De Technical Account Managers van Qualys voeren regelmatig gesprekken met CISO’s (IT-security) en CIO’s (IT-operations). Uit deze gesprekken komt naar voren met welke uitdagingen deze managers worstelen om hun IT-omgevingen veilig te houden. Daar komen drie grote gemene delers uit naar voren: een gebrek aan holistisch inzicht in de IT-middelen, een misplaatst gevoel van veiligheid en onvoldoende automatisering.
1. Gebrek aan holistisch inzicht
Alle IT-middelen hebben kwetsbaarheden die cybercriminelen misbruiken om in te breken in systemen, deze te gijzelen of om gevoelige en vertrouwelijke gegevens te stelen. Daarom is het belangrijk dat deze kwetsbaarheden tijdig aan het licht komen en gepatched worden. De meeste organisaties investeren daar flink in, maar vaak weet men helemaal niet wat er allemaal beveiligd moet worden. Hoe groter het bedrijf, hoe meer IT-middelen in gebruik zijn, en dus in beeld moeten zijn: laptops, pc’s, servers, printers, netwerkcomponenten, IoT-apparatuur, OT-systemen, cloudapplicaties, enzovoort. “You cannot secure what you can’t see”, stelt Qualys.
Om deze hele inventaris optimaal te beveiligen, moeten CISO’s en CIO’s de gegevens die apparaten en applicaties genereren bovendien met elkaar in verband kunnen brengen. Als er een nieuwe kwetsbaarheid opduikt, moet direct duidelijk zijn welke impact dit op de organisatie heeft. Wat zijn de risico’s voor de bedrijfsprocessen of de dienstverlening? De context, en daarmee samenhangend de accuraatheid van de informatie, bepaalt wat er moet gebeuren.
Naast ongepatchte systemen behoren ook verkeerde configuraties van IT-middelen tot ‘kwetsbaarheden’. Dat wordt vaak vergeten, maar ook hierdoor kunnen cybercriminelen systemen binnendringen. Foutieve configuraties kunnen onder meer instellingen zijn die het mogelijk maken om een kort of standaard wachtwoord te gebruiken, of een wachtwoord dat nooit verloopt.
Het is voor CISO’s en CIO’s daarom allereerst zaak om precies in kaart te brengen wat er allemaal in huis is. Met deze inventaris van alle IT-middelen kunnen zij vervolgens aan de hand van de context prioriteit stellen aan kwetsbaarheden, configuratie-instellingen en patches. Het is tenslotte onmogelijk om alles direct te repareren.
2. Een misplaatst gevoel van veiligheid
Uit forensisch onderzoek bij bedrijven die slachtoffer werden van hacks blijkt dat de cybercriminelen vaak binnenkwamen via een IT-middel waarvan men ten onrechte dacht dat het beschermd werd. In de praktijk bleek er echter helemaal geen beveiligingsoplossing actief te zijn. Zelfs als dat wel het geval is, ontbreken er vaak patches voor kwetsbaarheden. Ook hierdoor krijgen hackers een ingang.
Andere factoren die bijdragen aan een misplaats gevoel van veiligheid zijn meldingsmoeheid en onvoldoende aandacht voor de nazorg. Meldingsmoeheid ontstaat doordat allerlei beveiligingsoplossingen een groot aantal waarschuwingen genereren. Werknemers worden daar ongevoelig voor. Met andere woorden: “Men ziet door de meldingen het gevaar niet meer”. Het gevolg hiervan is dat zij deze meldingen negeren of er niet adequaat op reageren. In de nazorg vergeet men nog weleens dat systemen, wanneer de kwetsbaarheid is verholpen, soms opnieuw moeten worden opgestart, of dat er een registersleutel moeten worden aangepast. Als dat niet gebeurt, blijft de kwetsbaarheid bestaan.
3. Onvoldoende automatisering
CISO’s en CIO’s dienen dus een compleet en continu bijgewerkt beeld te hebben van alle IT-middelen. Zij moeten informatie kunnen verzamelen en correleren over de IT-omgeving, de beveiliging en voor controle en compliance. Met een holistisch inzicht en een gegrond vertrouwen in beveiliging beschikken organisaties over alle informatie die ze nodig hebben om IT-middelen te beschermen tegen de risico’s rond kwetsbaarheden.
De volgende stappen kunnen grotendeels geautomatiseerd plaatsvinden. Uit onderzoek blijkt echter dat veel security-professionals nog onvoldoende gebruikmaken van automatisering. Dat is verontrustend, want als gevolg hiervan duurt het gemiddeld 194 dagen voordat ransomware-gerelateerde kwetsbaarheden door bedrijven worden gepatcht. Met een logische, geautomatiseerde workflow behoort dat probleem tot het verleden.
Organisaties kunnen dan het leeuwendeel van de patches automatisch uitvoeren zonder dat dit een negatieve impact heeft op de processen of taken. De geldt voor de meeste patches, bijvoorbeeld voor Chrome, iTunes, Adobe, laptops en pc’s. Er zijn natuurlijk ook IT-middelen die niet zonder meer gepatcht kunnen worden, bijvoorbeeld omdat eerst getest moet worden of een bedrijfskritiek apparaat of proces niet uitvalt als gevolg van het patchen. Voor deze uitzonderingen moeten specialisten in actie komen. Als het grootste deel van de patches automatisch wordt uitgevoerd, hebben deze specialisten echter de tijd en ruimte om hun volledige aandacht op dit probleem te richten.
Conclusie
Door de genoemde pijnpunten verliezen CISO’s en CIO’s hun gevoel van zekerheid. Dat is niet verwonderlijk, want teams voor IT-beheer en -beveiliging spelen geblinddoekt op een ongelijk speelveld. De hackergemeenschap lijkt continu op voorsprong te staan en gaat steeds geraffineerder te werk. De meeste bedrijven beschikken niet over de mensen en middelen die nodig zijn om de beveiliging te versterken. Sterker nog: uit de gesprekken die Qualys met CISO’s en CIO’s voert blijkt dat zij hun beperkte middelen (tijd/geld) veel effectiever in kunnen zetten. CISO’s en CIO’s kunnen echter de overhand krijgen wanneer ze een holistisch inzicht in de IT-middelen hebben. Het vertrouwen in een always-up-to-date inzicht in de volledige omgeving geeft een gegrond gevoel van veiligheid. Vervolgens kunnen zij door automatisering eenvoudig de verdediging verbeteren en de risico’s van de omgeving verkleinen.
Stefan van Vlerken, Enterprise Account Manager & Chantal ‘t Gilde, Managing Director Benelux bij Qualys
