Innovaties en verbeteringen op het gebied van bedrijfsbeveiliging hebben hun nut. Maar voordat je nieuwe beveiligingstechnologieën als blockchain, geavanceerde analyses, encryptie en machine learning implementeert, moet je de basisprincipes op orde hebben. Dat is tenslotte waar je tegenstanders zich op richten.
Gecommercialiseerde malware is goedkoop en komt veel voor. Het is de meest voorkomende bedreiging (83 procent van de succesvolle aanvallen) en komt meestal binnen via e-mail, social engineering of valse websites.
Zeventig tot tachtig procent van de inbraken op een bedrijfsnetwerk verloopt via e-mail. Het e-mailaccount van de ceo vervalsen en vervolgens een bericht naar het bedrijf sturen, behoort mogelijk tot het verleden. Toch speelt e-mailfraude in op ons instinct en is zij nog steeds vrij effectief. Daartegenover staat dat nog geen tien procent van de bedreigingen waarmee een chief information security officer (ciso) te maken krijgt van geavanceerde vijanden of natiestaten afkomstig is. Het is duidelijk dat we moeten terugkeren naar de basis als het gaat om bedrijfsbeveiliging. Denk aan patchmanagement (een omgeving van managementsystemen voor het verwerven, testen en installeren van wijzigingen in de code op een computersysteem), sandboxen (afgeschermde ruimtes waarin computerprogramma’s werken zonder andere processen te verstoren) en aandacht voor mensen, processen en technologie.
Hoe ziet mijn netwerk eruit voor een tegenstander?
De meeste bedrijven begrijpen nog steeds niet hoe kwaadwillenden hen zien. Aanvallers zijn meestal op zoek naar iets anders dan betaal- of persoonsgegevens die vanwege compliance vaak al zijn beveiligd. Kan een aanvaller intellectueel eigendom stelen en vervolgens omzetten in geld? Maken relaties met leveranciers je tot een doelwit of bieden ze een onverwachte aanvalshoek? De relaties met andere partners, leveranciers en zelfs klanten analyseren, is moeilijk en vereist goede beveiligingsexpertise.
Security-generalisten en specialisten in het beheren van specifieke tools, zijn niet altijd in staat bedreigingen op deze manier te evalueren en daar strategieën voor te ontwikkelen. Zoek daarom personeel met vaardigheden in datawetenschap en cybersecurity die deze analyses wel kunnen uitvoeren.
Intern perspectief
Even belangrijk als het externe perspectief is het begrijpen van je interne processen en infrastructuur. Hoe definieert de raad van bestuur je bedrijf? Wat zijn veiligheidsimplicaties voor bedrijfskritische onderdelen van je onderneming? Als een van deze onderdelen wordt getroffen door een inbreuk, kun je dan effectief prioriteiten stellen en snel handelen?
Door helderheid te krijgen over deze punten kan je dingen als cyberverzekering, risicobeperkende strategieën en out-of-band-oplossingen goed aanpakken wanneer kritische systemen door een aanval uitvallen.
De basisprincipes
Nu de externe en interne bedrijfsomgeving goed in kaart zijn gebracht, zijn de basisprincipes van beveiliging (opnieuw) toe te passen, zoals:
- Beveiligingsarchitectuur en -ontwerp beoordelen;
- De juiste beveiligingsexperts inhuren;
- Betrouwbare beveiligingsprocedures en -processen vastleggen en oefenen;
- Regelmatig telemetrie uitvoeren om je omgeving te optimaliseren.
Sandboxing en SIEMs
Op basis van ons Incident Response Insights Report 2018 blijkt dat basiskennis over zaken zoals twee-factorauthenticatie, complex wachtwoordgebruik, sandbox-technologie en een formeel incident-responsplan vaak ontbreekt. Op het gebied van sandboxing zijn er nog steeds veel bedrijven die niet in staat zijn om e-mail te onderzoeken. Zelfs wanneer sandbox-technologie slechts vijftig procent van de schadelijke aanvallen op je omgeving vermindert, heeft dat grote gevolgen voor je algehele beveiligingsprogramma.
Daarentegen is het mogelijk dat de implementatie van een Security Information and Event Management (SIEM)-systeem je niet in staat stelt om aanvalspatronen te identificeren of bedreigingen te begrijpen. Een SIEM vereist uiterst deskundige beveiligingsexperts om het specifiek voor jouw omgeving te optimaliseren en effectief te houden. Dat is waar de bovengenoemde lijst met basisprincipes van pas komt.
Een SIEM is een stukje van de puzzel. Je hebt ook omgevingsbewustzijn nodig – het externe en interne perspectief – om beveiligingsprocessen beter te beheren, toepassingsscenario’s te formuleren en antwoorden te genereren die uit het SIEM-systeem zullen voortkomen. Met de juiste beveiligingsexperts kun je niet alleen usecases opstellen en onderhouden, maar ook correlatieregels toepassen die specifiek gelden voor jouw bedrijfsomgeving. Het toepassen van de basisprincipes moet meer waardevolle inzichten genereren uit een SIEM en de responstijd verbeteren.
De basis hoeft niet moeilijk te zijn
Als de basisprincipes op orde krijgen zo makkelijk is, zullen we dan toch nog veel succesvolle gecommercialiseerde aanvallen zien? Een interessante kwestie. Bij gecommercialiseerde bedreigingen loop je risico als je kwetsbaar bent. Als je niet kwetsbaar bent, loop je dus ook geen risico. Klinkt vrij eenvoudig, toch?
Het is tegenwoordig onmogelijk een netwerk te beschermen tegen alle aanvallen. Maar een netwerk verdedigen is zeker niet onmogelijk. De vraag is hoe snel we bedreigingen binnen ons netwerk opsporen en identificeren, hoe snel we ze elimineren en hoe we voorkomen dat hetzelfde gevaar zich opnieuw voordoet.
Een volledig functionerend beveiligingscentrum moet zich richten op drie belangrijke componenten:
- Het perspectief van de tegenstanders op het netwerk;
- Intern begrip van de omgeving, inclusief netwerkactiviteiten en beveiligingsarchitectuur;
- De bedrijfscontext rondom de omgeving; de eigenheid die de architectuur, procedures en incidentafhandeling beïnvloedt.
Door deze fundamentele kwesties aan te pakken, zijn misschien een groot aantal netwerkbedreigingen op te splitsen in beheersbare, incrementele en zinvolle verbeteringen.
