Een kale man glimlachend in een blauw pak.
6min

Tags in dit artikel

, , ,

Tegenwoordig besteden bedrijven erg veel geld aan reactieve cybersecurity-maatregelen. Ze vertrouwen op technologieën die aanvallen binnen de infrastructuur detecteren en daarop reageren. En investeren daarnaast in cyberverzekeringen en bitcoins voor ransomware-claims. Maar zou het voorkomen van veiligheidsincidenten niet eigenlijk prioriteit moeten hebben? Onderstaand negenpuntenplan voor meer proactieve beveiliging laat zien hoe bedrijven hun beveiliging kunnen versterken.

In de afgelopen jaren zijn organisaties gaan geloven dat het slechts een kwestie van tijd is voordat ze worden getroffen door een cyberaanval met dataverlies en ransomware claims. Ongetwijfeld neemt het aantal succesvolle aanvallen op bedrijven toe en als reactie op deze dreiging investeren bedrijven in cyberverzekeringen of verzamelen ze ongereguleerde cybervaluta’s om als losgeld te kunnen betalen bij een aanval. De verzekeringsbranche reageert nu al op de risicosituatie door de prijzen voor cyberverzekeringen en de eisen waaraan een verzekerde onderneming moet voldoen, te verhogen.

Ook op technisch vlak vindt ‘retrofitting’ plaats door te investeren in reactieve beveiligingssystemen. Security Operation Centers (SOC’s), Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) en Network Detection and Response (NDR)-systemen zijn allemaal booming omdat bedrijven willen weten of ze doelwit zijn of gecompromitteerd.

De grote uitdaging bij detectie en respons is echter tijd. Naarmate het aanvalsproces sneller verloopt, wordt het moeilijker om te reageren voordat er schade ontstaat. Beveiligingsanalisten in SOC’s hebben te veel tools en datapunten om een ​​holistisch, op risico’s gebaseerd beeld van de organisatie te geven. Met te veel toegevoegde oplossingen en moeilijkheden bij het correleren van de data, wordt betekenisvolle interpretatie complex en moeilijk te herkennen.

Zonder context kan het een uitdaging zijn om betekenis te vinden in kleine stukjes data. Helaas is nuttige informatie – en de experts om dit te analyseren – moeilijk te vinden. Een duizelingwekkend aantal false-positive waarschuwingen maakt het belangrijk om ze te filteren door middel van geschikte forensische analyse. Aangezien dreigingen de systemen steeds intensiever treffen, moet er in beschikbaar personeel worden geïnvesteerd dat de klok rond kan werken. Daarnaast moeten bedrijven erkennen dat traditionele tools voor conventionele infrastructuren aan hun limieten zitten.

Wisseling van de wacht voor proactieve beveiliging

Als een bedrijf ervan uitgaat dat er een breach gaat plaatsvinden, dan beïnvloedt deze houding het besluitvormingsproces. Een IT-team gelooft dan dat ze falen in hun preventieve maatregelen en dat ze zich moeten concentreren op reactieve strategieën, in plaats van hun preventieve aanpak te versterken. Een aanpassing van de focus en houding is vereist. Opnieuw nadenken over het verstandig inzetten van tijd, moeite en middelen om het moderne dreigingslandschap aan te pakken. Om overbelasting van systemen en werknemers te voorkomen door de vele beschikbare data, moeten bedrijven meer rekening houden met preventie in hun risicobeheer.

Naast het nemen van maatregelen om aanvallen op de bedrijfsinfrastructuur te detecteren, moeten acties worden ondernomen om ze volledig te voorkomen. Als bedrijven zich richten op het verkleinen van hun aanvalsoppervlak, kan de impact van dreigingen en hun potentiële schade aanzienlijk worden verminderd. Het gaat niet alleen om het afschaffen van bestaande systemen, maar om een ​​holistische catalogus van maatregelen voor risicobeheersing. Deze zijn meer gericht op het voorkomen van aanvallen dan op het detecteren ervan zodra ze toeslaan. Het risico op succesvolle aanvallen kan worden verkleind als bedrijven kwetsbaarheden in hun infrastructuur herkennen en deze gaten dichten, om zo een ​​kleiner beschermingsoppervlak te creëren.

Volg de onderstaande 9 stappen om van reactief naar proactief risicobeheer te gaan:

