Hoe kun je de beveiliging optimaliseren met je huidige middelen? Dat is de vraag die ik in mijn vorige blog aankaartte. In deze blog geef ik nader antwoord. Een managed security services provider kan veel meer voor je betekenen dan je vermoedt.
Denk aan niet-technische aspecten
Een ‘verdediging in de diepte’-strategie maakt gebruik van technische, fysieke, beheermatige en procedurele beveiligingsmechanismen. De technische aspecten krijgen vaak de meeste aandacht. Toch leert onze ervaring dat het soms lastiger voor cybercriminelen is om een procedureel mechanisme te hacken dan de technische variant.
Er is geen hardware of software die geen technische kwetsbaarheden bevat. Maar er zijn hardnekkige social engineering-pogingen voor nodig om rigoureuze beheer- en procedurele ontwerpen te kraken. Voorbeeld hiervan is onder meer air gaps (het afscheiden van veilige netwerken van onveilige netwerken). Maar ook het toekennen van louter de strikt noodzakelijke toegangsrechten. En het scheiden van taken. Deze beveiligingsmechanismen zijn ook niet onfeilbaar, maar ze helpen wel om grote aantallen opportunistische hackers buiten de deur te houden.
Als we onderzoek doen naar beveiligingsincidenten waarbij misbruik van e-mail werd gemaakt, raden we klanten vaak aan om verder te kijken dan technische oplossingen. Ze moeten procedurele en beheermechanismen toepassen om hun investeringen te beschermen. Door simpelweg out-of-band-verificatie in te stellen kun je voorkomen dat cybercriminelen je organisatie aanzienlijke bedragen aftroggelen met e-mailscams.
Babbeltrucks
In het Data Breach Digest-scenario “Financial Pretexting” vertellen we hoe het Incident Respons-team van ons Threat Response Advisory Center een klant bijstond tijdens een typisch pretexting-incident. Hierbij probeerden cybercriminelen met behulp van babbeltrucs financiële informatie bij medewerkers los te peuteren. Beveiligingsmaatregelen van Critical Security Controls (zoals CSC-6, CSC-7, CSC-14, CSC-17 en CSC-19) zijn zeer effectief in het terugdringen van de risico’s die met dit soort bedreigingen gepaard gaan.
Een Managed Security Service Provider (MSSP) wordt vaak gezien als een partij die beveiligingstechnologie voor je beheert. Vergelijk het met een Security Information and Event Management (SIEM)-systeem en andere oplossingen. Een MSSP kan echter minstens zo belangrijk zijn vanwege diens ervaring met het verbeteren van beveiligingsontwerpen en -processen. MSSP’s kunnen je best practices aanreiken voor het ontwerpen van verdedigingsmechanismen en je helpen met het toepassen daarvan binnen je ICT-omgeving.
En belangrijker nog: MSSP’s kunnen actuele bedreigingsinformatie aanleveren. En beveiligingsincidenten met elkaar in verband brengen. Bijvoorbeeld aanvallen die op een specifieke branche zijn gericht. En ze kunnen je helpen profiteren van samenwerkingsinitiatieven zoals het Data Breach Investigations Report. De effectiviteit waarmee zij dit doen is bepalend voor de doelmatigheid van hun diensten. In het beste geval zal een MSSP uitgroeien tot een vakkundig opgeleid verlengstuk van je organisatie. Want of je het nu leuk vindt of niet, mensen zijn je eerste verdedigingslinie.
Hoe zien de totale eigendomskosten eruit?
Organisaties die proberen de totale eigendomskosten te berekenen slagen er maar al te vaak niet om de kosten correct in te schatten. Net als met beveiligingsoplossingen richten zij zich in het algemeen op de kosten van de technologie, zodat ze andere belangrijke aspecten over het hoofd zien. Er zijn niet alleen kosten verbonden aan de implementatie, migratie, het onderhoud en opwaarderingen van technische systemen. Organisaties hebben vaak geen oog voor de kosten die gepaard gaan met de voortdurende optimalisatie van beveiligingsmechanismen, het aantrekken van personeel, training en de dagelijkse beveiligingstaken.
MSSP biedt uitkomst
Deze opsomming van potentiële kosten is niet bedoeld om je af te schrikken. Naar onze mening kan een beter begrip van de totale kosten je helpen om tijdige en slimme beslissingen te nemen. En om zo het rendement op je investeringen in de beveiliging te vergroten. We weten echter ook dat veel organisaties die de totale eigendomskosten bestuderen tot het besef komen dat de benodigde investeringen (tijd, geld, moeite) buiten hun mogelijkheden liggen. Maar niet getreurd. Een MSSP kan uitkomst bieden.
Selectieve uitbesteding kan je helpen aan de beveiliging die je nodig hebt zonder alle kosten die daar normaliter mee gemoeid gaan. Na het berekenen van de kosten van upgrades, patching, het beveiligingsbeheer en de andere zaken die we hebben aangestipt, kom je mogelijk tot de conclusie dat het niet de moeite loont om alles intern te regelen. MSSPs kunnen een veel beter rendement op je investeringen in beveiliging bieden en een effectievere manier vormen om cyberaanvallen af te slaan. Dit is te danken aan hun schaalomvang, ervaring, wereldwijde glasvezelnetwerk en praktisch inzetbare bedreigingsinformatie.
Beveiliging in evenwicht met de gebruikservaring
De complexiteit van een ‘verdediging in de diepte’-strategie gaat daarnaast gepaard met kosten die niet in euro’s kunnen worden uitgedrukt. En dan hebben we het over de druk die dit op gebruikers en beheerders legt. Goed ingerichte beveiligingsmechanismen hoeven de gebruikservaring niet in de weg te zitten. Ondoordachte mechanismen zullen dat absoluut wel doen.
Human-computer interaction security (HCISec) is een discipline die zich speciaal met dit vraagstuk bezighoudt. Je hoeft echter geen specialist in HCISec te zijn om het probleem van interactie tussen mensen en computers aan te pakken. Een belangrijke stap op weg naar het vereenvoudigen van de beveiliging voor eindgebruikers is om na te gaan welke taken er intern moeten worden uitgevoerd. En welke je het beste kunt uitbesteden. MSSP’s kunnen je helpen met het in evenwicht brengen van je beveiligingsmechanismen en de gebruikservaring tijdens het voorbereidende, detectie- en responsstadium. Veder kunnen ze je helpen met het beheer van de complexiteit en documentatie aanleveren voor al je beveiligingsmechanismen.
Onterecht veilig gevoel
Als het om ICT-beveiliging gaat zit een ongeluk in een klein hoekje. Hopelijk kan deze blog voor je als uitgangspunt dienen om te bepalen welke beveiligingsmechanismen je kunnen helpen om de beveiligingskosten in evenwicht te brengen met effectieve bescherming voor je organisatie. Als organisaties gebruikmaken van inadequate beveiligingsmechanismen. Of zich doodstaren op de wet- en regelgeving kan dit resulteren in een onterecht gevoel van veiligheid. En dat kan veel schadelijker zijn dan helemaal geen beveiligingsmaatregelen treffen. Het goede nieuws is dat je met de hulp van de juiste beveiligingspartner je organisatie effectief kunt beschermen. Dit, zonder je budget uit te putten.
Willem Jonkman, sales director van Verizon in de Benelux