Doordat Nederlandse organisaties veel verschillende, los van elkaar functionerende securitytools in gebruik hebben, kunnen zij moeilijker omgaan met complexe dreigingen. Dat blijkt uit onderzoek dat Pb7 Research in opdracht van Intel Security heeft uitgevoerd. 70 procent van de Nederlandse organisaties heeft vier of meer securitytools in gebruik.
Deze tools zijn veelal geleverd door verschillende leveranciers en zijn niet of nauwelijks in staat om met elkaar samen te werken. Hierdoor ontstaan tal van problemen en uitdagingen. ‘Zo kan slechts een kwart van de organisaties alle relevante securityinformatie op één centraal platform bij elkaar brengen, terwijl een dergelijk platform noodzakelijk is om tot een goed beeld te komen van de veiligheidssituatie binnen de organisatie’, zegt Peter Vermeulen van Pb7 Research.
Real-time detecteren
Zo is volgens hem het zonder centraal securityplatform erg lastig om dreigingen real-time te detecteren en af te slaan. 44 procent van de ondervraagde organisaties stelt vast dat dreigingen gemakkelijk over het hoofd worden gezien en nog eens 43 procent is tot de conclusie gekomen dat dreigingen onvoldoende of zelfs helemaal niet onschadelijk worden gemaakt. Maar ondanks de waargenomen problemen als gevolg van de vele verschillende tools, is slechts een kleine minderheid van de organisaties (17 procent) van mening dat men teveel securitytools toepast.
Deze dreigingen bestaan voor een derde van de ondervraagde organisaties uit een geavanceerde aanval. Hieronder wordt in dit onderzoek onder andere een aanval verstaan die duidelijke stealth-kenmerken vertoont of die is uitgevoerd op basis van een zero day-kwetsbaarheid. Waarschijnlijk is het werkelijke aantal organisaties dat hiermee is geconfronteerd veel hoger. Nog eens een derde van de organisaties geeft namelijk aan niet te weten of men dergelijke aanvallen heeft ondergaan.
Geen idee van schade
De gevolgen van dit soort aanvallen zijn groot. Een op vijf organisaties geeft aan dat door deze incidenten werkprocessen zijn verstoord. In een beperkt aantal gevallen (6 procent) is gevoelige bedrijfsinformatie gestolen, maar hierbij moet opgemerkt worden dat 22 procent van de organisaties geen idee heeft of er schade is geleden bij een geavanceerde aanval en hoe groot eventueel die schade dan was. Doordat men geen eenduidige beveiligingsarchitectuur gebruikt, ontbreekt het enerzijds aan de mogelijkheden om aanvallen te ontdekken en ontbeert men anderzijds de tools om de schade hiervan in kaart te brengen.
Het onderzoek laat volgens Mischa Deden, sales systems engineer Intel Security voor Noord- en Oost-Europa, dan ook duidelijk zien dat het inzetten van allerlei losse beveiligingsproducten kansloos is tegen de real-time dreigingen waar organisaties nu mee te maken kunnen krijgen. ‘Voor het afslaan van geavanceerde aanvallen is het nodig dat de beveiligingscomponenten informatie kunnen uitwisselen, zodat tijdig actie kan worden ondernomen. Dat betekent dat organisaties hun security veel beter op elkaar moeten aansluiten en dat onderdelen zoals security information en event management (SIEM), endpoint-beveiliging, advanced threat detection en de informatievoorziening over dreigingen één geheel moeten vormen. Alleen dan zijn geavanceerde dreigingen tijdig op te merken en kunnen er meteen maatregelen worden genomen.’
Deze discussie is op elk vlak binnen de ICT (en overigens ook in andere vakgebieden) een terugkerend fenomeen. Het heeft dezelfde dilemma’s die zo nu en dan de kop op doen bij het consolideren van bedrijven (jaren 70 vorige eeuw) en dan weer je focussen op de core business (mid jaren 90 vorige eeuw).
Binnen de ICT zie je het in de applicatiewereld (ERP systemen vs een heterogeen applicatie landschap), beheersoftware (frameworks als HP OpenView, Tivoli, BMC vs losse tools) etc..
Helaas is er geen goed of slecht antwoord. Dat ligt echt aan de context waar je als organisatie in acteert: wat is de dynamiek in die omgeving, zijn er standaardaarden, welke risico’s bestaan er.
Dus in het algemeen roepen dat je altijd een beter (=lees completer) beeld krijgt bij frameworks dan bij losse tools, is te kort door de bocht. Om gelijk maar een argument te noemen waarbij het niet opgaat: juist bij frameworks zitten er soms nou niet die dingen niet in die je wel in had willen hebben. Dat achteraf eraan “vastplakken” levert weer veel problemen op.
“70 procent van de Nederlandse organisaties heeft vier of meer securitytools in gebruik.”
Dat zegt mij dat de leveranciers van securitytools blijkbaar niet in staat zijn om één tool te leveren die aan alle eisen voldoet en óók nog functioneert.
“Het onderzoek laat volgens Mischa Deden, sales systems engineer Intel Security voor Noord- en Oost-Europa, dan ook duidelijk zien dat het inzetten van allerlei losse beveiligingsproducten kansloos is tegen de real-time dreigingen waar organisaties nu mee te maken kunnen krijgen.”
Mijn ervaring is dat tools van de grote leveranciers überhaupt al kansloos zijn, totaal niet werken, behalve voor aanvallen die al sinds jaar en dag bekend zijn. Een bekende aanval (real time) detecteren is niet zo moeilijk, maar het zijn vooral de onbekende nieuwe aanvallen waar je de focus op wilt leggen. En doorvoor heb je gespecialiseerde tools nodig die je zelden of nooit bij de grote leveranciers tegenkomt.
“Dat blijkt uit onderzoek dat Pb7 Research in opdracht van Intel Security heeft uitgevoerd.”
Het blijft jammer dat resultaten van dit soort onderzoeken zo voorspelbaar zijn, altijd die resultaten opleveren die de opdrachtgever wil horen. Wij van wc-eend…
Oh ja, ik lever ook securitytools, zeer gespecialiseerde tools die ook nog eens extreem goed werken 🙂