naast deze snelle toename van dreigingen hebben organisaties ook nog te maken met het groeiende aantal regels en wetten rond hun data. Denk aan de Payment Card Industry (PCI) Data Security Standard of de Algemene verordening gegevensverwerking.

Tot nu toe is security vooral gericht op preventie, het goed regelen van toegang en het blokkeren van bekende bedreigingen. Die aanpak werkt goed voor bekende aanvallen, maar biedt onvoldoende bescherming tegen opkomende, geavanceerde dreigingen, social engineering en insider threats. Daardoor hebben veel organisaties hun focus verlegd naar snelle detectie en respons. Gevolg is dat de markt voor security-hardware, software en diensten heel snel groeit. Hier gaat volgens IDC in 2022 133,7 miljard dollar om. Veel van de investeringen richten zich op het ontwikkelen van een Security Operations Center voor snelle detectie en respons.

Valkuilen

Het inrichten van een SOC is toe te juichen, omdat het illustreert dat een organisatie security serieus neemt. Keerzijde is dat er de nodige valkuilen zijn als het gaat om de software die een SOC inzet. We zetten de zes belangrijkste op een rij.

1. Informatie-overload door te veel meldingen

Veel beveiligingssoftware kan niet differentiëren tussen risico’s met hoge en lage dreigingsniveaus. Ook zijn oplossingen niet goed in staat om false positives te voorkomen. Dat leidt tot een stortvloed aan alerts, waardoor echte dreigingen het gevaar lopen onopgemerkt te blijven.

2. Gebrek aan goed forensisch inzicht

Hoewel veel organisaties hebben geïnvesteerd in logmanagement en SIEM-tools blijft het lastig om breed en diep inzicht te creëren in alle aspecten van de IT- en operationele omgevingen. Dat komt omdat deze middelen niet goed in staat zijn om in te spelen op het groeiend aantal typen machinedata, vooral binnen cloudapplicaties en -infrastructuren.

3. Te veel verschillende oplossingen

Veel organisaties hebben geïnvesteerd in verschillende puntoplossingen. Dat betekent dat teams constant moeten switchen tussen verschillende interfaces om te kijken waar een melding vandaan komt en hoe serieus die is. Dat kost tijd en geld en is daarnaast foutgevoelig.

4. Ineffectieve holistische dreigingsdetectie

Een van de meest voorkomende obstakels bij het detecteren en bestrijden van bedreigingen is een gebrek aan een centraal en holistisch inzicht in alle bedreigingen binnen het uitgebreide IT-landschap. De SIEM-platforms van de eerste generatie en andere puntoplossingen voor analyse hebben geprobeerd om in deze behoefte te voorzien, maar ze missen de breedte van gecentraliseerde forensische gegevens. Bovendien zijn ze niet in staat om analyses uit te voeren voor alle aanvalsoppervlakken - of dit nu een gebruiker, netwerk of eindpunt is. Producten die gericht zijn op het uitvoeren van analyses van specifieke aanvalsoppervlakken zijn kwetsbaar voor zowel hogere aantallen false negatives (zonder zichtbaarheid van het volledige scala van dreigingsindicatoren), als voor false positives (waar potentiële bedreigingsactiviteit uitgesloten zou kunnen worden met additionele context).

5. Gefragmenteerde workflow

Voor hun onderlinge communicatie gebruiken de leden van verspreide securityteams vaak verschillende, losstaande communicatiemiddelen en -technieken, waaronder IT-ticketing-systemen, e-mail, spreadsheets en het online delen van documenten. Dit verhindert de juiste afstemming van mensen en processen en leidt tot inefficiënte workflows en een onvermogen om consistente, herhaalbare processen te creëren. Ook verlengt het de inwerktijd van nieuwe teamleden.

6. Gebrek aan automatisering

Organisaties moeten tal van verschillende taken uitvoeren om bedreigingen effectief te detecteren, onderzoeken en neutraliseren. Veel van deze taken zijn routinematig, repetitief en tijdrovend. Met automatisering kunnen analisten zich richten op activiteiten met meerwaarde.

Het wordt echter steeds moeilijker om automatisering te implementeren als een organisatie verschillende puntoplossingen gebruikt waarbij de data in verschillende silo’s staan. Zonder automatisering van vooraf goedgekeurde acties kunnen beveiligingsteams niet optreden bij een acute dreiging. Daarnaast blijven systeemveranderingen vaak uren of zelfs dagen hangen in IT-ticketing-wachtrijen.

Om echt werk te maken van cyberbedreigingen is dus meer nodig dan de inzet van traditionele middelen. Wat precies nodig is, komt in de volgende blog aan de orde.

Benieuwd naar wat het Security Operations Maturity Model (SOMM) voor jouw organisatie kan doen? Download dan het uitgebreide rapport.