'Lappendeken van security-tools is een risico'

Nederlandse organisaties hebben een ware lappendeken van los van elkaar functionerende security-tools in gebruik. Hierdoor is slechts een kwart van deze organisaties in staat alle relevante securityinformatie op één centraal platform bij elkaar te brengen. Dit betekent in de praktijk dat het erg lastig is om in real-time dreigingen te detecteren en af te slaan. Dat blijkt uit het onderzoek ‘Omgaan met complexe dreigingen’ dat Pb7 Research in opdracht van Intel Security heeft uitgevoerd. 

“De afgelopen jaren is er in ons land erg veel aandacht besteed aan security. Desondanks denken negen van de tien Nederlandse organisaties dat zij een goed opgezette aanval van cybercriminelen niet kunnen tegenhouden. Zij wijten dit met name aan een ontoereikende beveiligingsarchitectuur”, Mischa Deden, Sales Systems Engineer Intel Security voor Noord- en Oost-Europa. “Het onderzoek laat duidelijk zien dat het inzetten van allerlei losse beveiligingsproducten kansloos is tegen de real-time dreigingen waar organisaties nu mee te maken kunnen krijgen.”

“Zeventig procent van de Nederlandse organisaties heeft vier of meer security-tools in gebruik”, zegt Peter Vermeulen, directeur van Pb7 Research. “Deze tools zijn veelal geleverd door verschillende leveranciers en zijn niet of nauwelijks in staat om met elkaar samen te werken. Hierdoor is slechts een kwart van de organisaties in staat om de informatie die de geïmplementeerde beveiligingsoplossingen produceren bij elkaar te brengen op één centraal platform. Terwijl een dergelijk platform noodzakelijk is om tot een goed beeld te komen van de veiligheidssituatie binnen de organisatie.”

“Voor het afslaan van geavanceerde aanvallen is het dus nodig dat de beveiligingscomponenten naadloos informatie kunnen uitwisselen, zodat tijdig actie kan worden ondernomen”, zegt Deden. Dat betekent dat organisaties hun security veel beter op elkaar moeten aansluiten en dat onderdelen zoals Security Information and Event Management (SIEM), endpoint-beveiliging, advanced threat detection en de informatievoorziening over dreigingen één geheel moeten vormen. Alleen dan zijn geavanceerde dreigingen tijdig op te merken en kunnen er meteen maatregelen genomen worden.”

Doordat de in gebruik zijnde security-tools slecht op elkaar aansluiten, ontstaan tal van problemen en uitdagingen. Zo stelt 44 procent van de ondervraagde organisaties vast dat dreigingen gemakkelijk over het hoofd worden gezien. Nog eens 43 procent is tot de conclusie gekomen dat dreigingen onvoldoende of zelfs helemaal niet onschadelijk worden gemaakt. Het is dan ook opmerkelijk dat in het onderzoek wordt vastgesteld dat slechts een kleine minderheid van de organisaties (17 procent) van mening is dat men teveel security-tools toepast.

Eenduidige architectuur ontbreekt
Onder een ‘geavanceerde aanval’ door cybercriminelen wordt in dit onderzoek onder andere een aanval bedoeld die duidelijke stealth-kenmerken vertoont of die is uitgevoerd op basis van een zero day kwetsbaarheid. Een derde van de ondervraagde organisaties geeft aan inmiddels met een dergelijke aanval te maken te hebben gehad. Waarschijnlijk is het werkelijke aantal organisaties dat hiermee is geconfronteerd veel hoger. Nog eens een derde van de organisaties geeft namelijk aan niet te weten of men dergelijke aanvallen heeft ondergaan.

De gevolgen van dit soort aanvallen zijn echter groot. Een op vijf organisaties geeft aan dat bij dit soort incidenten werkprocessen zijn verstoord. In een beperkt aantal gevallen (6 procent) is gevoelige bedrijfsinformatie gestolen.

Maar ook hier geldt dat veel organisaties op dit soort vragen eigenlijk geen antwoord kunnen geven. Nog eens 22 procent stelt namelijk vast dat men eigenlijk geen idee heeft of er schade is geleden bij een geavanceerde aanval. En zo ja, hoe groot die schade dan was. Doordat men geen eenduidige security-architectuur gebruikt, ontbreekt het enerzijds aan de mogelijkheden om aanvallen te ontdekken en ontbeert men anderzijds de tools om de schade hiervan in kaart te brengen.