De bouwstenen van een goede cyberbeveiligingsstrategie bestaan uit effectieve identificatie en beperking van dreigingen. De keuzes voor deze strategie worden gemaakt op basis van kosten, complexiteit, geschiktheid en implementatie-gemak. Een strategie die gebaseerd is op een beperkt aantal beveiligingsmethoden, kan echter tekortschieten als passend beschermingsniveau voor bedrijfsapplicaties en -gegevens.
Een meerlaagse aanpak biedt een uitgebreidere beveiliging voor de manier waarop bedrijven tegenwoordig werken. Meerlaags klinkt al beter dan een eendimensionale benadering, hoe effectief die besturing ook is. Businesscases worden echter niet op instinct gemaakt of goedgekeurd. Daarom moeten de voordelen van een meerlaagse beveiligingsstrategie met cijfers worden onderbouwd. Als een beveiligingsmaatregel 99,9 procent effectief is, is één op de duizend potentiële inbreuken succesvol. Bij het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau (meerlaagse beveiliging), wordt het succespercentage verlaagd naar één op tweeduizend.
Bij cyberbeveiliging kan elke ingezette verdediging een aanval stoppen. Elke oplossing heeft echter sterke en zwakke punten en een duidelijk doel. Wanneer deze oplossingen samen worden ingezet, leveren deze gelaagde tools een uitgebreidere beveiligingsmethode die effectiever is dan een enkele, zelfstandige implementatie, zoals alleen endpoint-bescherming. Helaas worden beveiligingstechnologieën niet geleverd met effectiviteitslabels op de doos. Het gebruik van eenvoudige kansberekeningen geeft echter elke beveiligingsstrategie een goede reden die helpt te overtuigen.
Drie manieren
Er zijn grofweg drie manieren om cyberaanvallen af te weren
- Bescherming/preventie
Dit type verdediging, dat de meeste kenmerken van endpoint-beveiliging omvat, kan op dezelfde manier worden beschouwd als antilichamen die bescherming bieden tegen infectie. Een aanvalspoging wordt opgemerkt en een geautomatiseerde bescherming voorkomt infectie en verspreiding. Die bescherming kan zijn in de vorm van processen die bestand zijn tegen aanvallen of beveiligingsmaatregelen die worden geactiveerd door vooraf gedefinieerde sets van omstandigheden of regels.
- Detectie
Hier handelt de verdediging op de signalen van een bestaande of lopende aanval. De technologie weet waar het op moet letten, heeft zicht op die bedreigingen en biedt, als ze worden gevonden, een organisatie de mogelijkheid om te reageren of de aanval te beperken. Zonder bewijs van deze dreiging zou het onopgemerkt blijven en hoogstwaarschijnlijk slagen.
- Vermijding
Volgens de militair strateeg Sun Tzu is de grootste overwinning die waarvoor geen strijd nodig is. Als je kijkt naar de moderne beveiligingswereld betekent dit dat er in de eerste plaats geen aanvalsoppervlakte wordt gepresenteerd, dus er vindt geen inbreuk plaats. Toegepast op it-beveiliging betekent dit dat aanvallen zijn te vermijden door malware-actoren in de eerste plaats geen ruimte te bieden. Deze vermijdingsstrategie wordt vandaag de dag nog veel te weinig gebruikt om het risico voor bedrijven te minimaliseren. Integendeel, bedrijven zijn zich vaak niet bewust van hun aanvalsoppervlakten, en tools die ze minimaliseren worden gezien als nice-to-haves.
Door een combinatie van deze drie defensieve strategieën, heeft een organisatie een aantoonbaar hoger verdedigingsniveau. Zonder in de afgezaagde ‘kill chain’-analyse te duiken, worden aanvallen door vermijding vermindert, stopt bescherming degene die er doorheen komen en maakt detectie een reactie mogelijk op bestaande of lopende aanvallen. Al met al is het eindresultaat een vermindering van potentiële en daadwerkelijke incidenten.
