In vijf stappen naar een gestructureerde cybersecurityaanpak
12-05-2016 | door: Blogger

In vijf stappen naar een gestructureerde cybersecurityaanpak

Cyberaanvallen; ze kunnen komen van iedereen en uit elke richting. Elke organisatie loopt risico, zowel groot als klein. Een recent onderzoek door Interxion, een Europees leverancier van datacenterdiensten, toont aan dat een grote meerderheid van de middelgrote en grote financiële instellingen, overheidsorganisaties en IT-bedrijven zich ook zorgen maakt over een datalek of cyberaanval. Niet voor niets staat dataprivacy bij hen steeds hoger op de agenda. Ze realiseren zich gelukkig dat onder meer de veranderende dataprivacy-wetgeving en de cloud hierom vragen. Echter, als je kijkt naar het laatste Verizon Data Breach Report dan leidt dit in de praktijk nog te weinig tot echte actie. Zo blijkt dat maar liefst 84 procent van de 67 onderzochte organisaties er weken over deed om erachter te komen dat criminelen op interne systemen zijn geweest. Het lijkt tijd voor een nieuwe aanpak van cybersecurity. Alleen, wat voor aanpak?

Als het Verizon Data Breach Report iets aantoont, is het wel dat we mijlenver achterliggen op cybercriminelen. Natuurlijk, we zetten stappen op het gebied van technologie. Maar hackers kiezen gewoon voor de meest lucratieve optie. En met succes. In 93 procent van de onderzochte aanvallen kostte het de hacker slechts enkele minuten om toegang te krijgen tot het netwerk. Daarnaast toont het rapport aan dat een groot deel van de inbreuken vanuit de eigen omgeving plaatsvinden. En dat organisaties er gemiddeld weken over doen om deze inbreuken te ontdekken. Dát is echt onacceptabel. Ze moeten dan ook stappen nemen om inbreuken direct te herkennen en belangrijker nog: er adequaat op te kunnen reageren. Dat betekent allereerst dat er mogelijkheden moeten zijn voor continue monitoring en inzicht in alle lagen van het netwerk, systemen en applicaties. Maar daarnaast is ook training van personeel erg belangrijk.

Tijd voor verandering
Het grote probleem zit hem erin dat bedrijven zich nog steeds te veel blijven richten op het identificeren en blokkeren van bedreigingen aan de buitenschil, of wel de netwerkperimeter. Maar deze perimeter omvat tegenwoordig veel meer dan de organisatie zelf, waardoor hij eigenlijk niet meer bestaat. Er is meer nodig dan alleen het tegenhouden van de aanval. Kijk alleen maar naar de grote cyberaanvallen die de krant hebben gehaald. Het is daarom tijd voor een fundamentele verandering.

Mijn alternatief is te kiezen voor implementatie van een vorm van Security Intelligence. Met dit concept is het mogelijk om de tijd die het kost om een bedreiging te detecteren en erop te reageren, flink te verkorten. Daarmee wordt de kans dat de cyberaanval of interne inbreuk daadwerkelijk schade aanricht ook aanzienlijk verkleint. Hoewel het principe van Security Intelligence in de basis zeer eenvoudig is, moeten organisaties vijf opeenvolgende processen goed doorvoeren om het succesvol te laten zijn. Slechts één ineffectieve stap kan al zorgen voor een flinke afname van de algehele effectiviteit. Denk daarom aan een krachtig Security Intelligence-platform. Dit maakt een gestroomlijnde workflow mogelijk en zorgt voor automatisering als het mogelijk is. Ik leg de vijf stappen graag nader uit.

Stap 1: detecteer
De eerste stap is het detecteren van die bedreigingen die een risico met zich meebrengen. Denk bijvoorbeeld aan websitebezoeken uit een land waar een bedrijf normaal gesproken geen zaken mee doet. Hiervoor kun je een combinatie van mens en machines inzetten. Train ze om zich bewust te zijn van ‘normaal gedrag’ en continu te speuren naar ongebruikelijke trends, gedragingen en patronen. Machine-gebaseerde analyse gaat via software die continu verkeer monitort. Deze tools vinden de gevaarlijkste bedreigingen, correleren verschillende verschijnselen en classificeren ze vervolgens in prioriteit.

Stap 2: kwalificeer
Dit is een essentiële stap die draait om het verder analyseren van een bedreiging om te bepalen of deze een risico inhoudt. Zo ja, dan is extra analyse en respons nodig. Bij een slechte uitvoer van deze stap, zijn teams te veel tijd kwijt aan het checken van valse bedreigingen of missen ze daadwerkelijke bedreigingen.

Stap 3: onderzoek
Als stap twee aantoont dat er een risico is, kan het securityteam beginnen met het vinden van een passend antwoord. Dat begint bij een diep onderzoek naar de risico’s en het uitvinden of de aanval al dan niet al schade heeft aangericht – of zelfs nog aan het aanrichten is. 

Stap 4: verzacht
Als de vorige stap aantoont dat er een risico bestaat voor de organisatie, dan moet er iets gebeuren om die bedreiging te beperken of elimineren. Deze verzachtende stap hangt sterk af van hoeveel kennis er is over de oorzaak en impact. Zorg ervoor dat het securityteam een integraal en centraal inzicht heeft in alle activiteiten die zijn gerelateerd aan de bedreiging. Daarnaast is gestroomlijnde, cross-organisatorische samenwerking nodig, net als de mogelijkheid tot geheel of gedeeltelijk geautomatiseerde responsen. 

Stap 5: herstel
De laatste stap kun je ook zien als ‘het opruimen van de rommel’. Denk aan het volledig verwijderen van de bedreiging uit je omgeving, het opschonen van de schade die is berokkend en het uitvoeren van incident-notificaties. Het uitvoeren van een oorzaakanalyse om te leren van de situatie is ook aan te raden. 

Organisaties dienen zich te richten op dit volledige Security-Intelligenceproces, alle vijf deze stappen zorgvuldig doorlopend. Alleen zo behalen ze hun doelen zo effectief en efficiënt mogelijk, en kunnen ze zich beschermen tegen schadelijke cyberaanvallen. Van wie en waarvandaan dan ook afkomstig. 

Door: Rob Pronk, Regional Director Northern Europe bij LogRhythm

Terug naar nieuws overzicht

Tags

Security
Security