Organisaties kunnen niet voor 100 procent voorkomen dat er datalekken plaatsvinden. Wel kunnen zij zich hier zo goed mogelijk op voorbereiden. Dit om de (financiële) schade zo beperkt mogelijk te houden. Hier zijn drie basiselementen voor nodig: visability, identiteiten en risicoanalyse. Dat meent Zulfikar Ramzan, chief technology officer (cto) bij RSA.
De aanvalstechnieken van de cybercriminelen zijn in de afgelopen vijf jaar sterk veranderd, vertelt Ramzan: ‘Vroeger kochten criminelen beveiligingssoftware en zochten hierin naar zwaktes. Daar werden dan aanvallen voor ontwikkeld. Deze werden op grote schaal verspreid naar veel mensen. Tegenwoordig zetten cybercriminelen in op microdistributie, ofwel single threats. Dat betekent dat een aanval specifiek op een organisatie wordt gericht. Negentig procent van de aanvallen bestaat uit zo’n microaanval.’
Langzamer
Hedendaagse aanvallen gaan daardoor een stuk langzamer dan voorheen. ‘De crimineel analyseert eerst het bedrijf. Dat gebeurt grondig: van het netwerk tot de medewerkers en leveranciers. Daarna voert het een eerste aanvalspoging uit, zoals het versturen van een phishingmail. Met deze aanval wil de cybercrimineel het netwerk binnenkomen’, licht Ramzan toe. Hij voegt er aan toe dat een crimineel nu niet meer alleen het netwerk wil binnendringen, maar hier vooral belangrijke informatie buit wil maken. ‘Dat betekent dat hij of zij pas na het binnendringen van het netwerk echt actie gaat ondernemen om data te verzamelen en te exploiteren. Dat doet hij of zij bijvoorbeeld door malware op het netwerk te installeren.’
Deze vorm van aanvallen betekent dat de basis-beveiligingstechnologieën, zoals een firewall of antivirus, niet meer voldoende bescherming tegen cybercriminelen bieden. Bedrijven moeten daarom nadenken over een geavanceerde bedreigingstrategie. Volgens Ramzan bestaat die strategie uit drie onderdelen: visability, identiteiten en risicoanalyse.
‘Visability, ook wel zichtbaarheid, is de basis om geavanceerde bedreigingen te beperken’, zegt de cto. ‘Je kan niet beschermen wat je niet ziet. Bedrijven moeten hun netwerk door en door kennen: van de aanwezige apparaten tot de gebruikte technologieën. Ze moeten weten wat er gebeurt op gebied van it, van de cloud tot de endpoints.’ Met de zichtbaarheid kunnen bedrijven ongewone activiteiten van cybercriminelen op het netwerk opsporen en hier vervolgens op reageren. ‘Mensen vergeten vaak dat er een verschil zit tussen een inbreuk en een lek. Cybercriminelen vinden niet altijd direct wat ze zoeken. Dat duurt soms maanden. Via visability beperk je de tijd die criminelen op het netwerk kunnen doorbrengen en daarmee ook de kans dat ze daadwerkelijk data buit maken.’
Een ander sleutelelement in het beveiligingsbeleid is volgens Ramzan identiteitsmanagement. Via identiteitsmanagement regelen bedrijven dat de juiste mensen de juiste toegang tot de juiste it-assets hebben (authenticatie en governance). Hij voegt hier aan toe dat bedrijven hierbij de gehele lifecycle (levensduur) van iedere medewerker in kaart moeten brengen: vanaf het moment dat ze toetreden tot de organisatie en deze verlaten. ‘In deze periode kan iemand bijvoorbeeld promotie maken. Daarvoor heeft hij onder andere meer rechten nodig.’
Het derde onderdeel op het gebied van securitymaatregelen is een risicoanalyse. Organisaties hebben te maken met een tal van risico’s: van financiële en operationele risico’s tot wetgeving waaraan voldaan moet worden. Het is de taak van it om het aantal beveiligingsrisico’s terug te brengen. Chief information security officers (ciso’s) gaan daarvoor steeds vaker in beraad met de boardroom. ‘De boardroom heeft geen verstand van techniek achter een aanval. Wat zij wel begrijpt zijn de potentiële risico’s. Het is de taak van de ciso om cybersecurity-risico’s te vertalen naar de overkoepelende organisatorische risico’s.’
Een belangrijk onderdeel daarvan zijn de uitgaven in it, vertelt Ramzan. ‘Bedrijven geven 80 procent van hun it-budget uit aan preventie (beveiligingstechnologieën zoals firewalls). Slechts 15 procent gaat naar monitoring (netwerkactiviteiten in kaart brengen) en de overige 5 procent wordt besteed aan response (verdachte netwerkactiviteiten onderzoeken).’ Hij vindt dat deze verhoudingen niet kloppen en dat er veel te veel wordt uitgegeven aan preventie. De cto pleit voor een gelijkwaardige verdeling tussen de drie onderdelen: dus 33 procent voor preventie, 33 procent voor monitoring en 33 procent voor response.
Dit artikel is ook gepubliceerd in Computable Magazine 7, 9 september 2016
Biografie
Zulfikar Ramzan is als chief technology officer (cto) verantwoordelijk voor de ontwikkeling van de technologische strategie bij RSA, de security-divisie van EMC. Daarvoor was hij onder meer werkzaam als cto bij Elastica en chief scientist op gebied van machine learning bij Sourcefire. Hij is medeauteur van ruim vijftig technische artikelen en heeft twee boeken geschreven. Daarnaast heeft hij ruim vijftig octrooien op zijn naam staan. Het interview met Ranzam vond plaats tijdens de RSA Security Conferentie 2016 in San Francisco.
