Het productaanbod van G DATA is de afgelopen jaren stapsgewijs aan het uitbreiden. Nu is er het vertrouwen om een flink stuk van het ‘cyber resilience-verhaal’ van bedrijven in te vullen. We spraken erover met Security Evangelist Eddy Willems.
Over het algemeen lijkt er geen rem te zitten op cyberaanvallen. Verschillende statistieken tonen met regelmaat aan dat het aantal en de complexiteit toeneemt. Voor organisaties vaak een stimulans om meer te doen aan cyberweerbaarheid, of ook wel ‘cyber resilience’. Is je bedrijf onvoldoende weerbaar, dan loop je risico als gehele organisatie tegen problemen aan te lopen. Daarmee kan je stellen dat naast IT’ers ook andere medewerkers belang hebben bij een cyber resilient organisatie.
Endpoints veilig maken
G DATA kan daar ten eerste een rol in spelen door zijn ervaring in het beveiligen van apparaten. Willems ziet dit als het wat traditionelere cybersecurity-stuk dat nodig is voor een cyber resilience-strategie. “Eigenlijk is dat stukje wel anders geworden. Vroeger bestond een cybersecurity-oplossing alleen uit een antiviruspakket met een virusscanner. Tegenwoordig zijn security-oplossingen veel uitgebreider en bevatten ze Artificial Intelligence-mechanismen zoals heuristiek, gedragsanalyse en een exploitbeveiliging met daarbovenop anti-ransomware technieken en nog veel meer. Organisaties kiezen bovendien meestal voor oplossingen die het hele bedrijfsnetwerk beveiligen. Dit noemen we ook wel endpoint protection.”
Met Endpoint Detection and Response en Extended Detection and Response zijn er wat modernere platformen op de markt die endpointdata verzamelen en analyseren. Bedrijven die deze platformen gebruiken kunnen in theorie sneller verdachte activiteiten detecteren, om er vervolgens onderzoek naar te doen. “De platformen zijn een verbeterde reactie van de agent die op de toestellen staat en een verbeterde zichtbaarheid door rapportage. Die twee elementen zijn cruciaal geworden”, legt Willems uit.
Willems haalt ook aan dat er extra weerbaarheid te realiseren is door te kijken naar wat nog extra kan op de endpoints. “Veel mensen denken wel eens dat ze niets hoeven te regelen aangezien ze alles onder Microsoft 365 of Google hebben hangen. De zaken staan in de cloud. Daar heb je ook extra security nodig, dat deels op de toestellen kan.”
De zwakke schakel in de keten
Wat Willems betreft valt cyber resilience dus deels in te vullen door endpoint security centraal te stellen. Daar blijft het echter niet bij, want de Security Evangelist ziet dat bij cyberincidenten vaak mensen een rol spelen. Ze klikken bijvoorbeeld op een malafide link in een mail, waardoor ze malware binnenhalen die zich over het bedrijfsnetwerk verspreidt. “Het toppunt is dat werknemers denken dat ze nooit cyberrisico’s nemen op hun werk. Dit terwijl menselijke fouten de zwakste factor zijn.”
Willems baseert deze uitspraak op recent onderzoek van G DATA. Daaruit blijkt dat 59 procent van de werknemers van 55 jaar en ouder ervan overtuigd is nooit cyberrisico’s in werksferen te nemen. Bij medewerkers tot 34 jaar denkt daarentegen 19 procent dat. Wat Willems betreft een goede ontwikkeling dat jongeren laag scoren, want dat laat zien dat zij beseffen dat er risico’s zijn. Tegelijkertijd vindt hij het zorgelijk dat de groep 55-plussers risico’s onderschat, wat hen een potentieel groot gevaar voor de organisatie maakt.
Bewustzijn creëren kan je leren
Die zwakke schakel dient in de optiek van Willems geholpen te worden op weg naar een weerbare organisatie. Hij raadt aan security awareness, oftewel het bewustzijn in de organisatie, te vergroten. Wat hem betreft worden hiervoor security awareness cursussen ingezet. “Je kan dat echt trainen. Bij mensen die het doen zie je resultaat. Weliswaar is het moeilijk te meten, maar bedrijven die het doen dekken het meer.”
