We zien eigenlijk niet zo veel nieuwe trends. Het zijn nog altijd identiteitsdiefstal, ransomware en phishing. Maar die gaan veel sneller en veel dieper dan vroeger’, zo begint Yves Lemage, director systems engineering bij Fortinet in België en Luxemburg, het interview. Met hem en andere specialisten bezien we dreiging, aanpak en technologie.

Dreigingslandschap – sneller, geraffineerder en gericht op identiteit

Het huidige dreigingslandschap wordt vooral gekenmerkt door snelheid. Aanvallen volgen elkaar sneller op, kwetsbaarheden worden sneller misbruikt en campagnes worden op grotere schaal uitgerold. ‘Kwetsbaarheden worden automatisch gedetecteerd. Dat voert de snelheid ook op om ze uit te buiten’, aldus Yves Lemage.

Die evolutie wordt sterk gedreven door kunstmatige intelligentie. Phishingmails zijn vandaag nauwelijks nog te onderscheiden van legitieme communicatie en worden vaak gecombineerd met andere kanalen. ‘We zien dat phishing veel realistischer is geworden. Zelfs telefoongesprekken worden nagebootst.’

Ook supply chain-risico’s blijven toenemen. Door de verregaande digitalisering zijn bedrijven steeds nauwer met elkaar verbonden. ‘Hoe meer koppeling, hoe groter het risico dat er ergens iets misloopt en het doelwit er last van heeft.’

Volgens Lemage zit de zwakte vaak in controle en governance. ‘Er worden wel vereisten opgelegd, maar de verificatie daarvan is in veel gevallen niet aangepast aan de huidige realiteit.’

Ai als versneller én intern risico

Ai speelt een dubbele rol. Enerzijds maakt het aanvallen efficiënter, anderzijds creëert het nieuwe risico’s binnen organisaties zelf. Een recente case bij McKinsey & Company toont hoe een autonome ai-agent via een klassieke api-kwetsbaarheid toegang kreeg tot een intern ai-platform en grote hoeveelheden data kon raadplegen.

Al ziet Fleur van Leusden, security expert en ciso, het gevaar van ai vooral in het interne gebruik. ‘Mensen gebruiken ai voor zaken waar het niet geschikt voor is, of zonder voldoende begrenzing. Dat heeft vaak onbedoelde consequenties’, meent ze. Of hoe het grootste securityrisico rondom ai vaak het onveilige of onjuiste gebruik van ai zélf is.

Aanpak – proactief waar mogelijk, maar processen blijven de sleutel

Veel organisaties willen proactiever worden in hun security-aanpak, maar de realiteit is complex. Toch ziet Yves Lemage duidelijke vooruitgang, vooral bij grotere bedrijven. ‘Die omslag is wel bezig.’

Organisaties brengen hun aanvalsvlak in kaart, identificeren kritische data en bereiden zich voor op incidenten. ‘Ze doen oefeningen en bereiden proactief hun acties voor. Ze wachten niet meer tot er iets gebeurt.’ Die evolutie vertaalt zich in meer aandacht voor threat hunting, threat intelligence en incident response. Security wordt minder reactief en meer anticiperend.

Mkb blijft worstelen met de basis

Die maturiteit is echter niet overal gelijk. Vooral kleinere organisaties blijven achter, vaak door een gebrek aan structuur. Volgens Lemage ligt de kern van het probleem bij processen. ‘Als die securityprocessen er niet zijn, dan kan je nog zoveel oplossingen implementeren als je wilt. Er zal altijd wel een weg omheen zijn.’

Hij wijst op het ontbreken van basismaatregelen zoals patchmanagement, monitoring en incident response. ‘Heel veel bedrijven hebben daar zelfs nog niet over nagedacht. Maar zonder processen en discipline blijven organisaties kwetsbaar.’