  1. Aanvalsoppervlak verkleinen: Bedrijven die tijd investeren om zich bewust te worden van hun aanvalsoppervlak, zorgen voor proactieve beveiliging. Door kwetsbaarheden te detecteren en gaten in de beveiliging te beschermen, leveren ze een belangrijke bijdrage aan het verminderen van aanvallen. Om dit te doen, moeten alle assets die bedrijven aan het internet blootstellen, worden gecontroleerd. Om het aanvalsoppervlak te verkleinen, is de eerste stap het inventariseren, categoriseren en verbergen van assets. Een zero trust-aanpak, waarbij gebruik wordt gemaakt van microtunnels van de gebruiker naar de applicatie, zorgt ervoor dat onbevoegde blikken op de infrastructuur niet mogelijk zijn.
  1. Blijf weg van de castle and moat-benadering: het traditionele beveiligingsinfrastructuur-model wordt gekenmerkt door een castle and moat-benadering, waarbij alles binnen het netwerk wordt beschermd. Door de cloud en nieuwe werkmodellen vallen applicaties en gebruikers niet meer binnen deze perimeter. Bij preventieve maatregelen moeten applicaties en werknemers worden beschermd, ongeacht hun locatie. De focus moet liggen op die bedrijfswaarden die het waard zijn om te beschermen en daarvoor moeten passende maatregelen worden genomen. Dit betekent meer bescherming voor cloud-workloads en voor medewerkers wanneer ze overal toegang hebben tot applicaties.
  1. Ontwikkel uw cloud-beveiliging: Geen enkel bedrijf kan tegenwoordig meer om de cloud heen. Hoewel organisaties in verschillende mate vooruitgang hebben geboekt in hun reis naar cloudificatie, is het belangrijk om de apps naar de cloud te verplaatsen volgens de lift-and-shift-aanpak. Een holistische transformatie vereist een heroverweging van netwerk- en beveiligingsarchitecturen en connectiviteit. In de cloud-first-wereld moeten bedrijven ervoor zorgen dat hun hele IT-architectuurmodel de evolutie naar de cloud doormaakt. Het beveiligen van netwerktoegang moet worden vervangen door een beveiligd toegangsmodel op basis van de individuele applicatie en gebruiker. Een zero trust-aanpak met de principes van least privileged toegang helpt hierbij.
  1. Detecteer command & control traffic: Het is niet goed genoeg voor een SOC om command & control traffic alleen te detecteren. Om te voorkomen dat een aanvaller de controle over een geïnfecteerd apparaat overneemt, moet command & control traffic in-line en in realtime voorkomen worden met behulp van machine learning. Nogmaals, een overstap van detectie naar preventie is haalbaar met SOC’s, als ze voldoende zijn uitgerust om moderne dreigingen te bestrijden met behulp van automatisering.
  1. Responstijd verkorten door automatisering: De automatisering van verschillende beveiligingsfuncties kan ook helpen de handmatige taken te verminderen. Bij het herkennen van malware-patronen wordt kunstmatige intelligentie (AI) krachtiger door datastromen te correleren en rekening te houden met de context. Door automatisering kan de druk op het SOC-team worden weggenomen en kan ook het aantal false positives worden ingeperkt. Dit vereist een holistische kijk op alle datastromen. Tijd investeren in het trainen van een systeem draagt uiteindelijk bij aan het verminderen van complexiteit en aanvallen.
  1. Kies AI boven training van werknemers: Machine learning (ML) verslaat ook de training van werknemers als het gaat om het detecteren van phishing-aanvallen. Bewustwordingstraining voor personeel is een preventieve maatregel, maar zal meestal achterblijven bij de snel evoluerende tactieken en technieken van de aanvallers. Bedrijven kunnen niet verwachten dat individuele werknemers nieuwe phishing-patronen herkennen, wat betekent dat machine learning moet worden gebruikt als een anti-phishing-techniek.
  1. Denk als een indringer: Deception- technieken zijn een ander modern middel om je te verdedigen tegen aanvallen. Iedereen die de manier van denken van een aanvaller overneemt, begrijpt de acties van de crimineel en kan deze misleiden, waardoor de assets van de organisatie worden beschermd. Aanvallers die zich door het bedrijfsnetwerk kunnen verplaatsen, zoeken naar intellectueel eigendom of gevoelige gegevens die ze kunnen misbruiken voor hun aanvallen. Daarom helpt het plaatsen van honeypots om indringers te ontmaskeren zodra ze het netwerk zijn binnengedrongen.
  1. Overstappen van SIEM naar threat intelligence-platforms: De reden om van het traditionele SIEM-systeem als correlatieplatform voor beveiligingsincidenten af te stappen, is het complexe beheer ervan. Het correleren van de stroom data van verschillende hardwaresystemen die mogelijk niet dezelfde taal spreken en het onderzoeken van beveiligingsincidenten is tijdrovend en vereist vaak handmatige interactie. Een moderne benadering van het threat intelligence-platform ontlast het beveiligingsteam. Inzicht via een management console laat zien wat er werkelijk speelt in de IT-infrastructuur. Een krachtig platform maakt gebruik van sterke context en datapunten die inline kunnen reageren om ongeautoriseerde toegang of dataverlies te voorkomen. Doorslaggevend is dat zo’n platform ook de vervolgstappen initieert en datastromen voorkomt als er aanwijzingen zijn van onbevoegde toegang of dataverlies.
  1. Shift left, shift down: Ten slotte moet beveiliging eerder in de applicatie levenscyclus van de hedendaagse cloud-omgevingen worden geïmplementeerd. Het ultieme doel moet zijn dat verkeerde configuraties die tot kwetsbaarheden leiden, in de eerste plaats kunnen worden vermeden, en dat security by design al begint voordat de infrastructuur wordt geïmplementeerd. Een shift left betekent dat beveiliging wordt geïmplementeerd in het ontwikkelproces. Een shift down draait om de beveiliging dichterbij de workload brengen, waarbij gebruik wordt gemaakt van nieuwere segmentatie benaderingen zoals op identiteit gebaseerde segmentatie. Een volledig geïntegreerd cloud-native applicatie bescherming platform (CNAPP) helpt om aan deze vereisten voor vroege preventieve metingen te voldoen.

Compromissen vermijden

Het constant bestrijden van beveiligingsincidenten zorgt voor een vicieuze cirkel. IT-teams moeten hun beschikbare middelen evalueren en meer energie steken in de start van de cyberbeveiliging killchain. Even een stap terug doen en focussen op een aantal belangrijke preventiegebieden, kan organisaties naar een veiligere omgeving brengen. Bedrijven moeten hun risicostrategie voortdurend evalueren, inclusief factoren zoals complexiteit en bedrijfskosten.

Zelfs cyberverzekeringsmaatschappijen leggen tegenwoordig meer nadruk op het controleren van organisaties op basis van hun preventieve maatregelen om risico’s te verminderen. In de loop van de risicoberekening moeten deze proactieve, preventieve maatregelen weer in beeld komen om te voorkomen dat aanvallen plaatsvinden.

Dit is een ingezonden bijdrage van Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.