Afgelopen zomer vond de Gartner Security and Risk Management Summit weer plaats in New York. Een van de voornaamste focuspunten was het aanstippen van belangrijke trends en vraagstukken in het huidige beveiligingslandschap. Hieronder vind je daarom – in willekeurige volgorde – onze top 10 belangrijkste inzichten uit Gartner 2019.
1. Traditionele beveiligingscontroles zullen nog lang meegaan
Als onderneming weten wij dat traditionele controles effectief zijn om eenvoudige aanvallen te voorkomen, maar onvoldoende bescherming bieden tegen geraffineerdere, gerichte aanvallen. Dat gezegd hebbende, blijven traditionele controles nodig, en dat zal ook zo blijven. Een veelvoorkomende misvatting op het gebied van beveiliging is dat één enkele oplossing bescherming en preventie biedt tegen alle bedreigingen. In feite bestaat beveiliging uit meerdere stukjes die samen het grote geheel vormen. Zelfs de meest geavanceerde oplossingen (op basis van Managed Detection & Response) hebben ondersteuning nodig van eenvoudige beveiligingscontroles (zoals intrusion detection en prevention systemen, antivirusprogramma’s en spamfilters) om tot een alomvattende muur van beveiliging te komen.
2. Beveiliging van de supply chain
Bekende incidenten, zoals de aanvallen op ASUS, CCleaner en Magecart, zijn goede voorbeelden van het feit dat supply-chain-aanvallen een van de meest voorkomende manieren zijn waarop organisaties en particulieren worden gecompromitteerd. Dit type aanvallen maakt misbruik van het opgebouwde vertrouwen tussen twee partijen. Daarom is het erg belangrijk dat organisaties voortdurend onderlinge samenwerkingen blijven evalueren en met hun belangrijkste leveranciers afspraken maken over het uitvoeren van veiligheidsonderzoeken.
3. Het management phishen
Dit is al vaak vermeld, maar om het nog maar een keer te benadrukken: phishing en social engineering vertegenwoordigen meer dan 90% van alle inbreuken. Als bestrijding hiertegen worden vaak dure trainingsprogramma’s gehouden, die dikwijls teleurstellende resultaten opleveren. Werknemers blijven in phishing-pogingen trappen, hoe veel training ze ook krijgen. In het huidige landschap is het veel goedkoper en effectiever om alleen personeel te trainen dat toegang heeft tot belangrijke bedrijfsmiddelen, een incidentresponsplan paraat te hebben en interne controles zoveel mogelijk aan te scherpen.
4. De kennisbank van MITRE ATT&CK
De kennisbank van MITRE ATT&CK (Adversarial Tactics, Techniques, & Common Knowledge) beschrijft de specifieke tactieken, technieken en procedures die bij elke fase van een cyberaanval worden ingezet. Deze kennisbank was oorspronkelijk bedoeld als interne capaciteitsbeoordeling: organisaties konden ermee bepalen in hoeverre ze daadwerkelijk bekwaam waren om cyberaanvallen te detecteren. Op basis van de kennisbank kunnen responsplannen worden opgesteld, wat centraal zou moeten staan in elk strategisch beveiligingsplan.
5. Het belang van capaciteitsbeoordelingen
Organisaties kopen tools, beveiligingsservices en huren ‘beveiligingsexperts’ in om zich te beschermen tegen cyberaanvallen. Er worden penetration tests en vulnerability scans uitgevoerd om technische controlemiddelen te beoordelen, maar we zien dat weinig bedrijven de tijd nemen om het belangrijkste controlemiddel te beoordelen: hun beveiligingsteam of provider. Met capaciteitsbeoordelingen kunnen bedrijven precies bepalen waar ze zich bevinden op het veiligheidsspectrum. Zo kunnen ze vaststellen of hun teams in staat zijn aanvallen te detecteren, en in welke mate. Maar het allerbelangrijkste is dat ze zo direct inzicht krijgen in de verbeterpunten van hun teams. Via capaciteitsbeoordelingen kunnen bedrijven die hun beveiliging uitbesteden ook beoordelen of ze datgene krijgen waar ze voor betalen. De kennisbank van MITRE ATT&CK is een van de nuttigste tools bij het uitvoeren van een capaciteitsbeoordeling, of je nu als bedrijf je eigen team beoordeelt of een adviesbureau bent.
