Er was een tijd dat een groot datalek indruk maakte, dat mensen bezorgd waren. Mensen waren bang dat iemand hun gegevens had. Dat gevoel lijkt min of meer te zijn verdwenen. Datalekken zijn inmiddels net zo gewoon als DDoS-aanvallen. Mensen maken zich er niet meer zo druk om. Hierdoor is het voor cybercriminelen moeilijker om geld te verdienen aan buitgemaakte data. Het favoriete doelwit is dan ook verschoven van consumenten naar bedrijven, omdat zij vaak niet goed cyberweerbaar zijn en daarmee een makkelijk doelwit die meer kunnen betalen.

Cybersecurity is booming. Elk jaar zien we een toename van het aantal securitybedrijven. Ze proberen zich allemaal op verschillende gebieden te specialiseren. Als organisatie kan je kiezen uit honderden leveranciers die verschillende soorten cybersecurity aanbieden. Grote bedrijven hebben soms wel 60 verschillende beveiligingsoplossingen met als doel meer cyber resilient te zijn.

Het omarmen van veel verschillende beveiligingsoplossingen betekent echter niet dat je beter beschermd bent. Tegenwoordig verschuift een groot deel van de beveiliging naar meer automatisering. We spraken met Ramsés Gallego, International CTO van CyberRes, een bedrijfsonderdeel van Micro Focus. We vroegen hem naar zijn visie op de cybersecurity-industrie, vooral in vergelijking met de aard van de aanvallen van vandaag.

Gallego vertelt ons dat er een paar eenvoudige voorspellingen te doen zijn. Een daarvan is dat het grootste datalek ooit in 2022 zal plaatsvinden. Elk jaar neemt de hoeveelheid gegevens die we met zijn allen verzamelen toe. Veel bedrijven hebben terabytes of zelfs petabytes aan data opgeslagen in verschillende silo’s, waardoor het aanvalsoppervlak groter is. Het is dan ook aannemelijk dat het record van het grootste datalek vrijwel elk jaar gebroken zal worden.

“Het grootste datalek ooit zal in 2022 plaatsvinden”

Een andere trend is dat steeds meer aanvallen volledig geautomatiseerd zijn. Cybersecurity heeft de afgelopen jaren machine learning en kunstmatige intelligentie (AI) geadopteerd om de beveiligingsoplossingen fors te verbeteren. Aan de andere kant zijn machine learning en AI meer gedemocratiseerd geraakt. Het betekent dat deze technologieën voor iedereen beschikbaar zijn geworden, ook voor cybercriminelen. Het is dan ook geen verrassing dat er voorbeelden zijn van malware die de technologieën gebruiken om te beslissen welke kwetsbaarheid het meest succesvol is bij het uitbuiten van een apparaat of software-oplossing. Het wordt dus een machine-vs-machine strijd, waarbij twee geautomatiseerde oplossingen honderden kwetsbaarheden kunnen uitbuiten of blokkeren, in plaats van dat cybercriminelen handmatig proberen een systeem met een paar verschillende kwetsbaarheden te hacken.

Gallego heeft voorbeelden gezien waarbij twee algoritmes met elkaar in gevecht waren. Het ene algoritme scande het systeem om een kwetsbaarheid te vinden die het kon gebruiken om het systeem uit te buiten, terwijl het andere algoritme poorten sloot, beveiligingsmaatregelen toevoegde en beheerders waarschuwde om het systeem veilig te houden. Gallego zegt dat hij dat vanuit een technologisch perspectief geweldig vindt, maar vanuit een zakelijk perspectief haat.

We kunnen concluderen dat we het tijdperk van geautomatiseerde cyberoorlog in gaan. Autonome malware-bots zullen manieren vinden om zichzelf over het internet te verspreiden en machine learning en AI gebruiken om systemen op allerlei manieren te hacken en uit te buiten.

We gaan het tijdperk van geautomatiseerde cyberoorlog in

WannaCry had 7 minuten nodig om zich van de ene naar de andere machine te verspreiden. De vraag blijft of de volgende WannaCry meer of minder tijd nodig zal hebben om zich te verspreiden. Gallego denkt dat het meer tijd zal kosten omdat de industrie na WannaCry veel geavanceerde beveiligingsoplossingen heeft ontwikkeld. Er is veel innovatie geweest. Het feit is echter dat we niet weten hoeveel tijd het zal kosten. We weten dat de enige manier om het te vertragen is om goed cyberweerbaar te zijn. Bedrijven moeten goed beveiligd zijn. Zonder goede cybersecurity-oplossingen kan de volgende WannaCry zich waarschijnlijk juist sneller verspreiden. Bedrijven moeten cybersecurity dus serieuzer nemen.

Reputatieschade en klantverlies is zeer beperkt bij dataverlies

Bij een hack kan een bedrijf compleet plat worden gelegd. De directe schade kan enorm zijn. De bijkomende schade zoals reputatieschade en klantverlies lijkt steeds kleiner te worden. Het schaadt of beïnvloedt het bedrijf niet meer zo erg als het voorheen deed. Meestal daalt de aandelenkoers een paar weken of maanden, afhankelijk van de ernst van de inbreuk. Maar dat is het wel zo’n beetje. Dat helpt niet tot het aanzetten om cyberweerbaar te worden.

