Moderne security-incidenten vragen om gedegen planning en steun van het management

Novak_Christopher_Verizon

De afgelopen maanden stond de schimmige wereld van cybercriminaliteit weer volop in de schijnwerpers. Allerlei incidenten, van de cyberaanval op Colonial Pipeline tot het datalek bij vleesverwerker JBS, lijken erop te wijzen dat 2021 het jaar wordt waarin cybercriminelen definitief de mainstream bereiken.

En ze weten van geen ophouden. Ik spreek dagelijks met klanten die me vertellen dat ze hulp nodig hebben met het vereenvoudigen van hun beveiliging en het optimaal inzetten van hun meest waardevolle middel: hun security-team. 


Wat met name zorgen baart, is de duidelijke stijging van het aantal zero day-aanvallen. Deze maken misbruik van kwetsbaarheden waarvan de leverancier of ontwikkelaar niet op de hoogte is of die nog moeten worden verholpen. Een paar maanden geleden publiceerde de Threat Analysis Group (TAG) van Google een blog waarin het op de toename van zero day-aanvallen wees. Uit het onderzoek van de TAG blijkt dat er medio 2021 “33 zero-day exploits werden gebruikt voor aanvallen die dit jaar openbaar zijn gemaakt, 11 meer dan het totale aantal voor 2020.”

Ons eigen 2021 Verizon Data Breach Investigations Report liet eveneens zien dat organisaties met een groot aantal beveiligingsproblemen worstelen. Volgens het rapport was er op het gebied van phishing- en ransomware-aanvallen sprake van “een toename van respectievelijk 11 procent en 6 procent, waarbij het aantal gevallen van misleiding met een factor 15 toenam ten opzichte van vorig jaar”. De onderzoeksgegevens schetsen zonder meer een grimmiger beeld van het bedreigingslandschap dan ooit tevoren.

Ondanks deze alarmerende ontwikkelingen wil ik er wel graag bij zeggen dat dit slechts één kant van het verhaal is. Er is namelijk sprake van meer transparantie. Er worden meer datalekken openbaargemaakt dan ooit, en de media houden hun oren steeds sterker gespitst op nieuwswaardige grote security-incidenten die tegenwoordig schering en inslag zijn. Dus hoewel de cijfers zonder meer de indruk bevestigen dat het aantal datalekken toeneemt, is het belangrijk om daarbij aan te tekenen dat we ook veel meer over cyberaanvallen horen dan in het verleden.

De toename van het aantal cyberaanvallen zal vanzelfsprekend het meeste zorg baren voor security-professionals. Het afgelopen jaar hebben cybercriminelen in toenemende mate blijk gegeven van een proactieve aanpak. Naast dat zij misbruik maken van kwetsbaarheden en losgeld eisen na ransomware-aanvallen bieden ze tegenwoordig ook ransomware-diensten en hun aanvalsexpertise te koop aan. Cybercriminaliteit is daarmee ‘gedemocratiseerd’ en in toenemende mate beschikbaar voor het grote publiek. Het feit dat cybercriminelen steeds meer in staat zijn om misbruik te maken van kwetsbaarheden die programmeurs nog niet hebben verholpen is daarom een groot punt van zorg.

Maar wat is nu precies de oplossing? Ten eerste is het zaak voor organisaties om kwetsbaarheden proactief te identificeren en verhelpen. Security-teams die zich reactief opstellen zullen voortdurend achter de feiten aanlopen. En het is precies deze kloof tussen real-time incidenten en te late en onvoldoende tegenmaatregelen waar cybercriminelen op hopen. Elke grote onderneming zou moeten beschikken over een speciaal team van security-professionals dat zich toelegt op het identificeren en patchen van beveiligingslekken. Trek ergens de grens en neem het initiatief.

Ten tweede moeten bedrijven zich voorbereiden, voorbereiden en nog eens voorbereiden. We weten allemaal dat je vermogen om effectief te reageren op een cyberaanval in grote mate afhankelijk is van de systemen waarover je reeds beschikt. Tijdens een security-incident kan de angst voor reputatieverlies en financiële schade het beoordelingsvermogen aantasten. Organisaties kunnen zichzelf hiertegen beschermen door zich goed voor te bereiden, nog lang voordat er zich een crisissituatie voordoet.

Dit is geen louter technisch vraagstuk. Je salesteams, PR-afdeling en juridische team zouden goed op de hoogte moeten zijn van hun rol en verantwoordelijkheden in het geval van een security-incident. Identificeer je bedrijfskritische infrastructuur, geef je fiat voor een plan voor incidentrespons, werk dat regelmatig bij en leg het op passende wijze ten uitvoer. Mijn eerste vraag aan nieuwe klanten is “wanneer was de laatste keer dat je een oefening voor een security-incident uitvoerde met de belangrijkste betrokkenen?”

Voor veel klanten luidt het antwoord helaas “nooit”.

Ten slotte is het zaak om voor draagvlak bij het management te zorgen. Of het nu gaat om de werving van talent, IT-bestedingen of modernisering, het is van cruciaal belang dat managers de omvang van je takenpakket begrijpen, zodat ze je van passende ondersteuning kunnen voorzien. Ons vermogen om te handelen wordt bepaald door hun bereidheid om ons te vertrouwen. Het is dus onze taak om ervoor te zorgen dat ze begrijpen binnen welke parameters we werken, op welke dingen we wel en geen grip hebben en wat er nu moet worden gedaan om toekomstige risico’s voor te zijn. Als het management budgetbeslissingen neemt, moet je erop toezien dat de beveiliging voorop staat en geen sluitpost vormt.

Chris Novak is global director van het Verizon Threat Research Advisory Center

Lees ook
Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

Politiediensten halen LockBit infra offline

Politiediensten halen LockBit infra offline

Op 20 februari 2024 hebben Europol, de Nederlandse Politie en politiediensten uit tien landen met een grote verstoringsactie 34 servers uit de lucht gehaald van de ransomware groepering LockBit.

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft.