Complexiteit zorgt voor grote uitdagingen op het gebied van cybersecurity. Om deze aan te kunnen pakken, is technologie belangrijk, maar niet voldoende. Het thema moet in alle geledingen op de agenda staan en er moet gestructureerd samengewerkt worden.
Organisaties moeten een gelaagde securitystrategie voeren. Dat is wat we tegenwoordig met enige regelmaat voorbij horen en zien komen. Defense in depth moet bedrijven beter weerbaar maken tegen de bedreigingen van vandaag. Het securitylandschap is echter erg complex geworden en lijkt met de dag alleen maar complexer te worden. Dat wil zeggen, er zijn zoveel aanbieders van security-oplossingen op het moment en steeds meer aanpalende leveranciers (denk aan back-up-vendoren) gaan zich er ook mee bemoeien. Dat maakt het voor organisaties niet per se eenvoudiger om een goed overzicht te krijgen en zaken optimaal in te richten.
Het leek ons goed om dit onderwerp te behandelen met enkele van de spelers die actief zijn in de securitymarkt. Naast de ‘oorzaak’ van de enorme keuze voor organisaties, houden zij namelijk ook een van de sleutels in handen die nodig zijn om organisaties goed te kunnen beschermen, nu en richting de toekomst. In alfabetische volgorde voeren we de rondetafeldiscussie met Cisco, Fortinet, Infoblox, Noname Security, Security Specialist BV en SentinelOne. Deze bedrijven worden respectievelijk vertegenwoordigd door Michel Schaalje, Bas van Hoek, Steven van Gysel, Ides Vanneuville, Danny Molendijk en Sjoerd de Jong.
Hoe groot is de uitdaging?
We hebben het in de inleiding over uitdagingen die organisaties hebben tegenwoordig op het gebied van cybersecurity. Dat is ook zeker iets wat de deelnemers aan onze discussie constateren. Voor een belangrijk deel heeft dit te maken met de keuzes en opties die er tegenwoordig allemaal zijn. Zoals Van Gysel zegt, “we hebben het onszelf behoorlijk moeilijk gemaakt”. Hiermee doelt hij op de opkomst van de cloud, waarbij nu een heel spectrum is gecreëerd van bedrijven die nog steeds volledig on-prem zitten tot bedrijven die volledig naar de cloud zijn gegaan. En dan dus ook nog alles ertussenin. De uitersten van dit spectrum zijn relatief eenvoudig, geeft hij, maar in het gebied ertussen, waar de meeste organisaties ergens zitten “begint het complex te worden”, volgens hem.
De Jong springt meteen in de discussie door te stellen dat de cloud ook een fundamenteel andere manier naar het kijken naar cybersecurity met zich meebrengt. “Veel organisaties hebben zich vergist in wat het shared responsibility-model betekent voor hen”, geeft hij aan. Shared responsibility heeft als basisprincipe dat de cloudprovider niet verantwoordelijk is voor de data die klanten er neerzetten. Deze moet er alleen voor zorgen dat de infrastructuur aantoonbaar goed beveiligd is. Organisaties blijven verantwoordelijk voor de data en de veiligheid ervan.
Een betere beveiliging van de data en de infrastructuur is overigens ook niet per se een reden om de overstap naar de cloud te maken, constateert Van Gysel. “Het zijn vaak CISO’s die hebben gehoord dat ze een kostenbesparing kunnen realiseren door full-cloud te gaan”, geeft hij aan. Dat ziet ook Schaalje gebeuren. “Daar zit ook meteen een risico”, volgens hem, om vervolgens nogmaals te wijzen op het verleggen van de verantwoordelijkheid en de balans tussen wat wiens verantwoordelijkheid is. “Als er dan iets misgaat, heb je allemaal een groot probleem”, concludeert hij.
