Een slimmere beveiligingsaanpak

Cybercrime is niet te stuiten. Hoe ermee om te gaan? We moeten ons niet concentreren op het verminderen van het aantal aanvallen, maar op het zo snel en effectief mogelijk nemen van tegenmaatregelen. De nadruk moet liggen op detectie in plaats van preventie.

Het aantal cyberaanvallen groeit en de gevolgen worden groter. Voorheen bleef het bij niet-werkende systemen: een technisch probleem. Al snel kwamen daar gestolen data bij. Dit zorgde voor privacy-issues en problemen met bepaalde processen in de bedrijfsactiviteiten. Inmiddels zitten we op bedrijfsbreed niveau. Een cyberaanval zorgt voor totale ontwrichting van bedrijfsprocessen en kan schadelijk zijn voor inkomsten en reputatie. Het World Economic Forum bepaalde onlangs dat onderbreking van digitale processen tot de belangrijkste bedrijfsrisico’s hoort. Hoog tijd dus dat security prioriteit krijgt op zowel de werkvloer als in de boardroom.

Parallel daaraan loopt een andere discussie: is de huidige aanpak van cybercrime, gericht op preventie, wel de meest zinvolle en effectieve? Alle ontwikkelingen in firewalls en meerlaagse beveiliging ten spijt, komen er nog steeds aanvallen op ons af, en met succes. Wat als we dat nu eens als feit accepteren? Niet langer proberen het plaatsvinden van aanvallen te minimaliseren, maar accepteren dat aanvallen gebeuren en zo snel en effectief mogelijk tegenmaatregelen nemen.

 

Naar detectie

De verschuiving van technisch IT-vraagstuk naar bedrijfsvraagstuk, gaat dus gelijk op met een nieuwe manier waarop we naar security kijken. Gartner adviseert een heroverweging van het beschikbare securitybudget, waarbij er meer nadruk komt te liggen op detectie en tegenmaatregelen, in plaats van op preventie. In 2020 zullen bedrijfssystemen vrijwel continu blootgesteld worden aan dreigingen: dit tegengaan is geen optie, bepalend is hoe je ermee omgaat.

In deze ommekeer gaat vooral veel aandacht naar het inbouwen van meer intelligentie. ­Elke cyberdreiging, hoe geavanceerd ook, laat sporen achter. Veel bedrijven hebben detectiesystemen geïnstalleerd en andere sensoren ­ingebouwd om verdachte handelingen op het netwerk te signaleren. Deze sensoren zitten onder meer in firewalls, intrusion detection/prevention systems (IDS/IPS), applicatie-gateways, antivirus/anti-malware en endpoint-beveiliging. Dit levert in sommige gevallen duizenden events per minuut. Het is zo overweldigend dat het voor beveiligingsteams niet te doen is er wijs uit te worden. Business intelligence is uitgevonden om orde te scheppen in grote hoeveelheden bedrijfsdata en er relevante informatie uit te halen. Security intelligence kan hetzelfde betekenen op beveiligingsgebied. Nu wordt daar nog te weinig mee gedaan en vindt forensische analyse achteraf plaats. Wat als we dat moment naar voren schuiven en combineren met security intelligence en event monitoring (SIEM)? Het zijn tools die veel bedrijven in huis hebben, maar die niet op elkaar zijn afgestemd, niet voor die doelen worden ingezet, of niet op de juiste manier worden gebruikt.

 

Twee meeteenheden

Effectieve IT-beveiliging is afhankelijk van specialisten, goed gedefinieerde policies en processen en een reeks geïntegreerde technologieën. Aanvallen die geavanceerder worden, vragen om geavanceerde technologie om de expertise van mensen bij te staan. Security intelligence helpt om opgeslagen data uit logbestanden, machinegegevens en sensoren waarde te geven. Daarmee kan effectief worden gereageerd op bedreigingen. Een hoge mate van automatisering is dus van belang om end-to-end detectie en reactie mogelijk te maken.

Binnen het proces van detectie en reactie zijn twee meeteenheden te definiëren om verbeteringen in het proces inzichtelijk te maken. De ‘mean-time-to-detect’ (MTTD) ofwel gemiddelde detectietijd en de ‘mean-time-to-respond’ (MTTR), de gemiddelde reactietijd. De gemiddelde detectietijd is de gebruikelijke tijd die nodig is voor een organisatie om die dreigingen te ontdekken en te kwalificeren die mogelijk de bedrijfsactiviteiten of de organisatie als geheel kunnen schaden. De gemiddelde reactietijd is de gebruikelijke tijd die nodig is voor een organisatie om de dreiging volledig te onderzoeken en tegenmaatregelen te treffen voor alle risico’s.

