7min

Hoewel CIO’s en CISO’s toekomstige bedreigingen voor de IT-omgeving niet kunnen voorspellen, kunnen zij het verleden wel gebruiken om te leren en zich voor te bereiden op de toekomst. Dat concluderen analisten van Gartner in hun rapport “Prepare for New and Unpredictable Cyberthreats”. De toekomst is onvoorspelbaar en inbreuken zijn onvermijdelijk. Dus wat kunnen managers in IT-beveiliging doen?

“Tegen 2026 zullen organisaties die ten minste 20% van hun beveiligingsmiddelen investeren in programma’s voor veerkracht en flexibel ontwerp, de totale hersteltijd halveren wanneer zich een grote cyberaanval voordoet”, zo stelt het Gartner-rapport. Wat betekent dit concreet? Organisaties kunnen niet voorspellen wat de volgende grote aanval zal zijn. Daarom verspillen ze vaak veel energie om zich voor te bereiden op de meest recente roemruchte aanval. In plaats daarvan zouden ze zich bezig moeten houden met het versterken van hun veerkracht bij nieuwe, onvoorspelbare bedreigingen voor IT-beveiliging.

Digitale transformatie verovert het bedrijfsleven stormenderhand. Slimme omgevingen, IoT, IIoT en een groot aantal apps en apparaten maken het aanvalsoppervlak echter vele malen groter. Dit vereist geen volledig nieuwe benadering van beveiliging, maar er is wel een behoefte ontstaan aan nieuwe (of verbeterde) maatregelen voor beveiligingsbeheer.

CIO’s en CISO’s kunnen toekomstige risico’s niet voorspellen, maar ze kunnen wel leren van het verleden, handelen in het heden en zich voorbereiden op de toekomst. Volgens het analistenonderzoek van Gartner is “een accentverschuiving in de richting van de ontwikkeling van beveiligingsprogramma’s die berusten op gedeelde verantwoordelijkheid voor risico’s, veerkracht en flexibelere reactiemogelijkheden” de beste aanpak.

Leer van het verleden

Organisaties hebben de neiging om drastische wijzigingen in de beveiliging alleen te bespreken wanneer nieuwswaardige of gerichte aanvallen plaatsvinden. Dit leidt vaak tot overdreven en beperkte reacties. Zodra de crisis voorbij is, verschuiven de prioriteiten weer naar tactische preventieve controles. Zoals het gezegde luidt: “Wie niet van de geschiedenis leert, is gedoemd haar te herhalen”. Het is daarom verstandig om de aanvallen te evalueren nadat ze hebben plaatsgevonden. Wat waren de gevolgen, de reacties en de doeltreffendheid van de IT-beveiligingsmaatregelen? Een beoordeling van de huidige verdediging kan inzicht geven in wat er goed gaat en waar er ruimte is voor verbetering.

Helaas zijn er voldoende voorbeelden om van te leren. Per september 2022 meldt het platform Cybercrimeinfo dat er dit jaar al 6.231 ransomwareaanvallen plaatsvonden. Ongeveer 80% van de slachtoffers cybercriminelen betaalden het losgeld om weer toegang te krijgen tot hun gegevens of om te voorkomen dat de gegevens uitlekken naar het Darkweb. Naast financiële verliezen kan de schade aan het imago van een organisatie aanzienlijk zijn, aangezien de media vaak berichten publiceren over welke bedrijven zijn geraakt.

Het goede nieuws is dat terwijl cybercriminelen hun aanvallen uitvoeren, de IT-beveiligingsindustrie ook hard heeft gewerkt en zich heeft versterkt om digitale media zo goed mogelijk te beveiligen en deze cyclus van aanvallen te verzwakken. Het slechte nieuws is dat cybercriminelen zich daarom veel meer richten op technieken om de verdediging te omzeilen. Bij de meest voorkomende tactieken en technieken van cybercriminelen staat ontwijken van de verdediging bovenaan, zo ontdekte FortiGuard. Veel malwareontwikkelaars maken gebruik van binaire proxy-uitvoering van het systeem om hun doel te bereiken. Het verbergen van kwaadaardige bedoelingen is een andere topprioriteit voor cybercriminelen, waardoor de dreiging legitiem lijkt en een betere kans heeft om onopgemerkt te blijven.

Handel in het heden

Een van de meest voorkomende vragen die analisten van Gartner krijgen als ze het bedreigingslandschap bespreken is: “Hoe voorkom ik dat ik over vijf jaar door de volgende grote aanval wordt getroffen?”. Dit is de verkeerde vraag. Een betere vraag is “Hoe kan ik de impact van onvermijdelijke ernstige aanvallen verminderen met behulp van solide procedures?”.

Wanneer een organisatie een beveiligingsincident meemaakt, moet men onmiddellijk en snel handelen. Dit moet altijd gebeuren op basis van het specifieke type aanval en wat er is gestolen of gehackt.

