De bouwstenen van een goede cyberbeveiligingsstrategie bestaan uit effectieve identificatie en beperking van dreigingen. De keuzes voor deze strategie worden gemaakt op basis van kosten, complexiteit, geschiktheid en implementatie-gemak. Een strategie die gebaseerd is op een beperkt aantal beveiligingsmethoden, kan echter tekortschieten als passend beschermingsniveau voor bedrijfsapplicaties en -gegevens.
Een meerlaagse aanpak biedt een uitgebreidere beveiliging voor de manier waarop bedrijven tegenwoordig werken. Meerlaags klinkt al beter dan een eendimensionale benadering, hoe effectief die besturing ook is. Businesscases worden echter niet op instinct gemaakt of goedgekeurd. Daarom moeten de voordelen van een meerlaagse beveiligingsstrategie met cijfers worden onderbouwd. Als een beveiligingsmaatregel 99,9 procent effectief is, is één op de duizend potentiële inbreuken succesvol. Bij het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau (meerlaagse beveiliging), wordt het succespercentage verlaagd naar één op tweeduizend.
Bij cyberbeveiliging kan elke ingezette verdediging een aanval stoppen. Elke oplossing heeft echter sterke en zwakke punten en een duidelijk doel. Wanneer deze oplossingen samen worden ingezet, leveren deze gelaagde tools een uitgebreidere beveiligingsmethode die effectiever is dan een enkele, zelfstandige implementatie, zoals alleen endpoint-bescherming. Helaas worden beveiligingstechnologieën niet geleverd met effectiviteitslabels op de doos. Het gebruik van eenvoudige kansberekeningen geeft echter elke beveiligingsstrategie een goede reden die helpt te overtuigen.
Drie manieren
Er zijn grofweg drie manieren om cyberaanvallen af te weren
- Bescherming/preventie
Dit type verdediging, dat de meeste kenmerken van endpoint-beveiliging omvat, kan op dezelfde manier worden beschouwd als antilichamen die bescherming bieden tegen infectie. Een aanvalspoging wordt opgemerkt en een geautomatiseerde bescherming voorkomt infectie en verspreiding. Die bescherming kan zijn in de vorm van processen die bestand zijn tegen aanvallen of beveiligingsmaatregelen die worden geactiveerd door vooraf gedefinieerde sets van omstandigheden of regels.
- Detectie
Hier handelt de verdediging op de signalen van een bestaande of lopende aanval. De technologie weet waar het op moet letten, heeft zicht op die bedreigingen en biedt, als ze worden gevonden, een organisatie de mogelijkheid om te reageren of de aanval te beperken. Zonder bewijs van deze dreiging zou het onopgemerkt blijven en hoogstwaarschijnlijk slagen.
- Vermijding
Volgens de militair strateeg Sun Tzu is de grootste overwinning die waarvoor geen strijd nodig is. Als je kijkt naar de moderne beveiligingswereld betekent dit dat er in de eerste plaats geen aanvalsoppervlakte wordt gepresenteerd, dus er vindt geen inbreuk plaats. Toegepast op it-beveiliging betekent dit dat aanvallen zijn te vermijden door malware-actoren in de eerste plaats geen ruimte te bieden. Deze vermijdingsstrategie wordt vandaag de dag nog veel te weinig gebruikt om het risico voor bedrijven te minimaliseren. Integendeel, bedrijven zijn zich vaak niet bewust van hun aanvalsoppervlakten, en tools die ze minimaliseren worden gezien als nice-to-haves.
Door een combinatie van deze drie defensieve strategieën, heeft een organisatie een aantoonbaar hoger verdedigingsniveau. Zonder in de afgezaagde ‘kill chain’-analyse te duiken, worden aanvallen door vermijding vermindert, stopt bescherming degene die er doorheen komen en maakt detectie een reactie mogelijk op bestaande of lopende aanvallen. Al met al is het eindresultaat een vermindering van potentiële en daadwerkelijke incidenten.
Zero-trust en de meerlaagse beveiligingsstrategie
Een meerlaagse beveiligingsstrategie helpt organisaties te reageren op een steeds hoger dreigingsniveau en zich aan te passen aan een nieuwe werkomgeving. Cyberbeveiligingsstrategieën die van oudsher vertrouwden op het beschermen van perimeters, moeten opnieuw worden beoordeeld. Werken op afstand, een trend die is versneld door de pandemie, is een van de verschuivingen waar beveiligingsprofessionals op reageren.
Om diezelfde reden gaan veel bedrijven over naar een zero-trust-omgeving waarin de netwerken tussen de gebruiker en de applicatie worden behandeld als ‘plumbing’ – het zijn geen vertrouwde omgevingen. Traditioneel gezien krijgen werknemers toegang tot het totale netwerk waar de applicatie zich bevindt, in plaats van alleen de applicatie zelf, en lopen het netwerk en alle andere residente applicaties risico. Dit probleem is ontstaan doordat het toenemende aantal thuiswerkers zorgt voor een verbreding van het it-domein van de onderneming. Voor veel organisaties omvat dit nu een groter aantal zakelijke en persoonlijke apparaten, evenals access-points thuis.
