In elk conflict is het credo: ken uw vijand. Dit is slechts de helft van het advies dat Sun Tzu gaf in zijn boek 'De kunst van het oorlogvoeren'. De militair strateeg zegt namelijk: 'Ken uzelf en uw vijand en u zult in honderd gevechten nooit verliezen.' Dat geldt ook voor het kat-en-muisspel tussen cybercriminelen en it-beveiligers. Zo is kennis van het dreigingslandschap alleen nuttig als er ook kennis is van het aanvalsoppervlakte.
It-securityspecialisten hebben het voortdurend over het ’threat landscape’, of het bedreigingslandschap. Hiermee doelen zij op de wereld van cybercriminelen. Welke dreigingen en aanvallen verzinnen zij allemaal en hoe leggen deze de it-omgeving onder vuur? Het is natuurlijk belangrijk om hier zicht op te hebben, maar eerlijk gezegd kunnen it-securityspecialisten weinig uitrichten om dit landschap te veranderen.
De verdediging moet niet uitgaan van het threat landscape, maar van het ‘attack surface’. Dit aanvalsoppervlakte bestaat uit alle apparaten en applicaties binnen (en buiten) de it-omgeving waar cybercriminelen hun acties op richten. Daar hebben it-securityspecialisten wel controle over. De uitdaging ligt erin om voor te stellen hoe een aanval uit het threat landschap zou kunnen komen. Hoe kan het binnenkomen en hoe kan het zich verspreiden door de infrastructuur en schade aanrichten in bedrijfsprocessen. Dit is het deel “ken uw vijand” waar Sun Tzu op doelt.
Verdediging
Het tweede deel van dit advies – ken uzelf – bestaat uit het leren kennen van het aanvalsoppervlak. Vervolgens is het mogelijk om ‘honderd gevechten te winnen’ door de kennis van de vijand en de eigen omgeving in te zetten voor de verdediging. Attack surface management (asm) is een voortdurend proces van weten welke it-middelen er zijn en deze classificeren naar risico voor wat er allemaal uit het threat landscape kan voortkomen. Dat is dus geen statisch of eenmalig proces, maar een continue herhaalde ontdekking, beoordeling en bescherming van alle it-middelen.
Asm kijkt naar de organisatie door de ogen van cybercriminelen. Dat helpt bij het prioriteren van onderhoud, upgrades, patches, de aanschaf van tools en het vaststellen van beleid. Het dwingt cio’s en ciso’s na te gaan waar aanvallers het eerst zullen toeslaan. De multi-cloud en hybride omgevingen waarin veel organisaties zich nu bevinden, is echter niet de ‘eigen’ omgeving. Daarom moet asm zich ook richten op het externe aanvalsoppervlak (easm). Elke toepassing, elke poort, elke server en website, elke cloud en container; het moet allemaal, en nog veel meer, worden bekeken, beoordeeld en beschermd.
Verre uithoeken
Volledig geïntegreerde (e)asm toont de hele it-omgeving in één oogopslag, van it-middelen op locatie tot de verre uithoeken van de cloud. Een analist kan deze assets en hun kwetsbaarheden ontdekken voordat aanvallers dat doen. Dat geldt zelfs in een flexibele it-omgeving die wordt geplaagd door schaduw-it en voortdurend veranderende leveranciers, serviceproviders en andere derden. Het maakt een einde aan het denken in silo’s en dat is maar goed ook want dit speelde cybercriminelen juist in de kaart. Beheerde en geautomatiseerd geüpdate databases voor configuratiebeheer (cmdb’s) geven it-beveiligingsteams een diepgaand, contextueel inzicht in wat de status is van elk asset, wat het doet, hoe het is geconfigureerd en welke afdeling of persoon het beheert.
Een easm-oplossing overziet het externe aanvalsoppervlak en maakt een continue risicobeoordeling mogelijk. Het verzamelt de informatie van alle it-middelen en zet dit in context met het gebruik ervan. Het verrijkt dit door het bewaken van configuraties (bijvoorbeeld niet-geautoriseerde open poorten, niet-goedgekeurde diensten of vervallen of verlopen SSL-certificaten). Door integratie met bronnen zoals de connected-device search engine van Shodan kunnen IT-beveiligers potentiële kwetsbaarheden vinden en daarop inspelen voordat cybercriminelen daar misbruik van kunnen maken.
Controle en orde
De combinatie van easm met cmdb levert wat it-beveiligingsprofessionals het meest nodig hebben: realtime-zichtbaarheid van de hele it-omgeving. Met andere woorden: controle en orde. Voorheen onbekende of onbeheerde assets komen in beeld en risicobeperking maakt een sprong voorwaarts. Geautomatiseerde workflows verwijderen kwetsbaarheden op grote schaal, wat de overweldigende taak van onderzoek en patching vereenvoudigt. Easm met cmdb versterkt de kennis van zowel de vijand als de eigen it-omgeving en daarmee de verdediging voordat een aanvaller er doorheen kan glippen.
Het heeft weliswaar even geduurd voordat dit mogelijk was, maar dit is een zegen voor it-beveiligingsprofessionals.
