Ian McShane, Arctic Wolf: Security is een reis, geen eindbestemming

Beperkte middelen, beperkte menskracht: terwijl het aanvalsoppervlakte groeit en cybercriminaliteit een steeds eenvoudiger verdienmodel wordt, lijken veel organisaties met hun security steeds verder achterop te lopen. Toch is het zeker geen gelopen race, meent Ian McShane van security operations-aanbieder Arctic Wolf. “Elke organisatie, van klein tot groot, kan al bestaande tools en specialisten veel efficiënter inzetten door een centraal security operations model te hanteren. Zo kun je ook met beperkte mensen en middelen bijblijven in de race.”

Ian McShane, VP of Strategy & Field CTO Arctic Wolf, heeft de afgelopen decennia zijn sporen verdiend in IT en security, zowel aan de vendor- als aan de analistenkant. Hij heeft in die tijd al veel hype cycles meegemaakt. “De IT-sector is cyclisch van aard. Hetzelfde zie je terugkomen in security. In de basis zijn de problemen van nu de problemen die ik 15-20 jaar geleden ook zag. Te weinig mensen, te veel te doen. Grote beloften over oplossingen die in de praktijk moeilijk in het gebruik zijn of niet goed werken.”

Toch herhaalt de geschiedenis zich niet op exact dezelfde manier. De grootste verandering die McShane de afgelopen jaren zag plaatsvinden, is de ‘commoditisering’ van het aanvalsoppervlakte: cybercriminaliteit als verdienmodel. “Het is tegenwoordig veel makkelijker om cybercrimineel te worden dan een jaar of 15 geleden.”

Dat maakt het veel lastiger voor IT-security vendors en gebruikers van hun oplossingen om zelfs maar bij te blijven in de race met cybercriminelen, meent McShane. “Veel IT-afdelingen in organisaties zijn vooral bezig met watertrappelen om het hoofd boven water te houden. Ze zien vaak niet de ernst van cyberdreigingen en handelen navenant in hun IT-security.”

Toenemende scheidslijn

Dit zorgt volgens McShane voor een toenemende scheidslijn tussen de – vaak grotere – organisaties die wel budget en personeel hebben voor een goede cybersecurity-aanpak en de grote groep die dat niet heeft. “Ik zag dat al in mijn tijd bij Gartner. Veel security-vendors richten zich niet op het bulkwerk, maar op het leveren van de nieuwste, meest geavanceerde technologie aan een relatief kleine groep die dat kan betalen. Natuurlijk was het 5-10 jaar geleden prachtig om te praten over AI en machine learning, maar zo loste je niet de grote uitdagingen op waar 99 procent van de organisaties mee te maken had.”

En dat, stelt McShane, is niet veranderd. Ook organisaties met beperkte budgetten en IT-specialisten willen hun business beschermen, veilig online en in de cloud gaan voor transacties en IT-tools. Zij hebben dezelfde uitdagingen en problemen als grote organisaties, maar niet dezelfde capaciteiten.”

De field CTO van Arctic Wolf vindt het niet alleen de moeite waard om deze grote groep te helpen om wat hij een oneerlijk nadeel noemt te overwinnen, hij vindt het een must om dit te realiseren.

Bestaande tools beter inzetten

“Het zal als zelfpromotie klinken, maar het is in dat kader belangrijk dat organisaties zoals Arctic Wolf de mogelijkheid bieden om cybersecurity-beheer te verbeteren en bestaande tools beter in te zetten middels een security operations model en tegen een redelijke prijs. De meeste organisaties die bij ons terecht komen, hebben al geïnvesteerd in zaken zoals EDR en MDR, of in house security tools gebundeld met Office 365 en Google-apps. Hun probleem is niet dat ze geen goede tools hebben, maar overzicht en mogelijkheden voor efficiënt beheer missen.”

Door security operations in te zetten, al dan niet in combinatie met ondersteuning via een conciërge-platform, krijgt die ene IT’er of dat beperkte groepje IT’ers dat overzicht en die mogelijkheden wel, stelt McShane. “Overigens geldt dit voor organisaties van elke omvang. Ook enterprise-organisaties kunnen zo meer bereiken met hun security-tools.”