Dat Willems deze cursussen aanhaalt, komt ongetwijfeld vanwege het feit dat G DATA sinds enkele jaren dergelijke trainingen aanbiedt. “Wij bieden ze online aan, op een interactieve wijze. Met die interactiviteit zie ik ons het verschil maken. Ik kom nu veel grote bedrijven tegen die zeggen: ‘awareness trainingen slaan niet helemaal aan of we vinden het niet helemaal goed’. Dat komt doordat sommige trainingen volledig gebaseerd zijn op lezen. Bij ons is het interactief, met elementen als vraagstelling en probleemoplossing.”
In de gesprekken die G DATA met bedrijven over security awareness voert, neemt de securityleverancier wel verschillen waar. Zo ziet het vooral grote bedrijven interesse tonen in de trainingen, maar het niet goed geregeld krijgen. Bij de mkb’ers is het een heel ander verhaal. Bij deze groep bedrijven zou het überhaupt een probleem zijn om security awareness trainingen aan de man te krijgen.
Eerder gingen we in gesprek met G DATA over de menselijke factor en awareness trainingen. Het artikel naar aanleiding van het gesprek kan je zeker nog eens teruglezen.
Patchbeleid
Volgens Willems pak je met het bewuster maken van medewerkers niet alleen het binnenhalen van malware door menselijke fouten aan. Hij ziet ook het mogelijke voordeel dat patching binnen organisaties beter geregeld wordt. Doordat dat nu nog niet altijd tijdig gebeurt, zouden er onnodig veel aanvallen plaatsvinden.
Toch is het lastig om patching over de gehele organisatie goed te regelen, ziet ook G DATA. Dat heeft ermee te maken dat medewerkers eigenlijk goed op de hoogte moeten zijn van updates en patches van al hun gebruikte producten. Dat wil zeggen, van zowel software als hardware. Een medewerker gebruikt meerdere apparaten en zal ook tientallen tot honderden softwareoplossingen draaien om productief te zijn. Het is de vraag hoe je dat allemaal up-to-date kan houden.
Willems zegt dat daarin wel wat verandering waarneembaar is. Als voorbeeld haalt hij Microsoft aan, dat een aantal jaar geleden de maandelijkse Patch Tuesday had. Inmiddels vindt er bijna wekelijks een update plaats, omdat maandelijks uit veiligheidsperspectief bijna niet meer te doen is. Daarbij worden de patches ook nog eens wat meer gepusht, zodat het enigszins snel gebeurt. Uiteindelijk is dat pushen iets wat niet alleen Microsoft doet, maar ook Apple, Samsung, Google, Adobe en andere leveranciers.
Veiligere basis
Er is dus wel wat gaande als het aankomt op het bewegen richting een veiligere productbasis. Willems stelt dat die productbasis de komende tijd verder versterkt zal worden door de introductie van de Software Bill of Materials (SBOM). In dit document is opgenomen uit welke onderdelen de gebruikte software bestaat. Veel gebruikers weten nu simpelweg niet wat er allemaal in een softwareoplossing zit, iets wat met de SBOM aangepakt wordt.
Dat kan een enorme vooruitgang zijn, meent Willems, verwijzend naar de Log4Shell zero-day. Eind vorig jaar was deze kwetsbaarheid te vinden in Log4j, dat als open-source framework in verschillende producten gebruikt werd. Bij de ontdekking van Log4Shell was echter onduidelijk in welke producten Log4j allemaal zat. Als er SBOM’s waren geweest, dan had er volgens Willems beter gehandeld kunnen worden. Bedrijven hadden dan in de SBOM kunnen kijken en snel kunnen besluiten om bepaalde diensten met Log4j offline te halen.
Met de SBOM zijn we in de ogen van Willems op weg om beter na te denken over het certificeren van producten. Daarmee wordt er een stevigere basis gelegd op weg naar een cyber resilient organisatie. Cyberweerbaar word je uiteindelijk niet van de ene op de andere dag, maar met meerdere inspanningen. G DATA wil daarin helpen, door met zijn producten wat breder de markt te dekken. We zijn dan ook benieuwd hoe de stappen verder uitpakken.
10 minuten geleden
