Er is een gezegde onder security professionals. Een beveiligingsteam moet elke keer gelijk hebben, een cyberboef maar één keer. De kansen zijn ongelijk verdeeld voor organisaties die vechten om hun merk, hun klanten en hun werknemers te beschermen.
Organisaties worden voortdurend aangevallen op steeds veranderende manieren. De achilleshielen van een organisatie veranderen steeds – en nemen zelfs toe – net zo snel als het bedrijf zelf van richting verandert. Toch blijven de beveiligingsbudgetten vaak gelijk, in het gunstigste geval. Onduidelijke en vaak tegenstrijdige standpunten binnen de beveiligingsindustrie verwarren en frustreren de verantwoordelijken binnen organisaties vaak. Het is voor hen niet duidelijk hoe zij hun netwerken kunnen beschermen.
Erger nog, de branche blijft het onrealistische idee propageren dat organisaties hun omgeving 100% kunnen beschermen. In theorie klinkt dat als een ideaal doel, maar in werkelijkheid leidt het organisaties rechtstreeks naar mislukking. Mijn collega Barry Hensley herinnert beveiligingsteams er vaak aan: “Je kunt een netwerk niet beveiligen, maar je kunt het wel verdedigen.” Technologieën en tactieken verbeteren en zorgen voor meer inzicht en context, maar organisaties hebben nog steeds moeite om snel maatregelen te nemen die risico’s betrouwbaar beperken.
Meer herrie betekent niet meer informatie
Denk bijvoorbeeld aan het volgende scenario dat zich dagelijks afspeelt bij organisaties over de hele wereld. Bedrijf X besteedt jaarlijks 2 miljoen euro aan licenties voor security information and event management(SIEM)-software en nog eens 7 miljoen euro per jaar aan personeel, tools en andere security-licenties. Na de installatie realiseert het bedrijf zich dat de ‘out-of-the-box’-scenario’s van de software niet toepasbaar zijn op hun omgeving.
Daarom moet het security-team specifieke informatie verwerven hoe de bedreigingen voor het bedrijf er precies uitzien. Na een tijd stijgt de ‘alarmmoeheid’. En het aantal ‘false positives’ stijgt de pan uit. Het security-team begint daardoor de log-niveaus te verlagen en controleert niet meer op een aantal signatures. Om toch waarde uit zijn investering te halen, besluit het team nu externe intelligentie toe te voegen. Dit, om de bestaande oplossing slimmer te maken en de efficiëntie te verhogen. Dit maakt het allemaal nog duurder. Maar informatie over bedreigingen lost nog steeds niet de ineffectiviteit op van de toepassingsscenario’s voor hun tools. Dus koopt de organisatie extra professionele diensten van zijn SIEM-leverancier om een probleem op te lossen dat de tool onbedoeld heeft helpen creëren.
Hoewel SIEM-software enorm waardevol kan zijn, stelt de Return on Investment vaak teleur zonder de juiste context en kennis van de bedreigingen. De kosten blijven zich opstapelen als het security-team zich realiseert dat zijn bestaande controles worden omzeild door de nieuwste aanvalstactieken. Verhogingen van de licentiekosten drijven het budget op. En de jaarlijkse bestedingen kunnen makkelijk oplopen tot 20 miljoen euro. Ondertussen is het risico niet meetbaar verminderd en de druk op het personeel leidt tot verloop. Het gevolg daarvan is dat het kennisniveau van het security-team over de zakelijke processen en de security-omgeving van het bedrijf afneemt.
Laat je niet afleiden
Zowel de beveiligingsbranche als haar klanten falen – online criminelen zijn talrijker dan ethische hackers, zijn beter gefinancierd en kunnen veel verdedigingsmaatregelen omzeilen door de kleinste tactische veranderingen door te voeren. In elke sector, over de hele wereld, is een van de meest chronische ‘cyberbeveiligingsziektes’ de irrationele manier waarop beveiligingscontroles worden toegepast op specifieke omgevingen. Wanneer laag na laag van verschillende tools wordt geïmplementeerd in een poging om te reageren op de nieuwste bedreigingen, worden omgevingen complex en weinig effectief. Het duurt niet lang of de inconsistente lagen raken bezaaid met gaten die veroorzaakt worden door ongecoördineerde technologie, mensen en processen.
Als gevolg hiervan halen security-teams met steeds meer inspanningen steeds minder resultaten. De uitgaven voor security-technologie zijn steeds minder te rechtvaardigen. Veel organisaties lukt het bovendien niet een breder begrip van het bedreigingslandschap te bereiken en in te spelen op de snelheid waarmee het verandert. In plaats daarvan reageren ze op specifieke trends in hun branche of worden afgeleid door nieuwe bedreigingen die al dan niet relevant zijn voor hun unieke risicoprofiel.
Er is in principe niets mis mee om informatie te delen met jouw branchegenoten. En de trends bij te houden die van invloed kunnen zijn op jouw organisatie. Tactieken moeten echter in de juiste context worden geplaatst. En goed passen in jouw algehele beveiligingsprogramma en het specifieke, steeds veranderende bedreigingslandschap van jouw organisatie. Daarnaast moeten ze zich concentreren op de maatregelen die de grootste impact zullen hebben.
Beterschap
Organisaties hebben hun eigen zaak en infrastructuur vaak goed onder controle. Maar de meeste hebben moeite de ontwikkelingen in het bedreigingslandschap om hun bedrijf heen bij te houden. Dit, ondanks investeringen in tools en security-experts. Het komt op het volgende neer: de meeste organisaties besteden de budgetten die nodig zijn om een effectief intern veiligheidsprogramma op te bouwen liever aan business units die direct bijdragen aan de groei van hun bedrijf. En dat is natuurlijk erg voor de hand liggend.
Uiteindelijk gaat het erom geld te verdienen met een bedrijf. Maar om zich te kunnen verdedigen, moeten bedrijven niet alleen prioriteit geven aan beveiligingstools, maar ook aan de context – zowel de zakelijke als de security-context. Deze is nodig om de risico’s te beperken zonder innovatie in de kiem te smoren. En de beveiligingsindustrie zelf moet sneller en met meer vertrouwen innoveren om die context te bieden. Beveiligingstechnologieën zijn verbeterd, maar hebben nog niet hun volledige potentieel bereikt Daarvoor zijn meer intuïtieve, responsieve en geïntegreerde oplossingen nodig. Het spel is aan het veranderen en alleen door samen te werken kunnen we de boeven tegenhouden.
Radboud Beumer, Regional Director Continental Europe, Secureworks