Wel ziet Schaalje verschillende gradaties van de problemen die deze migratie op kan leveren. Als je puur kijkt naar de securitycomponent ervan, hebben grote organisaties het doorgaans beter voor elkaar dan kleinere. Als een van de redenen hiervoor wijst hij op het feit dat grote organisaties vaak nog veel meer in silo’s werken. Daar is dan doorgaans ook meer expertise beschikbaar binnen de silo’s als het gaat om cybersecurity. “Voor de optimale veiligheid moeten deze silo’s wel onderling informatie uitdelen”, voegt hij eraan toe. “Een goede samenwerking is een vereiste voor een goede beveiliging.”
Er is geen beleid
De complexiteit is zonder meer een uitdaging voor organisaties rondom security, dat is wel duidelijk. Daar is Van Hoek het ook zeker mee eens. Hij wijst echter ook op een tamelijk fundamenteel probleem binnen organisaties. “Er wordt ook gewoon niet nagedacht over wat er moet gebeuren”, geeft hij aan. Dat moet wel degelijk intern gebeuren, want “de invulling is voor iedere organisatie anders”, voegt hij hieraan toe.
Er is echter weinig tot geen beleid op het moment dat er een product moet worden vervangen. Hij constateert ook dat dit voor een deel bij de CISO’s ligt, die regelmatig geen technische achtergrond heeft. Die kan dan wel goed over zakelijke dingen praten (zoals kostenbesparing), maar niet over hoe het nieuwe product daadwerkelijk gebruikt zal gaan worden. Een CISO weet idealiter echter wel waar hij het over heeft, want anders heeft hij niet de “empowerment” die nodig is, zoals Schaalje aangeeft. “Dan ben je nog nergens”, voegt hij hieraan toe.
Het is overigens niet zo dat er helemaal niets gebeurt op het gebied van investeringen. Daar ligt het echt niet aan, ziet ook De Jong. “Er is de afgelopen tien jaar 275 miljard per jaar uitgegeven aan security-oplossingen”, stelt hij. Dat bedrag is nog nooit zo hoog geweest, maar de effectiviteit en efficiëntie ervan is nog nooit zo laag geweest, voegt hij hieraan toe. Het probleem volgens hem is vooral dat er geen integratie is tussen de data. Dat ziet Schaalje inmiddels wel komen, geeft hij aan. “Dan ben je er echter nog niet, want je moet ook telemetrie halen uit andere dan security-onderdelen”, is hij van mening.
Lees ook:
Een SOC of een securityteam is er onderaan de streep echter nog altijd voor de security, terwijl een NOC en de DevOps-mensen er voor de continuïteit zijn, schetst De Jong hoe de verschillende teams doorgaans worden bezien binnen organisaties. Het probleem is echter dat SOC’s een stortvloed aan data te verwerken krijgen, geeft Van Gysel aan. “Dan gaan partijen stoppen met hun SOC, omdat het extreem duur wordt”, is zijn conclusie. Dit is zoals al aangehaald deels terug te voeren op de complexiteit van het aantal aanbieders van security-oplossingen. “Veel organisaties willen gewoon een aantal preferred providers en daarmee aan de slag gaan”, volgens Schaalje.
Wie heeft de regie?
Molendijk heeft tot nu toe aandachtig geluisterd naar wat de andere zoal bespreken. Volgens hem ligt het probleem nog iets fundamenteler. “De markt herkent dit niet als een probleem, dat is een enorm risico”, stelt hij. Met afstand de grootste uitdaging die hij in dit opzicht ziet is dat het onduidelijk is wie hierin de regie heeft. Als niemand die regie neemt, zal het probleem ook nooit duidelijk worden.
Molendijk trekt hierbij een parallel met de gang naar de cloud waar we het hierboven over hadden. “We hebben hier te maken met meerdere problemen, met meerdere oplossingen. Er komen complexere oplossingen voor complexere problemen”, volgens hem. Dit heeft gevolgen voor de rol van de klant in het geheel. “De grootste uitdaging is om klanten zich te laten realiseren dat de regierol verandert en uit te leggen wat die rol dan is”, is hij van mening. Ook als je je cybersecurity uitbesteedt, moet je deze rolverdeling snappen.