Zero-trust en de meerlaagse beveiligingsstrategie
Een meerlaagse beveiligingsstrategie helpt organisaties te reageren op een steeds hoger dreigingsniveau en zich aan te passen aan een nieuwe werkomgeving. Cyberbeveiligingsstrategieën die van oudsher vertrouwden op het beschermen van perimeters, moeten opnieuw worden beoordeeld. Werken op afstand, een trend die is versneld door de pandemie, is een van de verschuivingen waar beveiligingsprofessionals op reageren.
Om diezelfde reden gaan veel bedrijven over naar een zero-trust-omgeving waarin de netwerken tussen de gebruiker en de applicatie worden behandeld als ‘plumbing’ – het zijn geen vertrouwde omgevingen. Traditioneel gezien krijgen werknemers toegang tot het totale netwerk waar de applicatie zich bevindt, in plaats van alleen de applicatie zelf, en lopen het netwerk en alle andere residente applicaties risico. Dit probleem is ontstaan doordat het toenemende aantal thuiswerkers zorgt voor een verbreding van het it-domein van de onderneming. Voor veel organisaties omvat dit nu een groter aantal zakelijke en persoonlijke apparaten, evenals access-points thuis.
Zero-trust beveiligt elke toegang. Op die manier kunnen gebruikers gemakkelijk toegang krijgen tot de applicaties die ze nodig hebben zonder het netwerk open te stellen voor extra bedreigingen. Door een architectuurbenadering te hanteren waarin software-gedefinieerd beleid de juiste gebruiker veilig verbindt met de juiste app of service, zit er slechts één enkel beveiligd platform tussen gebruikers en internet. Dat platform inspecteert al het verkeer en past meerlaagse beveiliging toe voor het hoogste niveau van bescherming.
Bedrijven zijn zich steeds meer bewust van de noodzaak om hun apparaten, systemen en data-assets te beschermen door middel van een meervoudige benadering van cyberbeveiliging. Dit is mogelijk zonder onnodige complexiteit toe te voegen of wrijving voor eindgebruikers te veroorzaken. Het is onvermijdelijk dat steeds meer beveiligingsprocessen plaatsvinden binnen de cloud, de plaats van toegang tot applicaties. Meerlaagse beveiliging biedt de beste vorm van verdediging, omdat het proactief is op meerdere niveaus: het vermijden, detecteren en beschermen tegen cyberaanvallen en het voorkomen van de schade die ze veroorzaken.
Dino heeft gelijk, de beschrijving van Marc Lueck klopt niet met zijn vereenvoudigde theoretische uitkomst. Kansberekening voor een laag is bovendien lastig. Je kan bij een laag pas achteraf de bescherming berekenen (eigenlijk de kansen inschatten). Dan moet je wel over goede meetgegevens beschikken over de dreigingen, die door een bepaalde beschermingslaag tegengehouden moeten worden. Maar er zijn steeds nieuwe en aangepaste bedreigingen. Dus zijn er continu aangepaste en nieuwe methoden van verdediging nodig. Oftewel behaalde resultaten in het verleden zijn geen garantie voor de toekomst, zelfs niet voor het real time heden. Het is alleen duidelijk dat het dreigingsniveau door cybercriminelen en statelijke actoren hoger is dan dat van cybervandalisme en steeds hoger wordt.
Het gebruik van eenvoudige kansberekeningen is in de praktijk niet meer dan een grove indicatie van de bescherming. Door de overlappende bescherming, mag de kansen niet zomaar bij elkaar optellen. Bij uitsluitende gebeurtenissen mag je kansen wel bij elkaar optellen, bij willekeurige gebeurtenissen niet vanwege de doorsnede. Twee anti-malware lagen zijn dus niet twee keer zo goed als één laag. De invloed van de human factor is nog moeilijker om mee te nemen in de berekeningen. Hetzelfde geldt voor de onbedoelde gaten die je gratis krijgt via de zero days van je leverancier.
Belangrijk is dat men zich niet alleen richt op de kans dat het mis gaat, maar ook op de mogelijke schade als het mis gaat. De kans op schade maal de gemiddelde schade is gelijk aan de gemiddelde te verwachten schade. En ook dit is niet meer dan een indicatie. Het kan net zo goed vannacht al mis gaan i.v.m. de spreiding van de waarden en de schade kan ook meteen maximaal zijn. Dat laatste moet natuurlijk voorkomen worden. Dus hoe goed is je back-up en restore regiem, et cetera? Dit is een onderdeel van je verdediging.