Zero-trust beveiligt elke toegang. Op die manier kunnen gebruikers gemakkelijk toegang krijgen tot de applicaties die ze nodig hebben zonder het netwerk open te stellen voor extra bedreigingen. Door een architectuurbenadering te hanteren waarin software-gedefinieerd beleid de juiste gebruiker veilig verbindt met de juiste app of service, zit er slechts één enkel beveiligd platform tussen gebruikers en internet. Dat platform inspecteert al het verkeer en past meerlaagse beveiliging toe voor het hoogste niveau van bescherming.
Bedrijven zijn zich steeds meer bewust van de noodzaak om hun apparaten, systemen en data-assets te beschermen door middel van een meervoudige benadering van cyberbeveiliging. Dit is mogelijk zonder onnodige complexiteit toe te voegen of wrijving voor eindgebruikers te veroorzaken. Het is onvermijdelijk dat steeds meer beveiligingsprocessen plaatsvinden binnen de cloud, de plaats van toegang tot applicaties. Meerlaagse beveiliging biedt de beste vorm van verdediging, omdat het proactief is op meerdere niveaus: het vermijden, detecteren en beschermen tegen cyberaanvallen en het voorkomen van de schade die ze veroorzaken.
“Als een beveiligingsmaatregel 99,9 procent effectief is, is één op de duizend potentiële inbreuken succesvol. Bij het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau (meerlaagse beveiliging), wordt het succespercentage verlaagd naar één op tweeduizend.”
Hoe zou die wiskunde hier toegepast moeten worden voor de kans op succesvol doorbreken van de beveiliging :
1/(1000 + 1000) = 1/2000 ?
1/1000 * 1/1000 = 1/1000000 ?
Het artikel gaat verder over dimensies. Dat suggereert dat de beschermingsnivos onafhankelijk van elkaar zijn.
“Het gebruik van eenvoudige kansberekeningen geeft echter elke beveiligingsstrategie een goede reden die helpt te overtuigen.”
Nog niet overtuigd.
Je leert een hond nog sneller het Wilhelmus zingen dan dat je Dino overtuigt maar gaat de grootste overwinning waar geen strijd voor nodig is niet om de moed bij je tegenstander weg te nemen om nog aan te vallen?
Statistisch (wat ook wiskude is) gezien zijn veel aanvallen opportunistisch dus door het de aanvaller lastiger te maken is de kans groter dat ze het bij de buren proberen. Nee, er is geen 100% zekerheid als je naast de voordeur van de perimeter verdedigiging ook nog elke kamer van een deur voorziet maar van de vuurmuur naar de branddeur voor compartimering is niet onlogisch. Als we kijken naar het hotel van multi-tenancy kijken is het echter wel lastig te beheren.
Eén van de uitdagingen met zero trust is dan ook het beheer want hoe weet ik wie er bij welke leger hoort, wat betreft de Art of War heeft Sun Tzu namelijk ook wat gezegd over misleiding.
@oudlid,
sjeezus…. dino heeft gewoon gelijk er klopt niets van de statistische beweringen in die eerste paragraaf en het legt pijnlijk bloot hoe blaat-management-volk een probleem voor iedereen is. t klinkt allemaal heel imposant enzv, maar het is gewoon bullshit!
de kansen dat BEIDE (onafhankelijke) beveiligingslagen TESAMEN/TEGELIJK doorbroken worden is het product van de individuele kansen = 1/1000 * 1/1000 = 1/10000000 (onder de voorwaarden dat er geen correlatie/afhankelijkheid dus is tussen de twee beveiligingsmethoden. het is natuurlijk niet zo dat als het breken van laag 1 ook automatisch laag 2 breekt, dan is natuurlijk de kans weer 1/1000).
SWA,
De middeleeuwse strategie van een waterlinie was effectief tegen een vijand zonder vleugels maar tijden veranderden. Een architectuurbenadering van de juiste gebruiker verbinden aan de juiste app of service gaat namelijk om het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau op een andere laag van het OSI-model. Dus ja, de beschermingsniveaus kunnen inderdaad onafhankelijk van elkaar zijn omdat een apparaat gedeeld kan worden met verschillende rechten als we kijken naar idee van logische en fysieke toegang. Nu denk ik dat je dit niet kunt doen zonder de nodige complexiteit toe te voegen of zonder wrijving bij eindgebruikers te veroorzaken maar het toevoegen van extra beveiligingslagen zal het succespercentage van de aanvaller verkleinen, het blaat-management (multi/anycasting) in het netwerk zul je moeten verkleinen om niet het verkeerde volk te lokken.
Van eenvoudige wiskunde meteen naar de effectiviteit van middeleeuwse strategie van een waterlinie tegen een vijand zonder vleugels..
Multiblaat op de perimeter van Computable, als een alpha op planeet Tschai, kwakend op vele borden.
Ik geef me gewonnen want oudlid is specialist in wrijving veroorzaken door toevoegen van onnodige complexiteit.
Tot zover het amusement.