Als het gaat om uitbesteden of zelf doen, ziet Van Gysel overigens dat organisaties de neiging hebben om door te slaan. Dat wil zeggen, als uitbesteden oplevert wat het zou op moeten leveren, gaan we alles in een korte periode weer insourcen. Dat is allemaal niet enorm efficiënt en effectief. Het is kennelijk erg lastig om dit aan te pakken. “We krijgen de slinger nooit echt in het midden”, geeft hij aan.
Dit laatste is ook een gevolg van het niet weten waar de verantwoordelijkheid ligt, volgens Van Hoek. “Er wordt aangenomen dat alles goed geregeld is, en daar gaat het mis”, volgens hem. Als er dan iets misgaat, wordt er gezocht naar een verantwoordelijke. Om in de toekomst nooit meer die discussie te hoeven voeren, kan de reactie zijn om het dan maar weer volledig over de andere boeg te gooien. Schaalje stelt het kort en krachtig: “Ook als je uitbesteedt, moet je zorgen dat je de regie houdt.”
Bruggen bouwen
Uiteindelijk zijn de problemen die organisaties hebben op het gebied van cybersecurity voor een belangrijk deel op te lossen door heel scherp te hebben hoe de verschillende partijen met elkaar op moeten trekken. “Er moet een bruggenbouwer zijn, tussen de organisatie en de partij die alles uitvoert”, geeft Van Hoek aan. Dat is wel nodig ook, want “externe partijen zijn vaak generalisten, die wel de grote lijnen kennen, maar niet weten wat er echt belangrijk is voor organisaties”, volgens De Jong.
Vooral voor MKB-bedrijven is het securityvraagstuk op het moment erg nijpend, stellen zowel Schaalje als Van Hoek vast. “Die hebben geen idee wat ze overkomt en laten zich sterk beïnvloeden door de verschillende partijen in de markt”, in de woorden van Van Hoek. Er moet dus iemand zijn die dit duidt en snapt wat het beste is voor dit soort bedrijven.
Applicatiesecurity moet hoger op de agenda
Als het gaat om bruggen bouwen, gaat het niet alleen om de bruggen tussen organisaties en derde partijen. Ook binnen organisaties moet er meer gebeuren op dit punt. Dat is wat Vanneuville opmerkt op dit punt in de conversatie. Hij heeft het over “bruggen bouwen tussen silo’s”. Als voorbeeld noemt hij vanuit zijn expertisegebied het bouwen van bruggen tussen development en security: “Dev en Sec moet samenkomen.”
Applicatiesecurity is sowieso iets waar nog veel te winnen valt, is de consensus aan tafel. Schaalje ziet wel meer bewustwording rondom applicatiesecurity, maar feit blijft vooralsnog dat ontwikkelaars nog altijd niet enorm warmlopen voor het shift-left-verhaal. “Developers kiezen al heel snel voor snelheid boven security”, geeft De Jong aan. De gevolgen hiervan zijn dat er applicaties opgeleverd worden die niet goed beveiligd zijn. Ook Vanneuville ziet dat ontwikkelaars nog altijd modules gebruiken tijdens het ontwikkelen van een applicatie die niet veilig zijn. Van Gysel ziet overigens net zoals Schaalje wel een positieve ontwikkeling op dit gebied. “Mensen die nu ontwikkelen, hebben wel wat meer een security-mindset gekregen”, volgens hem. Er is nu meer awareness dan voorheen.
Awareness moet van twee kanten komen
Op het punt van awareness ziet Molendijk overigens een uitdaging die hij eerder in de conversatie ook al aansneed. “Het probleem rondom awareness ligt aan de vraagkant”, stelt hij. Klanten weten niet waar ze aware op moeten zijn. “De meeste termen die wij gebruiken, zeggen de klanten helemaal niets”, is hij van mening. We moeten afstappen van overbodig ingewikkelde gesprekken voeren, maar het hebben over oplossingen en het doorbreken van silo’s. “Ik denk dat we de complexiteit deels zelf in stand houden”, steekt hij de hand in eigen boezem, of in ieder geval die van de securityindustrie.