Gallego zegt dat we bedrijven verantwoordelijk moeten houden voor datalekken om ervoor te zorgen dat hun IT resilience op orde is en ze weerbaarder zijn tegen cyberaanvallen. Er zijn wetten met betrekking tot datalekken, maar bedrijven komen er meestal mee weg. Overheden doen er te lang over om datalekken te onderzoeken en delen zelden boetes uit. Als ze bedrijven wel boetes opleggen zijn die relatief klein.

Wat minimaal net zo belangrijk is bij datalekken, is de reactie die het bedrijf hierop krijgt. Klanten en leveranciers moeten het bedrijf verantwoordelijk houden. Dat gebeurt veel te weinig. Als een van je leveranciers wordt aangevallen en een grootschalig datalek heeft, stel hen dan aansprakelijk. Vraag wat ze hebben gedaan om hun systemen te beveiligen en om cyberweerbaar te zijn tegen hackers.

Toekomst van SOC verandert in automatisering en bedreigingsinformatie

De meeste IT-professionals zien een SOC als een kamer vol mensen die naar een groot aantal monitoren staren. Dit om inkomende data te analyseren en nieuwe kwetsbaarheden en actieve malware te vinden. Dat deel van het SOC zal niet lang meer bestaan. De ontwikkel-, verander- en opereersnelheid van nieuwe malware maakt het vrijwel onmogelijk om malware met de hand te analyseren en te detecteren. Het SOC moet voor het grootste deel worden geautomatiseerd. Gallego denkt dat 80 procent van het SOC geautomatiseerd kan worden. Het grootste deel van de detectie en preventie zal geautomatiseerd worden. Het is veel sneller om te analyseren met machine learning en super correlatie toe te passen. Een SOC zonder mensen is echter niet mogelijk. Je hebt nog steeds mensen nodig om actie te ondernemen op een hoger niveau.

Het SOC kan de single source of truth zijn waar alle threat intelligence samenkomt. Dat is belangrijk omdat de meeste bedrijven tientallen beveiligingsoplossingen gebruiken. Het SOC moet de output van al deze beveiligingsoplossingen samenbrengen in een data lake. AI en machine learning kunnen het data lake gebruiken om te correleren, afwijkingen te detecteren en als eerste verdedigingslinie op te treden.

CyberRes werkt aan dit nieuwe type SOC met ArcSight. Het bedrijf verwerkt al miljarden events per dag en heeft data lakes met miljoenen bedreigingen. CyberRes heeft ook Galaxy, een onderzoeksprogramma naar cyberdreigingen waarmee veel informatie wordt gedeeld over actieve dreigingen. Je kan de meeste actieve malware zien, maar ook welke dreiging in je regio of bedrijfstak het vaakst wordt gedetecteerd. Het biedt CISO’s ook de mogelijkheid om ervaringen te delen met andere CISO’s, zodat mensen op hetzelfde niveau van elkaar kunnen leren. Ze kunnen bijvoorbeeld actieplannen delen of hoe ze specifieke dreigingen aanpakten. Dat is waardevolle informatie om over te beschikken wanneer je bedrijf slachtoffer wordt van een datalek of met een bepaalde dreiging te maken krijgt. Het Galaxy Threath Research-programma is gratis beschikbaar voor elk bedrijf.

Start vandaag nog met verbeteren en maak je bedrijf cyberweerbaar

Als je denkt dat je bedrijf niet cyberweerbaar is: het is nooit te laat om ermee te beginnen. Bij CyberRes werken ze met verschillende pijlers om cybersecurity-oplossingen aan te bieden. Het is ook een uitstekende manier om naar je beveiliging te kijken en om te beoordelen of je op elke pijler cyberweerbaar bent.

De eerste pijler is Data Privacy and Protection. Weet je waar alle bedrijfsdata zich bevinden of in ieder geval de meest kritische data? Zijn er beveiligingsmaatregelen genomen om waardevolle data te beschermen?

De tweede pijler is Identity and Access Management. Hoe beheert het bedrijf de toegang voor gebruikers, machines en diensten? Wordt dit centraal beheerd? Hoe snel kan toegang worden geweigerd? Is er monitoring aanwezig?

De derde pijler is Application Security. Als het bedrijf software ontwikkelt, moet je ervoor zorgen dat de ontwikkeling op een veilige manier gebeurt. De juiste beveiligingsprincipes moeten worden toegepast en de code gecontroleerd op kwetsbaarheden. Security moet onderdeel zijn van het ontwikkelproces.

De vierde en laatste pijler heeft betrekking op Security Operations en zorgt ervoor dat er een effectief detectie- en responsesysteem is om bekende en onbekende bedreigingen op te sporen. Met deze vier pijlers kan je een goed begin maken met de security en weerbaarheid van het bedrijf.

Laatste waarschuwing, maak je bedrijf cyberweerbaar

Denk je dat je bedrijf niet geïnfecteerd of gehackt zal worden omdat het geen aantrekkelijk doelwit is? Die gedachten hebben sommige ondernemers nog weleens, maar dat is echt een foute aanname. Elk bedrijf heeft een bankrekening en beschikt over gevoelige data. Aangezien de meeste aanvallen inmiddels volledig geautomatiseerd zijn, maakt het de aanvaller niet uit wie je bent of wat voor bedrijf je hebt. Zolang je duizenden euro’s kan betalen, ben je een ideaal slachtoffer. Breng je security  dus op orde en zorg dat je cyberweerbaar bent, voordat het te laat is.

Tip: Micro Focus lanceert CyberRes Galaxy, threat intelligence voor CISO’s