In elke stap van het end-to-end detectie- en reactieproces, en tussen de stappen, kunnen inefficiënties bestaan die de effectiviteit van de beveiliging beïnvloeden. Daar tegenover staat dat al een kleine verbetering van de ­beveiliging een significante verandering kan betekenen voor de MTTD en MTTR. De reactietijd kan aanzienlijk verkleind worden door security intelligence. Belangrijke elementen hierin zijn centraal, volledig, inzicht in dreigingen en incidenten via analyse, geïntegreerde workflows en collaborerende configuraties die de analyse en het reactieproces versnellen, geautomatiseerde reactieprocessen en de uitrol van tegenmaatregelen.

In veel organisaties worden zowel MTTD als MTTR uitgedrukt in weken of maanden; de tijd waarin het bedrijf dus kwetsbaar is. Het telecombedrijf Verizon rapporteerde in het jaarverslag dat het maanden of zelfs jaren had ­geduurd om 66 procent van de onderzochte kwetsbaarheden te ontdekken. Maanden dus die de hacker krijgt om zijn werk op te zetten of zelfs af te ronden. MTTD en MTTR moeten dus geminimaliseerd worden tot dagen en uren en vormen twee belangrijke meeteen­heden voor de inzet van beveiligingstoepassingen, meer specifiek: security intelligence.

Scoren

Even terug naar het management en hun belang bij security. De bovengenoemde meeteenheden zijn uiteraard ook voor het management goed bruikbaar. Bestuurders willen vooral weten hoe een organisatie scoort op een bepaald thema, in dit geval security, liefst afgezet tegen de concurrentie. Door beveiliging meetbaar te maken, is niet alleen het succes van de inzet te meten, maar ook in welke ontwikkelingsfase het bedrijf zich bevindt.

Om de positie van een bedrijf te bepalen wordt vaak een volwassenheidsmodel gehanteerd. Dat kan ook voor beveiliging. Op basis van de waarden van MTTD en MTTR is te bepalen hoe volwassen of geavanceerd de organisatiebeveiliging is. Scores op onder andere SIEM, inzet van forensische analyse, toepassing van intelligentie, de aanwezigheid van een security operations center, en in hoeverre men kan inspelen op verschillende soorten risico’s worden afgezet tegen de tijd. Dit levert een beveiligingsniveau op dat aangeeft hoe ­gevorderd een organisatie is op beveiligingsgebied. Dat kan variëren van niveau 0, waarbij een bedrijf nauwelijks inspanningen doet en investeringen heeft gedaan, tot niveau 4, waarbij zelfs heftige aanvallen kunnen worden geweerd.

Het hoeft niet zo te zijn dat het hoogste ­niveau noodzakelijk is voor elke organisatie. Ieder bedrijf moet voor zich bepalen welk niveau passend is. Groeien in volwassenheid kan enkel door de score op MTTD en MTTR te verbeteren. Door intelligentie in te bouwen in de security-aanpak en de resultaten van die aanpak meetbaar te maken, wordt niet alleen de beveiliging sterker, degene die het beleid moet verkopen heeft ook de juiste argumenten om de investeringen te rechtvaardigen.

 

Toename cyberdreiging

Internetbedreigingen hebben een industriële schaal gekregen. De 2015 Global State of Information Security Survey van PwC toont aan dat sinds 2009 het aantal gedetecteerde beveiligingsincidenten elk jaar is genomen met 66 procent. Volgens het onderzoek vonden er vorig jaar 42,8 miljoen incidenten plaats, een groei van 48 procent ten opzichte van 2013. Dat staat gelijk aan 117.339 inkomende aanvallen per dag. En dit gaat alleen over de gedetecteerde gevallen. Beveiligingsbedrijf Trustwave berekende onlangs dat ongeveer 71 procent van de aanvallen ongedetecteerd blijft.

Security intelligence

Elke cyberdreiging laat bewijsmateriaal achter in logbestanden en machinegegevens. Elke server, applicatie, database, elk apparaat en beveiligingssysteem bouwt dit op. Eventueel toegevoegde sensoren vergroten het inzicht. Ze leggen veranderingen en gebeurtenissen vast in servers, endpoints en volledige netwerken. Zelfs de meeste geavanceerde aanval laat ergens sporen achter, hoe klein ook. Het is zaak uit alle opgeslagen data de kwaadaardige signalen op te pikken. Daar ligt de toegevoegde waarde van security intelligence.

Er is geen standaarddefinitie van security intelligence; het betekent verschillende dingen voor verschillende bedrijven. Terugkerende elementen zijn er wel: security intelligence bepaalt de slagkracht van een onderneming om (forensische) data vast te leggen, te correleren, visualiseren en te analyseren, om praktisch inzicht te krijgen in de status van een netwerk of systeem. Met dit inzicht is het mogelijk om concrete dreigingen te detecteren en tegenmaatregelen te treffen, en een verdediging op te bouwen voor toekomstige aanvallen.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag