Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Goede security gaat uit van predictie, preventie, detectie en respons

Richard Strooper, CTO

Cybersecurity is niet standaard belegd bij IT, maar wordt het liefst organisatiebreed opgepakt, vertelt Richard Strooper, CTO bij Pinewood. ‘De bedrijfsrisico’s worden door deze bedrijfsbrede aanpak inzichtelijk en vormen de basis van passende maatregelen, verdeeld over vier kerngebieden, namelijk: predictie, preventie, detectie en respons. Overigens kunnen dit zowel IT- als niet IT-gerelateerde maatregelen zijn.’‘Het grootste probleem met security is dat executives te veel focussen op ransomware omdat dat in het nieuws komt’, vertelt Richard Strooper, CTO bij Pinewood. ‘Natuurlijk, ransomware is heel vervelend, maar het is een hele aanvalsketen die voorafgaat aan de gijzeling. Het begint met een verkenning, dan een aanval op het netwerk. Als ze binnen zijn, vindt exfiltratie plaats en stelen ze de data. Pas dan vindt de afpersing plaats.’Ransomware komt niet voort uit het klikken op een linkje.

‘Als je je alleen focust op de besmetting, dan ben je eigenlijk al te laat. Belangrijk is om de focus te leggen op de risico’s binnen de infrastructuur en het netwerk. Voor criminelen zijn deze risico’s een ingang om binnen te dringen. Alleen klikken op een linkje is dan ook niet de oorzaak. Het niet doorvoeren van updates, het ontbreken van een wachtwoordbeleid zoals een multifactor authenticatiebeleid zijn bijvoorbeeld factoren die Ransomware uitlokken.’Organisaties die hun cybersecurity op orde hebben, investeren volgens Strooper in vier gebieden, namelijk: predictie (inventariseren van risico’s), preventie (technische oplossingen), detectie (monitoren van de maatregelen en de risico’s) en respons (acties die de uitkomst zijn van de monitoring).De eerste stap, de predictie, is vergelijkbaar met wat criminelen doen, vertelt Strooper: ‘Criminelen inventariseren als eerste de kwetsbaarheden door middel van scans. Het is dus noodzaak dat je als organisatie dezelfde soort scans doet en op de hoogte bent van de kwetsbaarheden of de risico’s.’

Een paar voorbeelden van kwetsbaarheden
Strooper: ‘Recente voorbeelden zijn Citrix-, Exchange- en FortinetSSL-kwetsbaarheden. Als je dit soort kwetsbaarheden niet patcht, dan is de kans vrij groot dat de criminelen al binnen zijn. Dit type aanvallen kan je eenvoudig stoppen door simpelweg de software te updaten. Maar ondanks dat deze belangrijke maatregelen simpel lijken, vinden organisaties het lastig om hun systemen up-to-date te houden. ‘Ze hebben een wildgroei aan apparaten en oplossingen, en geen duidelijk overzicht van de assets.’Een andere reden waarom patches en updates niet altijd worden doorgevoerd, is dat de organisatie het belang er niet van inziet of de operatie een hoger belang toeschrijft. ‘Als je voor een update een operationeel proces moet stilleggen, dan wordt er vaak voor gekozen om de updates uit te stellen of helemaal niet door te voeren. Deze stap kan dus heel eenvoudig zijn, maar de urgentie moet wel duidelijk zijn.’

Gebruikers en gedrag volgen
Stel dat je je updates niet hebt gedraaid en de hackers zijn via die weg binnengekomen, wat is het volgende dat je kunt doen? Strooper: ‘Na het implementeren van technische oplossingen zoals firewalls en antivirus die onderdeel zijn van de stap die wij preventie noemen, komt het ‘detecteren’.’‘Detectie draait om het continu bekijken wat er in je omgeving gebeurt, wat in je apparaten gebeurt, wie heeft ingelogd, welk gedrag wordt vertoond. Met detectie monitor je naast gedrag en de logging ook de nieuwe evoluerende dreigingen en de preventieve maatregelen. Het is hierbij van groot belang dat de urgentie van een melding van vreemd gedrag serieus wordt genomen.’Strooper noemt het voorbeeld van de Universiteit van Maastricht, waar het antivirusprogramma wel de melding had gegeven van verdacht gedrag, maar de operatie dit niet had gezien. ‘Daarom moet je logging continu monitoren en de risico’s helder in beeld hebben.’ Het is volgens Strooper overigens vaak geen onwil. ‘Ze missen de kennis en mensen om hun omgeving te monitoren en te acteren op vreemd gedrag dat gemeld wordt.’

Het uitbesteden van detectie
Kan detectie dan gemanaged worden door een externe organisatie? Strooper lacht: ‘Zeker. Organisaties die niet de resources, budgetten of de tijd hebben om zelf een FTE op security te zetten, komen bij ons. In deze tijd, waar al veel uitbesteed wordt (denk aan cloud oplossingen en de opkomst van managed services), is het volkomen logisch om ook je detectie uit te besteden.’Als ondanks de maatregelen toch een besmetting of diefstal heeft plaatsgevonden, dan moeten responsmaatregelen in werking treden. ‘Als het te laat is, moet een crisisplan klaarliggen om de schade te beperken. Deze stap draait niet alleen om techniek, maar om de hele organisatie. Bijvoorbeeld: wie moet je informeren, wie is de woordvoerder en gaan we betalen of niet in het geval van ransomware en offline backups?’Security is geen operationeel proces

Gelukkig, vertelt Strooper, realiseren steeds meer organisaties zich dat ze een crisismanagementplan nodig hebben. Kortom: security is geen operationeel proces, maar gebaseerd op bedrijfsrisico’s. Zonder deze risico’s in kaart te brengen, concentreer je je als IT-afdeling wellicht niet op de juiste maatregelen en krijgen criminelen nog steeds ruimte om binnen te dringen.