Hoe bescherm je kleine ondernemingen tegen cyber aanvallen?
De tijd die nodig is om een cyberbeveiligingsincident op te sporen, kan van invloed zijn op de gevolgen van een aanval. Uit ons laatste onderzoek blijkt bijvoorbeeld dat kleine en middelgrote bedrijven (met minder dan 1000 werknemers) die direct een probleem ontdekten na de aanval, 17% minder financiële schade ondervonden dan bedrijven die het data-lek pas een week of langer na de aanval ontdekten.
Uit hetzelfde onderzoek komt naar voren dat slechts 10% van de bedrijven in dit segment erin slaagde een inbreuk onmiddellijk te detecteren. Hoe komt het dat bedrijven zo'n groot probleem over het hoofd kunnen zien?
Geavanceerde aanvallen zijn betaalbaarder geworden...
Cybercriminelen zijn eerder geneigd geavanceerde aanvallen uit te voeren wanneer de kosten lager zijn dan de potentiële inkomsten - bijvoorbeeld het bedrag dat zij ontvangen als losgeld voor het ontsleutelen van bestanden of de inkomsten uit de verkoop van gestolen gegevens. Daarom zijn geavanceerde aanvallen veelal gericht op grote ondernemingen - omdat daar meer kans is om de jackpot te winnen.
Aanvallen tegen kleine en middelgrote ondernemingen zijn echter ook winstgevend. Ten eerste hoeven cybercriminelen niet langer hun eigen malware te ontwikkelen die aan detectie door beveiligingsoplossingen ontsnapt. Ze hergebruiken vaan de "beste praktijken" van hun "gelijken" – bijvoorbeeld door het kopen van een toolkit. Hierdoor zijn geavanceerde aanvallen op middelgrote ondernemingen ook de moeite waard.
Bovendien kan het zijn dat cybercriminelen geen malware gebruiken. Ze kunnen de legitieme functionaliteit van een besturingssysteem of software voor beheer op afstand misbruiken om referenties te verzamelen of toegang te krijgen tot informatie zonder dat dit wordt opgemerkt door endpoint preventieproducten. Ons incident response team schat in dat dit soort software betrokken is bij bijna een derde van de verzoeken (30%).
Dergelijke bedreigingen zijn niet alleen moeilijk op te sporen, ze kunnen vaak ook niet automatisch worden geblokkeerd. Ze lijken namelijk te veel op de dagelijkse handelingen van een IT-beveiligingsbeheerder. Zonder verder onderzoek kunnen deze reactiemaatregelen belangrijke bedrijfsprocessen verstoren.
...en de middelen van bedrijven zijn nog steeds beperkt
Al met al hebben bedrijven om dergelijke bedreigingen het hoofd te bieden behoefte aan zowel geavanceerde oplossingen die beveiliging gerelateerde gegevens verzamelen en checken, als een doorgewinterd beveiligingsteam - om het incident te analyseren en erop te reageren.
Beveiligingsbudgetten lopen echter achter op de behoefte aan bescherming. Volgens ons onderzoek gaven bedrijven met minder dan 1000 werknemers in 2020 gemiddeld ongeveer 275.000 dollar uit aan IT-beveiliging. Dit bedrag is niet veel gestegen ten opzichte van het jaar ervoor. Dat is niet verwonderlijk gezien de moeilijke economische omstandigheden, waardoor bedrijven eerder investeren in producten die direct inkomsten genereren voor een bedrijf.
Bovendien moeten kleine ondernemingen, als het op gekwalificeerd personeel aankomt, meer doen met minder. Met één werknemer die verantwoordelijk is voor cyberbeveiliging, kan het team volgens 49% van de mkb's nauwelijks 24 uur per dag omgaan met verdachte gebeurtenissen.
In deze omstandigheden is de meest kosteneffectieve optie om de kosten van een beveiligingsoperatiecentrum (SOC), of een speciale eenheid die verantwoordelijk is voor het proactief opsporen van potentiële bedreigingen en het analyseren van waarschuwingen, te "delen" met andere bedrijven. Dit is precies wat "managed detection and response" (MDR) biedt. De specialisten van de verkopers inspecteren de informatie die afkomstig is van beveiligingsoplossingen die in klantenorganisaties zijn geïnstalleerd en stellen manieren voor waarop een bedrijf op een bepaalde aanval zou moeten reageren.