“Misschien maken we het onszelf [leveranciers en klanten, red.] wel iets te ingewikkeld en moeten we meer richting managed toe”, voegt Schaalje hieraan toe. Dat klinkt op zich plausibel, maar ook daar is het zaak om de providers die dit bieden goed te kiezen. De Jong constateert namelijk dat managed providers soms zo graag deals willen winnen, dat ze het veel te goedkoop willen doen. Dan winnen ze weliswaar de deal, maar bieden ze niet de beste oplossing. Daar schiet de klant uiteindelijk bijster weinig mee op.
De MSP en MSSP zal dus ook stappen moeten zetten, zoveel is duidelijk. Aangezien geen twee klanten volledig hetzelfde zijn, is het ook hier zaak om goed door te vragen bij klanten. Het begint namelijk allemaal bij een gedegen analyse van een klant en zijn specifieke uitdagingen, is Van Hoek van mening. Om dit te doen is het soms ook goed om klanten te challengen, volgens De Jong. Op deze manier breng je ook meer besef bij kanten. Wat gaat goed en wat gaat niet goed? Ook kan dit helpen bij het vormen van een mening over hoe goed de securityaanbieders het doen bij een klant.
Van Hoek wijst er in dit opzicht ook nog op dat MSP’s en MSSP’s min of meer verplicht zijn om zich in te leven, aan de hand van onder andere regelgeving op basis van NIS/NIB (en binnenkort NIS2/NIB2). Die regelgeving is er gekomen omdat “leveranciers geen goede job hebben gedaan”, geeft hij aan.
Leveranciers zelf gaan ook steeds meer samenwerken binnen verticals, constateren zowel Schaalje als Van Hoek. Dat kan natuurlijk wel een wat gespannen relatie zijn, volgens Schaalje. Uiteindelijk zijn het vaak ook concurrenten van elkaar die met elkaar samenwerken. Informatie met elkaar delen is dan niet vanzelfsprekend. Toch zie je het steeds meer. Samenwerken is onderaan de streep natuurlijk ook gewoon commercieel interessant, naast dat het beter werkt voor de klant.
Consultants: vloek of zegen?
In de wisselwerking rondom cybersecurity hebben klanten niet alleen te maken met service providers en leveranciers. Er zijn ook nog de consultants die hier ergens een plaatsje tussen hebben. Als deze zich met de juiste dingen bezighouden, voegen ze zeker iets toe, maar dat is niet altijd het geval. Schaalje geeft aan dat er zeker pogingen worden gedaan, maar dat hij ziet dat consultants vaak een bepaalde voorkeur hebben. Die dus niet per se de beste oplossing is voor klanten. “Deze consultants doen ergens hun verhaal op en maken het verhaal hiermee soms misschien wel te complex”, voegt hij nog toe.
Er is zeker een gat te overbruggen tussen consultants en leveranciers. Onder andere Van Gysel geeft aan dat ze dit ook echt willen en ook proberen. Het is zaak om een balans te vinden tussen de verschillende belangen. “Leveranciers hebben het van nature over allerlei andere metrics dan consultants”, geeft De Jong aan. Als voorbeeld noemt hij dat een leverancier die beursgenoteerd is, de waarde van het bedrijf altijd in het achterhoofd houdt. Voor consultants maakt dat niet zoveel uit.
