Nieuwe security technologieën worden continu ontwikkeld. Baanbrekend en trendsettend komen ze als 'de meest geavanceerde oplossing' in de mode, om na verloop van tijd af te zakken van de 'catwalk' naar de winkelstraat om tenslotte weer uit de mode te raken. Maar hoe moet je de nieuwe oplossingen wegen, hoe belangrijk zijn ze werkelijk en wat is de sleutel tot succes?
Het is aan jou om vast te stellen, of ‘nieuwe’ en ‘baanbrekende’ oplossingen het netwerk beter beschermen dan de huidige security-producten. Zelden zal het antwoord een ‘ja’ zijn en een van de redenen is dat security-technologieën niet zelfstandig hun werk doen. De techniek zal misschien verfijnder worden, toch is dát niet het hele ‘plaatje’. Al beschik je over de beste firewalls, producten voor endpoint security en eventueel ook een siem (security information and event management system) -systeem, uiteindelijk sturen ze je alleen maar méér meldingen… Daarbij is de kans groot dat de helft van de meldingen (of meer) onterecht zijn, de ‘false positives’.
De kans op false positives wordt bovendien nog groter doordat individuele meldingen niet goed met elkaar in verband gebracht worden. Tien gele vlaggen veranderen namelijk niet automatisch in een rode vlag. Als deze gele vlaggen bovendien door verschillende technologieën gegenereerd worden, missen de meeste oplossingen niet alleen het overzicht en de correlatie, maar met name ook de ’threat intelligence’, de know-how om aanvalspatronen te kunnen onderscheiden van ‘ruis’.
Techniek schiet op een aantal vlakken te kort en dat zal ook niet snel veranderen. Techniek heeft vooral moeite om het totaal van gebeurtenissen te begrijpen, incidenten in verband te kunnen brengen, nieuwe aanvalstechnieken te vinden en vervolgens te toetsen.
Ontsnappen uit moeras
Hoe kom je dan weg uit dit moeras van technologieën, die je uiteindelijk niet helpen om de gestelde security-doelen te bereiken? Het antwoord is eigenlijk eenvoudig: je hebt meer nodig dan alleen techniek, met name de combinatie van human & artificial intelligence. Aan de ene kant een geavanceerd security-platform dat alle meldingen centraal verzamelt en analyseert.
Stel je hierbij een ecosysteem voor van technologieën, met onder meer geavanceerde detectieregels, correlatietechnieken, machine learning en andere expertsystemen om beslissingen over false en true positive meldingen te automatiseren. Aan de andere kant een team security-experts dat alle meldingen analyseert en de kunstmatige intelligence niet alleen gebruikt om het kaf van het koren te scheiden, maar ook bijdraagt aan het verbeteren van deze technieken. Zo wordt kennis en ervaring gevoed met techniek en vice versa.
Met het beste van beide werelden houdt jouw eigen team meer tijd over om zich te richten op de incidenten die werkelijk een bedreiging vormen. Dat is overigens niet alleen goed voor je organisatie maar ook voor de persoonlijke groei van de teamleden. Beter begrip van deze bedreigingen en ervaringen om je organisatie er effectief tegen te beschermen, zijn vele malen waardevoller dan het dagelijks blussen van brandjes. Zowel het security-team als de organisatie zijn hierbij gebaat.
Voordenken
Houdt vooral ook rekening met security bij het invoeren van nieuwe technologieën. Als we terugkijken, dan zien we dat elke nieuwe technologiegolf diverse nieuwe kwetsbaarheden met zich meebrengt. Mobiliteit, byod, cloud computing en IoT bieden zowel bedrijven als cybercriminelen nieuwe kansen om geld te verdienen. Als er bij jouw organisatie plannen ontwikkeld worden of misschien zelfs gebruik gemaakt wordt van deze nieuwe technologieën, is het van groot belang om goed te gaan denken.
‘Voordenken voorkomt nadenken’, vertelde een wijs architect me ooit. Voordenken zorgt ervoor dat je alle risico’s in kaart brengt en passende tegenmaatregelen treft. Doe je dat niet, dan breng je daarmee het netwerk van je organisatie in gevaar. Voordat je het netwerk blootstelt aan de nieuwe technologieën is het van belang om deze toekomstbestendig te maken. Dat betekent onder meer dat het netwerk stabiel blijft functioneren en minimaal vatbaar is voor bedreigingen, ongeacht nieuwe technologieën die er een verbinding mee maken. Maar ook dat goed gekeken wordt naar de mensen en processen. Oftewel: people, processes and tools.
Een holistische aanpak houdt dus niet in dat je lukraak een handvol nieuwe security-apparaten aanschaft, die met een siem-systeem verbindt en op meldingen gaat zitten wachten. Hoewel sommige siem-systemen leveranciersneutraal zijn en daarmee in staat om loggegevens te verwerken van uiteenlopende security-oplossingen op locatie en in de cloud, zijn ze geen wondermiddel. Dat geldt ook voor andere security-technologieën, zoals antivirus. Gemotiveerde en goed gefinancierde cybercriminelen zullen vroeg of laat erin slagen om het netwerk binnen te dringen.
Je zult daarom altijd mensen nodig hebben die direct meldingen van de security-systemen kunnen beoordelen. Zij moeten in staat zijn om meldingen in een context te plaatsen om bedreigingen te stoppen en de schade te minimaliseren. Maar misschien nog belangrijker dan dat: ze moeten het kaf van het koren scheiden. Bij een overdaad aan false-positives zal de kracht van de oplossing zeer snel afnemen.
Toekomstbestendig
Als je de netwerksecurity toekomstbestendig maakt, zul je in staat zijn om vanuit een centrale locatie logbestanden te analyseren van alle security-oplossingen, ongeacht de leverancier. Je zal de lokale data en de data in de cloud beter kunnen beschermen, met inbegrip van de informatie op mobiele toestellen en sociale media-platforms. Daarvoor heb je een professionele security-partner nodig die in staat is om het specifieke bedreigingslandschap van de organisatie in de gaten te houden en te beheren.
Deze partner moet overweg kunnen en inzicht hebben in alle gebruikte technologieën, zodat je een volledig overzicht kan krijgen van de security van de netwerken, apparaten en servers. Dit vormt het fundament voor het effectief inzetten en automatiseren van tegenmaatregelen. Kies je hiervoor de juiste partner, dan is dit ook de eerste stap in het vergroten van de return on investment (roi). De technologieën die je al hebt, zijn waarschijnlijk niet slecht, het toevoegen van artificial & human intelligence zorgt ervoor dat je je doelen bereikt.