Waarop moet worden gelet bij de keuze van een MDR-aanbieder
Hoe kiest u een MDR-aanbieder? Allereerst zijn de kwalificaties in het vinden van aanvallen een belangrijke factor om te overwegen. Het is verstandig onderzoek te doen naar de expertise van de potentiële leverancier. Dankzij zelf geproduceerd onderzoek kunnen SOC-analisten snel nieuwe bedreigingen vinden in de infrastructuur van een klant, aangezien ze uit de eerste hand op de hoogte zijn van nieuwe kwaadaardige tactieken en niet hoeven te wachten tot deze informatie publiekelijk beschikbaar wordt.
Het is tevens aan te bevelen aandacht te besteden aan de technologieën waarop de dienst is gebouwd. In de eerste plaats moeten ze effectief genoeg zijn, zodat de meeste bedreigingen kunnen worden voorkomen zonder dat de beveiligingsanalisten of interne cyberbeveiligingsmedewerkers van een leverancier daarbij betrokken zijn. Bovendien implementeren sommige leveranciers algoritmen voor machinaal leren bij de verwerking van waarschuwingen. Omdat automatisering routinetaken overneemt, kunnen beveiligingsanalisten zich bezighouden met echte incidenten, waardoor er minder tijd nodig is om op een aanval te reageren.
Ten tweede is het de moeite waard te kijken naar de kosten van de oplossing en het gemak waarmee deze kan worden ingezet. Vaak werkt een MDR-leverancier op basis van informatie die wordt verzameld met een geavanceerde Endpoint Detection and Response-oplossing die gegevens van endpoints verzamelt en analyseert om analisten meer inzicht te geven in de beveiliging ervan. Zo'n tool kan een dure aanschaf zijn en gezien het gebrek aan ervaring in huis zal het waarschijnlijk alleen door MDR-specialisten kunnen worden gebruikt. Deze aanpak is niet kosteneffectief en doet alle financiële voordelen van uitbesteding teniet.
U moet aandacht hebben voor de responsopties die de leverancier biedt. Idealiter, is deze flexibel. Waarbij twee mogelijkheden worden gecombineerd: in sommige gevallen voert een MDR-team responsmaatregelen op afstand uit, terwijl in andere gevallen interne medewerkers zelfstandig kunnen reageren op basis van instructies en met behulp van een meegeleverde toolstack. Dit laatste is nuttig in het begin van de samenwerking, aangezien een klant er zeker van wil zijn dat de aanbevelingen goed werken en rekening word gehouden met de specifieke kenmerken van zijn netwerk en bedrijfsprocessen. Sommigen geven de voorkeur aan zelf te reageren als er incidenten zijn op de kritieke activa, bijvoorbeeld op computers van leidinggevenden. Het geeft een betere controle over de situatie en de gevolgen ervan voor het bedrijf, aangezien zelfs een uur offline zijn van de computer van een topmanager kan leiden tot gemiste zakelijke kansen.
Wij raden aan ervoor te zorgen dat in het contract een duidelijke reactietijd wordt vastgelegd in de service level agreement, afhankelijk van de toegewezen prioriteit van een gedetecteerd incident. Het is belangrijk om een MDR-provider te kiezen die zo snel mogelijk kan reageren op incidenten die uw bedrijf enorme schade kunnen toebrengen. En natuurlijk zijn 24/7 operaties van vitaal belang om een aanval in een vroeg stadium te voorkomen, ongeacht wanneer deze plaatsvindt.
De mogelijkheid om te overleggen met een MDR-team van SOC-analisten is ook een belangrijke factor om rekening mee te houden. Dit kan helpen in situaties waarin een intern team meer hulp of uitgebreid advies nodig heeft in aanvulling op wat het bedrijf al heeft.
EDR, MDR of beide?
MDR kan organisaties helpen die snel hun capaciteit voor het opsporen van, en reageren op, bedreigingen moeten verbeteren. Het betekent echter niet dat het bedrijf stopt met het ontwikkelen van interne expertise. Het komt allemaal samen in de strategie van het bedrijf.
Als het bedrijf ervoor kiest intern een volwassen cyberbeveiligingsfunctie te willen uitbouwen, zal een MDR-dienst een helpende hand zijn in deze overgangsperiode. Later kan MDR ook een ondersteunende kracht zijn die interne beveiligingsanalisten in staat stelt zich te concentreren op de meest kritieke incidenten.
Als een bedrijf de voorkeur geeft aan het uitbesteden van threat hunting en incident response, is het de moeite waard om de vaardigheden op het gebied van third-party management bij te schaven, zodat het optimaal met de uitbestede functies kan omgaan.
Auteur: Mark Beunk, GM Kaspersky Benelux & Nordics