Uiteraard zijn we ook benieuwd wat Molendijk, de consultant aan tafel, hierover te zeggen heeft. Hij wil graag meewerken aan partnerships, omdat dit de ketenveiligheid verbetert. “Onze toegevoegde waarde is het versterken van de partners”, geeft hij aan. Vanuit zijn kant merkt hij echter wel dat verschillende leveranciers hier verschillend mee omgaan. Vaak ziet hij een mate van bescherming van hun eigen markt en komt hij zelfs al een soort basisirritatie richting consultants. Volgens hem moeten “leveranciers ook zelf een stap zetten richting transparantie”. Ze zitten immers aan tafel met klanten die zelf de kennis niet hebben, dus moet het gewoon duidelijk zijn hoe een en ander in elkaar zit.
Op het gebied van securityconsultancy zien meerdere deelnemers aan onze discussie wel een gevaar opdoemen. Er beginnen nogal wat consultants voor zichzelf. Op zich is dat nog niet zo’n probleem, als deze weten wat ze doen. Maar er komen er steeds meer die nog niet de benodigde ervaring hebben. Molendijk vraagt zich hardop af hoe dit zich gaat ontwikkelen, vooral met de jongere generatie. Die hebben een gratification monkey op de schouder die zich er continu mee bemoeit. Het resultaat kan hij wel raden: “Je ziet de wereld voor een oliebol aan en doet wat domme dingen.” Schaalje ziet ook dat studenten tijdens de opleiding al helemaal gek gemaakt worden terwijl ze er helemaal nog niet klaar voor zijn. De eindklant is hiervan uiteindelijk de dupe.
Hoe ziet de toekomst eruit?
We hebben tijdens deze discussie vooral gesproken over de uitdagingen die organisaties hebben op het gebied van cybersecurity. De teneur was wat ons betreft erg realistisch, waarbij er ook zeker in de spiegel werd gekeken door de partijen aan tafel. Bij ons overheerst echter wel een beetje een somber gevoel, op basis van wat we gehoord hebben. Er zijn toch wel erg veel mitsen en maren. Althans, dat menen we op te merken.
Toch zien de deelnemers het best wel positief in richting de toekomst, geven ze desgevraagd aan. Volgens Vanneuville moeten we met z’n allen doorbouwen op wat we in de afgelopen drie decennia bereikt hebben. Hij ziet uiteraard ook wel dat het wat complexer begint te worden, maar er zijn ook voldoende oplossingen. Daar ligt het niet aan. Daar is Van Hoek het mee eens: “Criminelen zullen er blijven, maar de oplossingen zijn er. Awareness is het probleem.”
Tegelijkertijd is er ook wel het besef dat leveranciers door de manier waarop de securitymarkt werkt achter de feiten aan zullen blijven lopen. “Hoeveel winst er ook geboekt wordt, we zullen achter de feiten blijven aanlopen”, geeft Van Gysel aan. De Jong ziet wel dat AI/ML het gat tussen aanval en detectie/repons kleiner zal maken: “Er zullen altijd wel threats blijven, maar we kunnen er een goed tegenwicht aan bieden.”
Schaalje en Molendijk zijn tot slot ook overwegend optimistisch. Volgens Schaalje is het echter wel belangrijk om ons te realiseren dat het een continu proces is. Dat moeten we met z’n allen continu blijven aanpassen en verbeteren. Een belangrijk onderdeel hiervan is dat we toewerken naar een holistische aanpak, zoals Molendijk het noemt. “Er zijn steeds meer directies van bedrijven die snappen dat dit mogelijk is”, geeft hij aan. Dat is van cruciaal belang, want alleen zo kunnen leveranciers, service providers en consultants samen de steeds complexer wordende bedrijfsomgevingen effectief beveiligen.
Meer lezen:
Cisco XDR brengt Security Cloud-visie grote stap dichterbij
Moderne omgevingen kunnen niet meer zonder security fabric
Infoblox zwaait met DDI de scepter in DNS- en DHCP-markt
Noname CTO: “Security zal nooit belangrijker zijn dan de business.”
Dagboek van een ransomware-aanval: aanval, wederopbouw, best practices
Log4Shell anno 2023: keiharde impact dreunt nog na