Moderne security-incidenten vragen om gedegen planning en steun van het management

Novak_Christopher_Verizon

De afgelopen maanden stond de schimmige wereld van cybercriminaliteit weer volop in de schijnwerpers. Allerlei incidenten, van de cyberaanval op Colonial Pipeline tot het datalek bij vleesverwerker JBS, lijken erop te wijzen dat 2021 het jaar wordt waarin cybercriminelen definitief de mainstream bereiken.

En ze weten van geen ophouden. Ik spreek dagelijks met klanten die me vertellen dat ze hulp nodig hebben met het vereenvoudigen van hun beveiliging en het optimaal inzetten van hun meest waardevolle middel: hun security-team. 


Wat met name zorgen baart, is de duidelijke stijging van het aantal zero day-aanvallen. Deze maken misbruik van kwetsbaarheden waarvan de leverancier of ontwikkelaar niet op de hoogte is of die nog moeten worden verholpen. Een paar maanden geleden publiceerde de Threat Analysis Group (TAG) van Google een blog waarin het op de toename van zero day-aanvallen wees. Uit het onderzoek van de TAG blijkt dat er medio 2021 “33 zero-day exploits werden gebruikt voor aanvallen die dit jaar openbaar zijn gemaakt, 11 meer dan het totale aantal voor 2020.”

Ons eigen 2021 Verizon Data Breach Investigations Report liet eveneens zien dat organisaties met een groot aantal beveiligingsproblemen worstelen. Volgens het rapport was er op het gebied van phishing- en ransomware-aanvallen sprake van “een toename van respectievelijk 11 procent en 6 procent, waarbij het aantal gevallen van misleiding met een factor 15 toenam ten opzichte van vorig jaar”. De onderzoeksgegevens schetsen zonder meer een grimmiger beeld van het bedreigingslandschap dan ooit tevoren.

Ondanks deze alarmerende ontwikkelingen wil ik er wel graag bij zeggen dat dit slechts één kant van het verhaal is. Er is namelijk sprake van meer transparantie. Er worden meer datalekken openbaargemaakt dan ooit, en de media houden hun oren steeds sterker gespitst op nieuwswaardige grote security-incidenten die tegenwoordig schering en inslag zijn. Dus hoewel de cijfers zonder meer de indruk bevestigen dat het aantal datalekken toeneemt, is het belangrijk om daarbij aan te tekenen dat we ook veel meer over cyberaanvallen horen dan in het verleden.

De toename van het aantal cyberaanvallen zal vanzelfsprekend het meeste zorg baren voor security-professionals. Het afgelopen jaar hebben cybercriminelen in toenemende mate blijk gegeven van een proactieve aanpak. Naast dat zij misbruik maken van kwetsbaarheden en losgeld eisen na ransomware-aanvallen bieden ze tegenwoordig ook ransomware-diensten en hun aanvalsexpertise te koop aan. Cybercriminaliteit is daarmee ‘gedemocratiseerd’ en in toenemende mate beschikbaar voor het grote publiek. Het feit dat cybercriminelen steeds meer in staat zijn om misbruik te maken van kwetsbaarheden die programmeurs nog niet hebben verholpen is daarom een groot punt van zorg.

Maar wat is nu precies de oplossing? Ten eerste is het zaak voor organisaties om kwetsbaarheden proactief te identificeren en verhelpen. Security-teams die zich reactief opstellen zullen voortdurend achter de feiten aanlopen. En het is precies deze kloof tussen real-time incidenten en te late en onvoldoende tegenmaatregelen waar cybercriminelen op hopen. Elke grote onderneming zou moeten beschikken over een speciaal team van security-professionals dat zich toelegt op het identificeren en patchen van beveiligingslekken. Trek ergens de grens en neem het initiatief.

Ten tweede moeten bedrijven zich voorbereiden, voorbereiden en nog eens voorbereiden. We weten allemaal dat je vermogen om effectief te reageren op een cyberaanval in grote mate afhankelijk is van de systemen waarover je reeds beschikt. Tijdens een security-incident kan de angst voor reputatieverlies en financiële schade het beoordelingsvermogen aantasten. Organisaties kunnen zichzelf hiertegen beschermen door zich goed voor te bereiden, nog lang voordat er zich een crisissituatie voordoet.

Dit is geen louter technisch vraagstuk. Je salesteams, PR-afdeling en juridische team zouden goed op de hoogte moeten zijn van hun rol en verantwoordelijkheden in het geval van een security-incident. Identificeer je bedrijfskritische infrastructuur, geef je fiat voor een plan voor incidentrespons, werk dat regelmatig bij en leg het op passende wijze ten uitvoer. Mijn eerste vraag aan nieuwe klanten is “wanneer was de laatste keer dat je een oefening voor een security-incident uitvoerde met de belangrijkste betrokkenen?”

Voor veel klanten luidt het antwoord helaas “nooit”.

Ten slotte is het zaak om voor draagvlak bij het management te zorgen. Of het nu gaat om de werving van talent, IT-bestedingen of modernisering, het is van cruciaal belang dat managers de omvang van je takenpakket begrijpen, zodat ze je van passende ondersteuning kunnen voorzien. Ons vermogen om te handelen wordt bepaald door hun bereidheid om ons te vertrouwen. Het is dus onze taak om ervoor te zorgen dat ze begrijpen binnen welke parameters we werken, op welke dingen we wel en geen grip hebben en wat er nu moet worden gedaan om toekomstige risico’s voor te zijn. Als het management budgetbeslissingen neemt, moet je erop toezien dat de beveiliging voorop staat en geen sluitpost vormt.

Chris Novak is global director van het Verizon Threat Research Advisory Center

Lees ook
NetApp bestrijdt in realtime ransomware

NetApp bestrijdt in realtime ransomware

NetApp biedt nieuwe mogelijkheden waarmee klanten hun data beter kunnen beschermen en herstellen tegen bedreigingen door ransomware. NetApp is één van de eerste die kunstmatige intelligentie (AI) en machine learning (ML) direct in de primaire storage van bedrijven integreert en zo ransomware in real-time bestrijdt. De cyberresiliency-oplossingen v1

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.

Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

2023 kunnen we zien als een kantelpunt. Waar organisaties zich tot nu toe vooral hebben gericht op de preventie van cyberaanvallen, is bij velen nu het bewustzijn gegroeid dat dit niet meer voldoende is.