Het huidige dreigingslandschap is groter dan ooit tevoren en de snelheid waarmee een tegenstander gaten in een beveiligingsframework kan uitbuiten, wordt ook alleen maar groter. Door deze gevaarlijke combinatie erkennen steeds meer organisaties de beperkingen van hun traditionele reactieve benaderingen van cyberbeveiliging. Doorgaans gaan threat hunters reactief op zoek naar kwetsbaarheden of cybercriminelen in hun omgeving en ze proberen de schade te beperken. ‘Zoeken naar dreigingen’ suggereert echter dat de organisatie al is gecompromitteerd voordat er actie wordt ondernomen. En dat is niet langer goed genoeg. We moeten deze mentaliteit veranderen en benadrukken dat het noodzakelijk is om een holistisch overzicht van de omgeving te creëren, waardoor risicogebieden van tevoren geïdentificeerd kunnen worden.
Nieuwe regelgeving, zoals NIS2 en DORA, is ontworpen om de cyberbeveiligingsaanpak van organisaties preventiever en proactiever te maken. Het doel is om over te stappen op een nieuwe vorm van risk hunting. Risk hunting is veel proactiever en helpt organisaties om potentiële risico’s te identificeren, beoordelen en beperken voordat het concrete dreigingen worden. Maar hoe kunnen organisaties het beste een framework voor risk hunting opstellen, implementeren en uitvoeren?
Waar moet je zoeken naar risico’s?
Als sector hebben we momenteel geen goed inzicht in hoe cybercriminelen denken en dus wat de risico’s zijn binnen een organisatie. Dit komt doordat organisaties niet anticiperen op de snelheid waarmee dreigingen zich ontwikkelen, waardoor ze zich altijd verdedigen tegen oude aanvallen. NIS2 helpt weliswaar de lat voor fundamentele veiligheid hoger te leggen, maar het is niet gedetailleerd genoeg om organisaties te helpen de risicokloof helemaal te dichten. Organisaties moeten teams samenstellen die zich voordoen als cybercriminelen om zo de grenzen van het huidige beleid te testen.
Verder mag threat hunting niet uitsluitend gericht zijn op het lokaliseren van digitale kwetsbaarheden die kunnen worden gehackt van buitenaf. Het moet zo alomvattend mogelijk zijn en bijvoorbeeld ook identificeren hoe veerkrachtig de organisatie is als er een DDoS-aanval plaatsvindt of het internet uitvalt.
Wat is de beste aanpak van risk hunting?
Er zijn talloze methoden voor het opsporen van risico’s, waaronder het gebruik van geavanceerde analyses, informatie over dreigingen en technieken voor het detecteren van afwijkingen. Op inlichtingen gebaseerde risk hunting is de meest optimale vorm. Hierbij wordt informatie over dreigingen ingezet om de jacht op risico’s te stimuleren. In tegenstelling tot het zoeken naar dreigingen, waarbij gebruik wordt gemaakt van Indicators Of Compromise (IOC’s) en Tactic, Techniques and Procedures (TTP’s) om te bepalen waar de risico’s liggen, of waar een bepaalde aanvaller een potentieel risico wil benutten, moet tijdens risk hunting gebruik worden gemaakt van Indicators of Attack (IOA). Dit zijn patronen of gedragingen die wijzen op een aanhoudende of dreigende aanval. Deze indicatoren helpen de TTP’s te identificeren die door cybercriminelen worden gebruikt tijdens een aanval.
Er zijn veel technologieën beschikbaar waarmee organisaties hun omgeving in kaart kunnen brengen en informatie kunnen toevoegen om zwakke plekken te vinden. Veel organisaties testen bijvoorbeeld in digitale simulaties om te begrijpen hoe aanvallen werken en of hun beveiligingsframeworks hier tegen bestand zijn. Beveiligingsteams kunnen vervolgens hun beleid aanpassen op basis van die informatie. Er is dus zeker geen gebrek aan hulpmiddelen en informatie om organisaties te ondersteunen bij het zoeken naar risico’s. Het probleem zit hem in de vaardigheden die nodig zijn om deze tools effectief te gebruiken en ze vervolgens toe te passen in een omgeving die toch al zeer complex is. Er zijn maar weinig mensen die over de vaardigheid of kennis beschikken om daadwerkelijk een risk hunting-aanpak te implementeren en vervolgens te begrijpen wat er moet gebeuren om de gevaren die daarmee worden geïdentificeerd te beperken.
Het ‘paarse team’ is volgens ons het meest geschikt voor risk hunting. Dit team bestaat uit een combinatie van rode en blauwe teamleden en hun vaardigheden – rode teams proberen doorgaans de kwetsbaarheden in een framework van een organisatie te vinden en blauwe teams helpen die gaten te dichten. Organisaties hoeven dus geen volledig nieuwe teams te maken om een effectieve audit uit te voeren. In plaats daarvan kunnen ze teams met verschillende vaardigheden samenbrengen om interne risico’s op te sporen, zowel vanuit defensief als vanuit aanvalsperspectief. Deze paarse teams kunnen, ondersteund door AI-technologieën, de juiste data tot zich nemen en er de juiste betekenis uit halen om de nodige veranderingen door te voeren.
Maak risk hunting eenvoudig en uitvoerbaar
Zelfs als de juiste teams en tools aanwezig zijn, moeten beveiligingsteams nog steeds veel moeite doen om inzicht te krijgen in de risicogegevens die zij verzamelen. CISO’s en andere beveiligingsprofessionals hebben namelijk vaak te maken met verschillende, niet op elkaar afgestemde tools die enorme hoeveelheden opgesplitste data produceren. Dit moet eerst met elkaar gecorreleerd worden om gemeenschappelijke trends te identificeren. Door dit proces is het vrijwel onmogelijk om efficiënt informatie te verwerken en bruikbaar te maken. Op zichzelf staande beveiligingstools en handmatige processen schetsen een onvolledig beeld van cyberrisico’s en bieden beveiligingsteams geen zinvolle manier om deze te verhelpen.
Om te kunnen vaststellen welke gegevens relevant zijn, moeten CISO’s hun verschillende tools verbinden in één oplossingsframework dat de risico’s voor de hele organisatie in een visueel format kan kwantificeren. Gegevens omwille van gegevens zijn niet nuttig voor een beveiligingsteam dat over beperkte mankracht en tijd beschikt. Door technologieën zoals AI te gebruiken, kunnen de teams gegevens beter analyseren en een duidelijk en uitvoerbaar plan presenteren aan het bestuur.
Organisaties hebben te lang reactief gereageerd op cyberdreigingen. Dit kan komen door een gebrek aan investeringen in beveiligingsteams of een gebrek aan inzicht in dreigingsactoren. Met de komst van NIS2 en DORA zal beveiliging nog steviger op de agenda komen te staan, waardoor beveiligingsprofessionals het podium krijgen om hun beveiligingskader naar een hoger niveau te tillen en aan te dringen op grote investeringen. Door de hiaten in het huidige framework op te sporen en te presenteren op een eenvoudige en uitvoerbare manier, kunnen beveiligingsteams de ruis doorbreken en de C-suite overtuigen van de stappen die moeten worden genomen om aan de regelgeving te voldoen. Maar risk hunting mag niet stoppen bij de regelgeving. Dit soort audits moeten een vast onderdeel worden van beveiligingsteams om dreigingsactoren voor te blijven en ervoor te zorgen dat het beveiligingsframework te allen tijde aansluit op het beoogde doel.
Dit is een ingezonden bijdrage van Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.