Mfa onder druk: de les van Odido

Zelfs wanneer technologie correct is geïmplementeerd, blijft de menselijke factor een doorslaggevende rol spelen. Dat blijkt onder meer uit de beperkingen van multifactorauthenticatie of mfa. Hoewel mfa breed is ingevoerd, is het geen waterdichte oplossing. Volgens Fleur van Leusden toont de hack bij Odido, waarbij gegevens van ongeveer 6,2 miljoen accounts werden buitgemaakt, dat duidelijk aan. Bij die aanval kregen criminelen toegang doordat medewerkers onder druk mfa-verzoeken goedkeurden. ‘Zelfs mfa kon hen niet tegenhouden als medewerkers op ‘approve’ klikken’, stelt ze vast. Aanvallers maken gebruik van social engineering en zogenaamde mfa-fatigue om gebruikers te misleiden. Dat onderstreept het belang van monitoring en duidelijke processen.

Volgens cybersecurity-ondernemer Erik Westhovens toont de Odido-aanval ook aan dat organisaties moeten omdenken. Jarenlang lag de focus op sterke wachtwoorden en tweefactorauthenticatie. Dat blijft belangrijk, maar aanvallers richten hun pijlen steeds vaker op wat er gebeurt nadat een gebruiker al is ingelogd. ‘Het gaat om de sessie: cookies, tokens en digitale sleutels, die het systeem vertellen dat iemand geverifieerd is. Voor een aanvaller zijn die sleutels vaak waardevoller dan het wachtwoord zelf’, zo legt Westhovens uit. ‘Trachtte een aanvaller vroeger je wachtwoord of code te bemachtigen, dan wil hij tegenwoordig jou zijn.’

Securityportfolio – integratie, identiteit en controle

De evoluties in het dreigingslandschap en de aanpak vertalen zich rechtstreeks naar het securityportfolio. Organisaties zoeken meer integratie, meer automatisering en vooral meer zicht op hun omgeving.

Volgens Yves Lemage is er een duidelijke trend naar platformisering. ‘Bedrijven gaan niet meer met twintig verschillende leveranciers werken. Ze kiezen voor een beperkt aantal platformen die goed samenwerken.’ Voor grotere organisaties betekent dat een combinatie van meerdere platformen, terwijl kleinere bedrijven eerder kiezen voor één geïntegreerde oplossing.

Meer visibiliteit met EDR en XDR

Een belangrijke evolutie is de verschuiving naar meer visibiliteit, met technologieën zoals EDR en XDR. EDR, of Endpoint Detection and Response, focust op het beveiligen van endpoints zoals laptops en servers. Het registreert wat er op die systemen gebeurt, analyseert gedrag en kan verdachte activiteiten detecteren en isoleren.

XDR, of Extended Detection and Response, bouwt daarop verder. ‘Waar EDR zich beperkt tot endpoints, combineert XDR signalen uit meerdere bronnen’, legt Lemage uit. Denk aan cloudomgevingen, e-mail en identiteitsbeheer. ‘Een XDR-oplossing zorgt ervoor dat gegevens gedeeld worden tussen verschillende systemen, zodat er automatisch actie kan worden ondernomen.’

Zero trust vraagt focus

Zero trust – waarbij geen enkele gebruiker of toegang automatisch wordt vertrouwd en alles continu wordt gecontroleerd – blijft een belangrijk concept, maar de implementatie blijkt uitdagend. Volgens Lemage proberen organisaties het vaak te breed toe te passen. ‘Het is belangrijk dat klanten kijken naar hun grootste dreigingen en daar het principe toepassen, en niet overal een beetje.’

De focus ligt daarbij op identiteit en toegangsbeheer, zeker in omgevingen met externe partners. Identiteit wordt steeds meer het centrale controlepunt. Oplossingen zoals privileged access management winnen aan belang. ‘We zien meer en meer vraag naar oplossingen waarbij gebruikers niet meer zelf hun wachtwoord kennen en toegang automatisch wordt beheerd. Dat maakt het mogelijk om toegang strikt te controleren en volledig te monitoren.’

Ai onder controle houden

Tot slot verschuift de aandacht opnieuw naar data. Door het gebruik van ai-tools groeit de behoefte aan controle over waar informatie naartoe gaat. ‘Wat klanten vandaag vooral bezighoudt, is: waar kunnen mijn gebruikers naartoe en wat kunnen ze uploaden?’, aldus Lemage.

Daarom zien we vandaag een heropleving van het klassieke data loss prevention en nieuwe oplossingen zoals ai-gateways, die het gebruik van ai binnen organisaties moeten controleren. Of hoe dergelijke oplossingen toch ook een antwoord geven op de gevaren die van binnenuit komen.