  • Identificeer de actie van de indringers. Het is belangrijk om na te gaan hoe de misdaad heeft plaatsgevonden en welke gegevens zijn onthuld. Vervolgens kunnen de nodige maatregelen worden genomen om de resultaten te beperken en verdere inbraken te voorkomen.
  • Zoek naar bewijsmateriaal. Leg indien mogelijk het bewijs van het misdrijf vast. De meest correcte en veilige manier om dit te doen is met specifieke oplossingen die alle handelingen in de omgeving registreren. Dit kan ook helpen bij het herstelproces na het incident, waardoor de operationele kosten en de kosten van downtime worden beperkt.
  • Wijzig onmiddellijk alle wachtwoorden. Wijzig de wachtwoorden van alle gebruikers, en de inloggegevens van geprivilegieerde gebruikers in het bijzonder, voor e-mails, netwerktoegang en systeembeheer. Dit voorkomt dat criminelen gestolen gegevens misbruiken voor andere schadelijke aanvallen.
  • Controleer de back-up. Het gebruik van software die automatisch en efficiënt een back-up maakt van alle informatie en gegevens is een preventieve maatregel die in deze gevallen een levensredder kan zijn. Het vergroot de kans om informatie te herstellen en weer toegang te krijgen aanzienlijk. Controleer niet alleen de back-up, maar test ook regelmatig of het herstelproces werkt zoals verwacht.
  • Communiceer over datalekken. Als de gelekte informatie betrekking heeft op personen, zoals werknemers of consumenten, moeten zij worden geïnformeerd over wat er is gebeurd en over de maatregelen die worden genomen. Dat is niet alleen een goede bedrijfspraktijk, het is ook wettelijk verplicht. Organisaties moeten een datalek onmiddellijk melden aan de Autoriteit Persoonsgegevens zodra het wordt ontdekt.
  • Analyseer de zwakke plekken. Naast het zoeken naar de verantwoordelijken voor het lekken van informatie, is het belangrijk om de kwetsbaarheden te herkennen waardoor indringers toegang kregen tot het systeem. Daarna is het essentieel om passende maatregelen te nemen zodat toekomstige schade wordt voorkomen.

Voorbereiden op de toekomst

Aangezien onvoorspelbare en ontwrichtende gebeurtenissen veel vaker voorkomen, moeten CIO’s en CISO’s de veerkracht van hun organisaties verbeteren. Dat betekent dat zij meer moeten doen dan alleen te investeren in preventieve controles.

Wanneer organisaties denken aan het verhelpen van kwetsbaarheden in IT-omgevingen, denken ze meestal aan patches, updates en het zorgen voor de juiste configuratie-instellingen. Toegangsbeheer is echter ook een kwetsbaar punt, vooral als het gaat om geprivilegieerde accounts.

Dit zijn de accounts die toegang hebben tot alle systemen, toepassingen en gegevens om deze goed te laten functioneren. Denk aan de IT-beheerders, systeembeheerders, netwerkspecialisten, DevOps-specialisten en natuurlijk het management zelf. Maar tegenwoordig gaat het ook vaak om externe dienstverleners, automatiseringssystemen, API’s en andere softwareoplossingen.

Het is belangrijk om deze geprivilegieerde accounts te beschermen tegen inbraak of misbruik. Mensen met kwade bedoelingen zijn voortdurend op zoek naar zwakke plekken in bedrijfssystemen. Die dreiging komt zowel van buiten organisaties als van binnenuit. Dat vereist een oplossing die de toegang van werknemers tot IT-bronnen en -gegevens goed controleert, registreert en filtert.

Met een Privileged Access Management (PAM)-oplossing kunnen organisaties alle actieve privilegieerde inloggegevens beheren en voor elk daarvan het privilegeniveau bevestigen. Hiermee wordt gecontroleerd of gebruikers geautoriseerd zijn voor toegang tot bepaalde omgevingen. Het zorgt er ook voor dat deze gegevens worden ingetrokken wanneer ze niet langer nodig zijn, zoals van voormalige werknemers. Verder biedt PAM:

  • Sterke back-up en wachtwoorden. Effectief toegangsbeheer omvat een proces voor de toewijzing en bescherming van wachtwoorden. Dit zorgt ervoor dat geprivilegieerde accounts sterke wachtwoorden hebben die moeilijk te breken zijn en regelmatig worden gewijzigd. Bovendien garanderen geautomatiseerde back-upprocedures een voorspoedig herstel, zelfs van gelekte en/of verwijderde informatie.
  • Tweefactorauthenticatie. De belangrijkste oplossingen op de markt vereisen dubbele authenticatie van de gebruiker, meestal via een OTP (One-Time Password). Het is ook mogelijk om een SMS of een e-mail met een bevestigingscode te sturen.
  • Noodingreep. Wanneer zich een beveiligingsincident voordoet, moet er één enkele maatregel zijn om alle toegang in één keer te stoppen. Denk aan het brandalarm dat wordt geactiveerd door aan een hendel te trekken. De persoon die verantwoordelijk is voor gegevensbeveiliging moet de autonomie hebben om geprivilegieerde gegevens te verwijderen via een speciaal back-upbestand.

Gartner is van mening dat het beheer van geprivilegieerde accounts organisaties helpt veilig toegang te verlenen tot kritieke bedrijfsmiddelen en te voldoen aan compliance-eisen door geprivilegieerde toegang en accounts te beheren en te bewaken.

Kijkend naar recente gebeurtenissen die van invloed zijn op het dreigingslandschap, van wijdverbreide kwetsbaarheden zoals Log4j, tot geopolitieke dreigingen die zijn ontstaan tijdens de invasie van Rusland in Oekraïne, is het duidelijk dat beveiligingsteams verstorende incidenten niet kunnen vermijden. Door zich te richten op voorbereiding in plaats van preventie kunnen CIO’s, CISO’s en hun teams de weerbaarheid van hun organisaties tegen nieuwe, onvoorspelbare cyberbeveiligingsdreigingen optimaliseren.

Dit is een ingezonden bijdrage van Senhasegura. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.