Waar het om zou moeten gaan is waarom je naar een hotel zou willen om je veilig te voelen
@Dino
Ik viel ook over de statistiek in het artikel, die klopt namelijk helemaal niet.
Aan de andere kant gaat statistiek hier niet altijd op. Verschillende beveiligingsproducten hebben misschien wel andere sterktes en zwakheden, maar ze zullen ongetwijfeld ook gedeelde zwakheden hebben. De kans op een succesvolle aanval nogmaals door 1000 delen bij een tweede beveiliging is dan veel te rooskleurig (vanuit de verdediging bekeken), delen door 2 komt dan wellicht dichter bij de waarheid. Dus de uitkomst klopt misschien wel, maar de bijgevoegde berekening / beredenering klopt voor geen meter.
Voeg daaraan toe dat de tekst soms wel door Google Translate lijkt te zijn vertaald, en de totaal overbodige random tags met verdere uitleg die de redactie heeft toegevoegd (waarom moet juist hier worden uitgelegd wat “netwerken” zijn, en wat heeft het computerbedrijf Sun te maken met de strateeg Sun Tzu), dat geeft het artikel een flinke zet naar beneden, terwijl het onderwerp zeer belangrijk is en er goede punten in het artikel staan.
@allen
Laat de discussie over de noodzaak van een meerlaagse verdediging gaan!
De auteur zelf komt met “eenvoudige kansberekening”, meerlaagse en dimensies.
Lagen horen niets te delen, anders hoort het in dezelfde laag. Dimensies delen niets, daarom heten het dimensies.
Het artikel gaat natuurlijk over meerlaagse beveiliging, maar ik vroeg me zo af waarom iedereen zijn data en software zo graag in een hotel van multi-tenancy wil zetten, om zich daarna druk te maken om de verdediging ervan..
Bla bla zero trust, maar je laat je beveiliging over aan (de tools van) de cloudprovider.
Tot nu toe vond ik die one-issue politieke partijen zo bijzonder dat ze het onderwerp zo snel naar hun issue konden buigen, maar nu zie ik hoe gemakkelijk dat is 😉
@allen,
– het gezwam van oudlid voegt verder niets toe.
– basis statistiek is middelbare school stof. De auteur is alle credit al kwijt bij die basis fout.
– let op er is meer wiskunde dan je altijd denkt te weten: “Dimensies delen niets, daarom heten het dimensies.” is een onjuiste definitie. Hier meer: https://en.wikipedia.org/wiki/Dimension. De essentie is dat de definitie die jij probeert te hanteren voor een stukje van de ruimte op zou kunnen gaan maar niet voor de gehele gekromde ruimte altijd. Wat wel behouden blijft is het aantal coördinaten dat nodig is om de ruimte te beslaan en dat laat toe dat op plekken van de ruimte sommige coördinaten niet meer onafhankelijk zijn en dus wel degelijk ‘ruimte kunnen delen’. Niet alle ruimtes zijn eenvoudig en euclidisch (https://en.wikipedia.org/wiki/Euclidean_space). Tot zo ver de les.
ik zou zeggen schoenmakers…. dus… als je een manager bent, bemoei je je maar niet meer met de inhoud 😛
Dino,
Natuurlijk kun je meegaan in ad hominem van Jaap maar het wiskundige concept kans is gerelateerd maar niet gelijk aan het concept waarschijnlijkheid. Simpel gezegd is kans dus een manier om de relatie uit te drukken tussen het aantal gunstige uitkomsten in een bepaalde situatie ten opzichte van het aantal ongunstige uitkomsten uitgedrukt in een verhouding zoals 1/1000. Eén ongustige uitkomst tegen 1000 gunstige uitkomsten is zonder de relatie van impact echter nog altijd niks zeggend als risico. Of zoals Godfried Bomans het zei: “Een statisticus waadde vol vertrouwen door een rivier die gemiddeld één meter diep was. Hij verdronk.”
Machiavelli was ook een militair strateeg dus wat betreft de beste verdediging kun je ook kiezen voor verdeel en heers, ieder op zijn eigen wetenschappelijke planeet.
Wiskunde is een mooi vakgebied maar de statistische kansberekening van Lingo houdt geen rekening met het feit dat er niet alleen telkens meer ballen bij komen maar ook nog eens van andere kleuren. Ik zw(e)(a)m natuurlijk maar wat voor de amusmentwaarde maar de business besluit niet alleen steeds vaker buiten de deur IT af te nemen maar hierin ook steeds vaker haar eigen devices te kiezen, “We are all just prisoners here of our own device.” zoals het liedje van de Eagles over Hotel California gaat. En wat betreft het All People Seems To Need Data Processing met de collaboration systems die als toegevoegde laag of de Systems of Record heen zijn gelegd is zero trust dan ook een lastige omdat het door- of overgeven van de rechten op basis van rollen tussen de verschillende lagen begint te wringen met de beveiligingsregels.
En dan heb ik het nog niet eens over het vals spelen, in het land van de zesjes is degene die op zijn handen gaat lopen een negen.
@allen, wie vindt dat geblaat van oudlid eigenlijk humoristisch? Behalve hij zelf.