6. Het gebrek aan vaardigheden op het gebied van beveiliging wordt steeds groter
Er is te weinig talent in de cyberbeveiliging, en niet zo’n beetje ook. Dit is geen nieuws in de industrie, maar moet wel keer op keer worden benadrukt, aangezien we steeds afhankelijker worden van technologie. In feite kunnen de meeste bedrijven niet alles zelf doen, al zouden ze dat willen. Het is belangrijk je hier bewust van te zijn en proactief te handelen. Achterhaal waar de hiaten liggen en schakel vervolgens experts en adviesbureaus in om deze hiaten te dichten. Dit is vaak kosteneffectief en scheelt ontzettend veel tijd en hoofdpijn vergeleken met het opbouwen en beheren van een intern team.
7. Het management meekrijgen
Beveiliging wordt soms niet zo serieus genomen als zou moeten, met name door degenen die de over het budget gaan. Als cyberbeveiligingsexpert moet je het management dus in begrijpelijke en overtuigende taal aanspreken over beveiliging om ervoor te zorgen dat je afdoende budget krijgt. Tijdens de Gartner Summit werd dit onderwerp ook besproken, waarbij werd benadrukt dat de meeste managementteams vooral geïnteresseerd zijn in winst, risico en kosten.
8. Beveiliging van Office 365
Cloud-based technologie bestaat al jaren, maar in moderne IT-omgevingen wordt het een steeds belangrijker onderdeel. Cloudtechnologie bestaat in de cloud, dus elke applicatie die op de cloud werkt vergroot het aanvalsoppervlak van een organisatie. Aangezien technologie van Microsoft wijdverspreid is, wordt Office 365 steeds vaker gebruikt binnen organisaties. Net als de meeste cloud-oplossingen biedt Office 365 de optie om de veiligheidsinstellingen zelf te configureren, maar dit wordt vaak niet op de juiste manier aangepakt. Alle cloud-services moeten worden gezien als wezenlijke onderdelen van een groot geheel en dienen te worden opgenomen in gedegen beveiligingsprogramma’s.
9. Vulnerability management
Een simpele, maar goede tip: patch management is cruciaal. Hoewel phishing de voornaamste oorzaak van inbreuken is, is het net zo belangrijk om interne systemen te beheren en patchen. Een vuistregel bij het testen van de bescherming tegen aanvallen is ‘probeer altijd eerst de voordeur’. Onze adviseurs komen onvoorstelbaar vaak standaard inloggegevens tegen, poorten en services die afgeschermd zouden moeten zijn van het internet en zwakke wachtwoorden. Het patchen van kwetsbaarheden zodra ze bekend zijn, vermindert het aantal ‘quick wins’ voor de aanvaller, die op deze manier wordt gedwongen tot ingewikkeldere aanvalsmethoden.
10. Automatisering en machine learning
In tegenstelling tot traditionele controles gaan moderne tools steeds meer de richting op van automatisering, AI en machine learning. De beveiligingsindustrie heeft AI-netwerkoplossingen en next-gen antivirusprogramma’s ontwikkeld die soms worden aangeprezen als ultieme oplossingen. Deze oplossingen zijn effectief in sommige scenario’s, maar er wordt vaak volledig op gesteund, of in elk geval veel meer dan zou moeten. Het is verstandig om elke vorm van automatisering met een kritisch oog te bekijken. Om onze adviseurs nogmaals als voorbeeld te nemen: wij komen constant dergelijke oplossingen tegen en vinden manieren om ze te omzeilen. Eenmaal omzeild, ligt de echte vraag bij de teams achter de geautomatiseerde oplossing: “kunnen ze me zien?”
Ga er maar vanuit dat als wij als adviesbureau dat kunnen, dat hackers het ook kunnen.
Categorieën