Continuous Response in de financiële dienstverlening
De cybersecurity-industrie groeit met de dag: onze AV-software groeit in zijn kenmerkende basis; NGAV-tools rijpen in hun ML-verfijning; en EDR-tools verhogen hun TTP-detectie. Hoewel we ons steeds beter kunnen verdedigen tegen aanvallen, moet we ons er van bewust zijn dat – zoals in elke strijd – de oppositie groeit en zich aanpast aan onze oplossingen. In dit geval betekent aanpassing: het omzeilen van onze preventie- en detectiemechanismen om onze bedrijven te vernietigen. Het is bijna onvermijdelijk dat onze verdediging doorbroken wordt. Daarom is het steeds belangrijker dat we een strategie hanteren waarbij Continuous Response centraal staat.
Boven alle andere bedrijfstakken heeft de financiële dienstverlening het meest te verliezen. Deze branche is een van de belangrijkste doelen van alle cyberaanvallen en beheert miljarden dollars. Dit artikel vertelt je alles wat je moet weten over de beveiligingsprioriteiten van financiële organisaties. Er zijn talloze voorbeelden van succesvolle inbreuken op grote en kleine bedrijven, waardoor aanzienlijke hoeveelheden geld verloren zijn gegaan. De conclusie? Niemand in de financiële sector is veilig; alle bedrijven die op dit gebied actief zijn, moeten waakzaam blijven.
Door een Continuous Response-benadering voor cybersecurity te handhaven, kun je je voorbereiden op bedreigingen en die aanpakken wanneer ze zich voordoen. Continuous Response richt zich op drie zwakke punten die vaak niet goed zijn vastgesteld in organisaties:
-
- Communicatiekanalen en rapportage (samenwerking)
- Complexe gegevensgestuurde bewijzen van de aanval (contextuele gegevens)
- Het vermogen om effectief te reageren (controlemechanismen)
Communicatiekanalen en rapportage (samenwerking)
Wanneer er zich een incident voordoet, is het noodzakelijk dat er geschikte communicatiekanalen zijn ingesteld. Wie neemt het voortouw in het onderzoek? Hoe worden communicatiebruggen tot stand gebracht? Hoe vaak? Wat gebeurt er als de normale ‘lead’ op vakantie is? Hoe worden belangrijke beslissingen genomen?
Wanneer je antwoord kunt geven op deze vragen en plannen hebt, voorkom je massale paniek en maak je snelle besluitvorming mogelijk. Twee zaken die zeer belangrijk zijn om te handhaven bij het omgaan met potentieel bedrijfskritische problemen.
Context
Uiteraard is communicatie niet voldoende. Wat ook vereist is, is de mogelijkheid om bewijs te vinden van snode activiteiten die zich voordoen op jouw netwerk. Dit betekent dat er geschikte oplossingen aanwezig zijn om security logs, gebruikersgegevens, endpoint data, netwerkgegevens, enz. te bekijken. Zonder de mogelijkheid om een aanval te contextualiseren, is de reikwijdte eindeloos. Wanneer je context hebt, kun je begrijpen hoe een aanval zich heeft voltrokken. Context geeft ook informatie over waar en waartoe aanvallers toegang hebben, welke kwetsbaarheden in de infrastructuur zijn misbruikt en welke gegevens mogelijk zijn geïnfiltreerd of getroffen.
Reactie (controle)
Helaas is alleen het contextualiseren van een aanval ook niet voldoende. Wanneer je een aanval eenmaal begrijpt, is het reactievermogen van het grootste belang. Je moet een uiterst robuuste set response features in je security tool beschikbaar hebben – zoals de mogelijkheid tot massablokkering van processen, selectief isoleren van netwerken / domeinen en zwarte lijst van IP-adressen. Maar je moet ook de mogelijkheid hebben om deze functies op grote schaal te implementeren. Elke seconde die verstrijkt nadat een aanval is ontdekt, is een seconde die het hele bedrijf in gevaar kan brengen.
De combinatie van context, samenwerking en controle zorgt voor een methode waarmee je ontdekte bedreigingen kunt aanpakken.
Samenwerking zorgt voor snelle besluitvorming en eenvoudige communicatie;
Context maakt het mogelijk een aanval te begrijpen in omvang en reikwijdte;
en ten slotte zorgt Controle voor effectieve actie.
Hoewel alle branches willen profiteren van een Continuous Response, probeert de financiële dienstverlening het meest te profiteren; een branche die gebaseerd is op vertrouwen en geld, heeft het meeste te verliezen. Het is daarom uitermate belangrijk dat leiders van cybersecurity binnen deze bedrijven er alles aan doen om zich voor te bereiden op het ergste. Context, samenwerking en controle bereidt bedrijven hierop voor.
Categorieën