Redactie - 25 november 2020

CrowdStrike: uitbesteden van IT security is groeiende trend

CrowdStrike: uitbesteden van IT security is groeiende trend image

Uitbesteden van securitytaken is de beste manier om het grote tekort aan beveiligingsexperts het hoofd te bieden. Vooral nu de professionaliteit en activiteiten van cybercriminelen sterk toeneemt, zo blijkt uit onderzoek van CrowdStrike. “We zien dat organisaties die stap zetten”, zegt Ronald Pool, cybersecurity specialist bij CrowdStrike.

Pool staat eerst stil bij de bevindingen van het CrowdStrike Falcon OverWatch 2020 Threat Hunting Report. Uit de studie blijkt een explosieve toename van hands-on-keyboard aanvallen. Dat zijn charges die door een persoon worden uitgevoerd. Deze zit letterlijk met de handen aan de knoppen binnen een organisatie en probeert tegelijkertijd zijn sporen uit te wissen. Dit in tegenstelling tot aanvallen die geautomatiseerd plaatsvinden.

Pool onderscheidt drie soorten aanvallen. “Er zijn attacks die worden uitgevoerd in opdracht van staten als China, Noord-Korea en Rusland. Wij noemen die aanvallen staat-gesponsorde activiteiten. Verder is er eCrime: aanvallen die worden uitgevoerd met financieel gewin als motivatie. Daaronder valt bijvoorbeeld ransomware. En ten slotte nog hacktivisme. Hieronder verstaat men, ruim gezien, het inzetten van computerkennis en het internet als daad van protest. Bijvoorbeeld het veranderen van het uiterlijk van een website of het doen van een DDoS-aanval uit ideologische overwegingen.

Vliegwiel
In de eerste helft van 2020 was er dus een enorme toename van aanvallen, onder meer beïnvloed door de gevolgen van de coronacrisis. Cybercriminelen profiteerden van de snelle overgang naar op afstand werken.
“We zien dat eCrime veruit de grootste groep vormt; zo’n tachtig procent valt onder deze noemer. En dat is wel logisch, want je moet het zien als een bedrijfstak. Zolang organisaties en/of personen losgeld betalen, levert het veel geld op. Het is een soort vliegwiel: hoe meer geld de criminelen hebben, hoe meer ze kunnen investeren in hun aanvallen en hoe meer mensen zij in dienst kunnen nemen. Het is overigens wel veranderd. Voorheen stuurden ze een miljoen aanvallen rond in de hoop op een paar geslaagde acties. Deze spray & pay-tactieken zijn inmiddels wel bekend. Tegenwoordig zijn het gerichte aanvallen op bepaalde bedrijven. En het gaat niet alleen maar om losgeld. eCrime actoren kiezen er steeds vaker voor om, naast de versleuteling van systemen en data, druk te leggen op de getroffen organisatie. Dat doen ze door te dreigen met het openbaren van verzamelde data, zodat de betreffende organisatie nog meer gemotiveerd is om geld over te maken. Daarbij zien we dat er tegenwoordig criminelen zijn die gewetenloos te werk gaan en niet aarzelen om ziekenhuizen of apotheken digitaal te gijzelen.”

Productiesector
Het Threat Hunting Report laat dan ook zien dat in de eerste helft van 2020 een sterke stijging viel waar te nemen in het aantal aanvallen in de productiesector, zowel door cybercriminelen als overheidsgroepen. Ook de gezondheidszorg en de voedingsmiddelen- en drankensector waren vaker doelwit. “Je ziet dat ze gebruikmaken van veranderende economische omstandigheden en zich richten op kwetsbare industrieën die als gevolg van het coronavirus plotseling sterk moesten opschalen. Deze geopolitieke focus zal zeker aanblijven”, licht Pool toe.

Personeelstekort
Louter antivirus en firewalls zijn volgens Pool niet meer afdoende om cybercriminelen buiten te houden. Het merendeel van de geslaagde ransomware-aanvallen vond namelijk plaats bij organisaties die antivirus en firewalls hadden. “Zonder endpoint detection en response (EDR) maak je het cybercriminelen wel erg makkelijk. Maar dat is tegelijk ook een lastig onderdeel van een gelaagde security-aanpak. Je ziet dat veel partijen dit aspect liefst uitbesteden. Onze EDR-technologie wordt dan ook veelvuldig ingezet bij bedrijven, zij het door onszelf of onze Managed Security Service Providers (MSSP’s)”, gaat Pool verder.

Trouwens, ook MSSP’s schakelen soms de managed service van CrowdStrike in voor EDR om mogelijk te maken dat hun specialisten tijd hebben voor andere security-taken. “Dat heeft te maken met het enorme gebrek aan IT-beveiligingsspecialisten. Er zijn bedrijven die security als een dienst gaan afnemen, omdat zij hun vacatures niet ingevuld krijgen. Er is een nijpend personeelstekort en het risico is groot dat personeel wordt weggekocht; er is een groot verloop.”

In de praktijk komen diverse vormen voor: totale uitbesteding van security-activiteiten; deels zelf doen en deels uitbesteden; uitbesteden aan een MSSP of aan een leverancier als CrowdStrike.

Bewustwording
Elke succesvolle verdedigingsstrategie begint met bewustwording. Ook op verschillende niveaus: eindgebruikers die leren niet overal op te klikken en directies die beseffen dat het goed is om te investeren in een afdoende bescherming.

“Daar zien we dan nog wel misverstanden: de IT-afdeling praat ‘techniek’ en de directeur praat ‘boardrooms’. Het is nodig om een brug te slaan tussen die partijen. Regelgeving kan daarin bijdragen. We zien dat bijvoorbeeld de Algemene Verordening Gegevensbescherming het onderwerp op de directie-agenda heeft gebracht.”

Investering
Security wordt vaak nog gezien als een kostenpost, maar volgens Pool gaat het om een investering. Een organisatie leert immers wat zij te beschermen heeft, zij krijgt inzicht in haar ‘kroonjuwelen’.

“Als een bedrijf besluit geen of minder bescherming toe te passen om kosten te besparen, dan komen ze van een koude kermis thuis. Als ze namelijk een geslaagde ransomware-aanval meemaken, zullen ze al dan niet het losgeld moeten betalen. Maar ze moeten daarna alsnog een forensische analyse maken van hun omgeving en maatregelen treffen om herbesmetting tegen te gaan. De kosten daarvan zijn vaak veel meer dan de aanvankelijke kosten om de security op orde te brengen. Er zijn bedrijven die kopje onder dreigen te gaan, juist vanwege die kosten”, weet Pool.

Het lijkt dat de criminelen aan de winnende hand zijn en organisaties alleen maar kunnen reageren. “Maar wij hebben ook een proactieve houding”, vertelt Pool. “Onze Threat Intelligence en Threat Hunting teams bedenken hoe aanvallers in de toekomst te werk gaan en regelen daar alvast detecties voor in, mochten de aanvallers ook op diezelfde ideeën komen. We bedenken hypotheses en ontwikkelen rule sets. Wij zitten niet stil.”

Interesse in het Threat Hunting Report? Het volledige rapport is te downloaden op: KLIK HIER

Door: Teus Molenaar

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024