De opmerking “Traditioneel gezien krijgen werknemers toegang tot het totale netwerk waar de applicatie zich bevindt.” deel ik niet. In de traditie geldt dat je juist geen toegang krijgt tot apparaten, data en toepassingen, tenzij. Door verschillende ontwikkelingen is dit veranderd. En niet zelden weet het management niet eens hoe het zit. Toegang tot het totale netwerk waar de applicatie zich bevindt, is natuurlijk wel risicovol, ook bij meerlaagse beveiliging, die meestal standaard is, maar lang niet altijd goed is uitgewerkt.
Het is niet dat ik geen geduld heb maar resumerend stroomt de bijval nog niet binnen voor de herdershond uit Oostenrijk, verrassend want na de reactie van Jaap dat het management niet weet hoe de bedrijfs- en operationele services werkelijk lopen had ik wel een reactie van Will verwacht. Hij richt zich met zijn bedrijf IT Visibility op dit probleem en dat hackers beter geïnformeerd zijn dan het management middels TCP/IP fingerprinting via een C&C server zou een belletje moeten laten rinkelen. Einde reclameboodschap.
Of de oorzaak van de door Jaap geconstateerde onwetendheid bij het management door de machiavellistische tweedeling met het pre-internet beheermodel van Looijen veroorzaakt wordt laat ik in het midden, maar uitbestedingen zorgen echter wel voor andere organisatorische dimensie en de academische wereld van SWA met een HPC cluster is dan ook niet de werkelijke wereld want dat is voor velen een supply chain van wachtrijsystemen. Ook binnen het wereldwijde wachten worden technieken uit de kansrekening gebruikt maar dan voor de meest efficiënte maatregelen om lange wachttijden te voorkomen, wachtrijen leiden namelijk tot irritatie. Tijd geeft aan de IT dan ook een geheel eigen dimensie want zet als Tita Tovenaar de klok maar eens stil om te kijken wat er met je netwerk en service gebeurt want het uiteindelijk niet de laag maar de zwakste schakel die telt. Ik leerde ooit dat als je met twee dobbelstenen gooit je bij elkaar opgeteld geen één kunt gooien en wat betreft plan B zou de continuering van je bedrijfsvoering in een multi-tenant hotel een optie kunnen zijn. Een gemiddeld MKB bedrijf heeft tenslotte niet een twin datacenter oplossing als ik de organisatorische dimensie uit mijn praktijkervaring bekijk. Wat betreft de kill chain ligt de bal dan ook nog op de stip en een mooie Cruyffiaanse wijsheid hierin is: “Als je ergens niet bent, ben je óf te vroeg, óf te laat.”
Vingers op steken voor degene die iets weten van het onboarding proces bij laten we zeggen een MKB bedrijf want er is niet alleen een verschil tussen een managed device en een unmanaged device maar er zijn ook nog verschillen in de toegang tot allerlei services zodat een net aangenomen werknemer zijn/haar werk kan doen op basis van rol en functie met bijbehorende rechten. En ja, dat kan ook een ZZP-er zijn met het attribuut extern zodat aangaande het informatiebeleid er terughoudendheid is. De convergentie van geluid, beeld en data overdracht in één oplossing en de snelle acceptatie van dit soort oplossingen als antwoord op de situatie van een lockdown brengt namelijk wel degelijke nieuwe uitdagingen met zich mee en één daarvan is dus een herziening van het vertrouwen. Kortom, het IdM systeem kent vele koppelingen met een groeiend aantal attributen en en een steeds langer wordende keten aan afhankelijkheden doordat er steeds meer processen uitbesteed worden en samenwerkingen voorbij de begrenzingen van de organisatie gaan. En wat betreft het omgekeerde proces van een kill chain als de arbeidsrelatie beëindigd wordt ligt er een uitdaging doordat alleen de toegang ontnemen tot het bedrijfsnetwerk al lang niet meer voldoende is. Zo moet bijvoorbeeld ook de presevering van bedrijfsdata (e-mail?) niet vergeten worden maar dat terzijde.
