De verdediging tegen cybercrime is voor organisaties complex. Enerzijds is de hoeveelheid data die gedeeld wordt immens. Deling van informatie vindt niet meer slechts plaats op vaste werkcomputers, maar ook via hybride apparaten als laptops en telefoons. Vanaf overal ter wereld kunnen medewerkers, klanten en leveranciers in de supply chain inloggen in bedrijfssystemen. Dat is een flink netwerk om te beveiligen. Anderzijds zijn criminelen vernuftig in hun aanvallen en manieren om systemen binnen te komen.
Kortom, een lastige combinatie die maakt dat bedrijven gevoelsmatig altijd een stap achterlopen in hun beveiliging. Het is tijd om het over een andere boeg te gooien en een stap eerder te zijn.
Traditionele aanpak
Veel bedrijven hanteren eenzelfde, veelvoorkomende aanpak als het gaat om onderzoek naar cybercriminelen. Bijvoorbeeld nadat ze slachtoffer zijn geworden van ransomware-aanval. Vaak zijn zaken als het bestand, domein van de hacker, bijbehorende ip-adres en/of de hashwaarde van het bestand de pijlers waarop onderzoeken gestoeld zijn.
Begrijp me niet verkeerd, dat is niet per definitie een slechte zaak. Deze factoren geven een goede indicatie van de manier waarop de aanval tot stand is gekomen, maar zijn ook de factoren die cybercriminelen gemakkelijk aanpassen of veranderen bij een volgende keer dat ze je systemen in willen. Op basis hiervan ga je cybercriminelen een volgende keer dus niet herkennen en blijven ze je altijd een stap voor.
Patronen
Beter is het om de bewegingen van criminele groepen proberen te vatten en in kaart te brengen. Wat doen ze tijdens zo’n aanval? Welke stappen doorlopen ze? Wordt er een bepaald patroon gevolgd?
Met antwoorden op deze vragen til je je cyberbeveiliging naar een compleet ander niveau. Gedragingen en patronen zijn voor criminelen namelijk een stuk moeilijker te veranderen dan een domeinnaam of ip-adres. Door informatie te verzamelen over de werkwijzen die ze hanteren, pak je ze op een veel hoger niveau. Hiermee vergroot je de kans om verdacht gedrag te herkennen, hierop te anticiperen en daarmee aanvallen op tijd tegen te houden.
Outtasking
Nu hoor ik je denken dat het monitoren van gedragingen makkelijker gezegd is dan gedaan. Zaken als het bestand of het domein van een hacker zijn zichtbaar en daarmee gemakkelijker te achterhalen in vergelijking met gedragingen. Bovendien vergt het specialistische tools en kennis om patronen en gedragingen naar boven te halen. Het kan dus nogal een opgave lijken om de beveiliging van jouw organisatie op dit niveau in te steken.
Gelukkig hoef je dit niet alleen te doen. Kijk eens of je die specifieke tools en kennis wellicht extern in huis kunt halen. Met outtasking behoud jij de regie over de systeem- en databeveiliging, maar hoef je je niet druk te maken om de dagelijkse monitoring en uitvoering.
Eén stap
Zolang cybercriminelen geld kunnen verdienen met het stelen of versleutelen van jouw systemen, stoppen ze niet. Pak je beveiliging tegen cybercriminaliteit daarom eens anders aan. Honderd procent garantie dat je nooit slachtoffer wordt van cybercriminaliteit krijg je niet. Maar door het cybercriminelen zo moeilijk mogelijk te maken, minimaliseer je de kans om slachtoffer te worden wel. Door met de juiste tools de patronen en gedragingen van hackers en andere cybercriminelen in kaart te brengen, loop je in elk geval voortaan één stap voor.
(Auteur Ronald Pool is cybersecurityspecialist bij CrowdStrike.)
