Was er vroeger een vorm van waterscheiding tussen interne infrastructuren en de buitenwereld, sinds de opkomst van het internet – en meer recent het thuiswerken – is de traditionele perimeter verleden tijd. Data, applicaties en gebruikers bevinden zich in een diffuse wereld. Een wereld waar we data en applicaties de ene keer binnen de traditionele perimeter ontsluiten, maar de andere keer vanuit huis of onderweg. Dat betekent dat dreigingen van binnenuit en van buitenaf feitelijk even klein of groot zijn. In een andere blogpost gingen we in op kenmerken en acties wat betreft insider risk. Hieronder kijken we naar de actuele outsider risks en welke acties daar nu bij passen.
Onbekende dader
Gaat het bij insider risk om actoren die we kennen, bij outsider risk is de dader onbekend. Het is in dat verband belangrijk te onderkennen dat steeds meer cyberaanvallen plaatsvinden via supply chains. Een schatting van het Amerikaanse National Institute of Science and Technology (NIST) komt uit op maar liefst tachtig procent. Hierbij wordt een organisatie via een kwetsbaarheid van een (software)leverancier geïnfecteerd. Bekende voorbeelden uit de recente geschiedenis zijn lekken in de software van Citrix en Solarwinds. Juist vanwege deze trend is goede threat intelligence steeds belangrijker. Gartner definieert dit als ‘empirisch onderbouwde kennis, inclusief context, mechanismen, indicatoren, implicaties en actiegericht advies over een bestaande of opkomende dreiging of gevaar voor assets. Deze informatie kan worden gebruikt om beslissingen te nemen met betrekking tot de reactie van het onderwerp op die dreiging of dat gevaar.’
Motieven
De motieven van outside-risk-actoren verschillen niet veel van insiders. Geldelijk gewin staat voorop. Daarnaast zien we bij outsiders uiteraard ook activistische of politieke motieven. De laatste jaren is meer dan duidelijk geworden dat statelijke actoren heel actief zijn in cybercriminaliteit. Het bespioneren van overheden om politieke besluiten te volgen of te beïnvloeden en van bedrijven om intellectueel eigendom te stelen, zijn aan de orde van de dag. De middelen die daarvoor worden ingezet, zijn overbekend: malware en ransomware die via Business Email Compromise (BEC), phishing of brute force worden verspreid.
Rol van IAM
Om al deze dreigingen tegen te gaan, investeren bedrijven in Identity and Access Management (IAM). Daarbij staat adaptive authentication volgens het ISC2 2021 Cyberthreat Defense Report op dit moment nog bovenaan. Met deze aanpak zet je tweefactor-authenticatie of multifactor-authenticatie in op basis van risicoprofielen, als gebruikersrol, het belang van een bepaalde resource, de locatie, tijdstip of dag van de week. Het systeem leert van het gebruikersgedrag en kan voorzien in een goede balans tussen gemak en veiligheid. Op de tweede plek van meest gebruikte anti-dreigingsmiddelen staat wachtwoordbeheer/automatische reset. Op de derde plek staat Privileged Access Management, gevolgd door Identity as a Service (IDaaS).
De veelheid aan dreigingen en aan beschikbare puntoplossingen kunnen het voor een organisatie moeilijk maken om goed overwogen beslissingen te nemen over het totale securitybeleid. Van belang is om in ieder geval te starten met een beoordeling van de actuele maturity van de eigen security. Welke basisprocessen zijn er en in hoeverre voldoen ze aan de huidige normen? Security is veel meer dan tools en technologie. Het vereist een totaal aanpak, waarbij brede security awareness het uitgangspunt moet zijn.
Deze blog spitste zich toe op de outsider risks. In een eerdere bijdrage gingen we nader in op de insider risks.
Ewout Vermeulen en Thom Otten zijn security consultant bij Traxion, aanbieder van Identity Centric Security Services in Nederland en België met ruim 130 hooggekwalificeerde professionals. Traxion is onderdeel van Swiss IT Security Group.