Dus ja, ik zou mee kunnen blaten met de verkeerde formules in de verkeerde dimensie om de aandacht van de zwakste schakel naar een abstracte laag te verleggen maar ik blijf liever bij mijn eigen leest. Dat is het (r)aambeeld van proces analyses want het management weet vaak niet de WAARDE van bepaalde bedrijfs- en operationele services. Zo was de e-mail service ooit ondersteunend aan de bedrijfsvoering omdat we de fax hadden maar langzaam is dit door een uitfasering van de fax veranderd, Dino kent de relatie tussen tijd en verandering. Ik kom nog even terug op het pre-internet beheermodel van Looijen als het om de functionele keus gaat want het idee om met je vinger in de dijk iets proberen tegen te houden als er ook een omtrekkende beweging gemaakt kan worden zegt iets over het behoudende denken. We hebben een hamer en daarom is alles een spijker is in dit geval een formule die klopt maar niet past, dus wie de schoen past trekt hem aan en steunt de herdershond uit Oostenrijk. En de vraag of je te laat of te vroeg ergens bent zal de tijd leren want terugreizen in de tijd middels een back-up kent enige beperkingen als we kijken naar het mogelijke productieverlies en de fiscale bewijslast.
Ewout, het management kent de potentiële waarde van bepaalde bedrijfs- en operationele services en bijbehorende data. Managers proberen zo veel mogelijk uit die services en data te halen. Alleen ze onderschatten heel vaak de bedreigingen en nog meer de maximaal potentiële schade.
Trouwens, waarom zou een keeshond uit de biblebelt leuker zijn dan een herdershond uit Oostenrijk?
Jaap,
De keeshond uit de biblebelt is niet leuker maar deze heeft waarschijnlijk wel een VoG en wat betreft resultaten uit het verleden weet ik niet wat een herdershond in Oostenrijk gedaan heeft, jij wel? Rottweilers zijn hier in de biblebelt trouwens populairder, een imposant beest wat de boerderij bewaakt en minder snel achter de hazen aan zal gaan. Als het om de attributieve bijvoegelijke naamwoorden gaat dan moet je het verschil tussen drie slag en buitenspel begrijpen:
https://www.youtube.com/watch?v=zlC9Q3SJnnE
Ewout, jij hebt van mij de duidelijk keuze gekregen om inhoudelijk en niet inhoudelijk te reageren. Jij kiest masochistisch voor de “3 strikes, you’re out” die Henri aan jou heeft gegeven. Wat zegt dit over jou(w VoG)?
de relatie tussen tijd en verandering..
nou vroeger :
– had je geen ebookbertjes
– ewout had nog klasse
– ict was leuk
– spelling werd niet gecontroleerd
– ik was nog grappig
– henri was nog enthousiast
zie je wel, het was gewoon allemaal beter
Tikkie terug Jaap want in één van de opinies van Henri werd over een compliance vinkje gesproken. Aanleiding was de CFO fraude waarop ik – naar ik me kan herinneren – reageerde dat als een keten van vertrouwen langer wordt de kans op fraude groter. En er is dan ook gerede twijfel dat het management acteert zoals ex-minister Donner het ooit zei: “Worst is lekker maar je moet niet willen weten hoe worsten gemaakt worden.”
Wat betreft een vertrouwen in een systeem van vinkjes is controle beter en eerdere vraag om referenties is daarin gerechtvaardigd, gezien je reactie zal ik een nee invullen. Wat betreft de netwerken gaat All People Seems To Need Data Processing om het leggen van relaties. Zo zou je bijvoorbeeld een aanname kunnen doen op basis van het vinkje voor de zaterdagcompetitie, van gegeven naar informatie gaat om kennis die je toevoegt aan een proces.
Je eigen woorden Jaap want de primaire bouwsteen voor veel processen is de kenniswerker, een automatisering van het proces gaat tenslotte veelal om dehumanisatie. Wat betreft de empathie van een computer denk ik dat de (bi)polariserende planeet waarin sommige lijken te geloven nogal dystopisch is. En wat betreft mijn vraag over de kill chain van een bepaald fenotype is mijn vraag over wie bij welk leger hoort interessant. Als het om de masochistische verlooching van een haan die driemaal kraait zijn principes voor sommigen als schoenen.