Beperkte menskracht

Een tweede probleem is de al genoemde beperkte menskracht voor het beheer van IT-security tools. “Alleen al voor 24/7 monitoring heb je al gauw een stuk of zes mensen nodig, dan hebben we het nog niet eens over het gebruik van de security-capaciteiten van de diverse oplossingen voor bijvoorbeeld MDR of EDR. Als je er al het geld voor hebt, dan zij de benodigde specialisten maar in beperkte mate beschikbaar. Dan is het behulpzaam wanneer je ook in dat 24/7 beheer ondersteund wordt, zoals Arctic Wolf doet met zijn conciërge-platform.”

Dat geldt des te meer wanneer organisaties verder de cloud in gaan. “De adoptie van xaaS-tools, cloud-infrastructuur en – capaciteit gaat steeds sneller”, schetst McShane. “Organisaties denken vaak dat zij ook niet meer of in beperkte mate verantwoordelijk zijn voor cloudsecurity. Maar cloudaanbieders regelen dat aspect niet automatisch voor je. Het is een gedeelde verantwoordelijkheid.”

Overigens verwacht McShane niet dat dit tot grotere security-problemen leidt. “Naarmate cloudadoptie groeit, zal ook het bewustzijn groeien dat cloudsecurity ook deels op het bordje van de gebruiker van clouddiensten ligt. Men begrijpt bijvoorbeeld dat data die eerst op de eigen servers stond, zich nu opeens elders bevindt, zoals in een cloud-CRM-oplossing. Dan gaan privacy en compliance een grotere rol spelen en gaan organisaties beter nadenken over de benodigde security-omgeving en de noodzaak van een gecentraliseerd operations-model.”

Basishygiëne

Toch is het vaak een uitdaging om zelfs de basishygiëne op het gebied van security op orde te krijgen. Gelukkig bieden overheden en overheidsinstanties tegenwoordig steeds vaker tips en adviezen om hierbij te helpen. McShane noemt recente initiatieven van de Amerikaanse overheid; in Nederland bieden onder meer het NCSC en het Digital Trust Center dergelijke praktische richtlijnen.

“Basishygiëne is denk ik niet het juiste woord, dat klinkt alsof het simpel is. Ondergrens is beter. Die ondergrens hanteren kan helpen om in ieder geval een goed beeld te krijgen van prioriteiten in je security-aanpak en -beleid. Denk bijvoorbeeld aan multifactorauthenticatie. Als je dat al niet voor alle werknemers kunt uitrollen, zorg er dan in ieder geval voor dat je bedrijfskritieke systemen met dergelijke authenticatie beschermd zijn.”

Dan nog zit er vaak een kloof tussen wat er gezegd wordt dat organisaties moeten doen en wat zij kunnen doen. McShane hierover: “Multifactorauthenticatie is inmiddels wel gemeengoed geworden. Maar het is makkelijker om te zeggen dat bedrijven sneller moeten patchen dan dit in de praktijk brengen. Dat is meer dan alleen een vinkje zetten.”

Niet afschuiven

Voor vendors is het volgens McShane belangrijk om teleurstelling van gebruikers over de effectiviteit van security-oplossingen niet af te schuiven op diezelfde gebruikers. “Het is te makkelijk om te zeggen dat iemand beter moet weten dan op een linkje in een mail te klikken. Hyperlinks zijn juist bedacht om op te klikken, het is een natuurlijke reactie. In plaats van de gebruiker zo af te serveren, moet je hen erbij betrekken. Maak IT-security integraal onderdeel van iedereens werk. Dat doe je niet met een negatieve boodschap zoals ‘het is jouw schuld’.”

Voor organisaties is het dan weer noodzakelijk om de voordelen van security niet alleen topdown te benaderen – het vermindert business-risico’s en beperkt de impact als er toch iets mis gaat. Een bottom up-benadering is belangrijk om werknemers te laten zien dat security hen niet beperkt in wat ze kunnen.

“Dat betekent niet dat je iedereen regelmatig tot een security-training moet verplichten”, benadrukt McShane. “Hiermee ga je security-risico’s niet tegen, je zet alleen een compliance-vinkje. Ik denk dat we als sector inmiddels begrijpen dat security-bewustzijn nodig is om de risico’s van cyberdreigingen te tonen. Daarin moeten we de volgende stap zetten: van bewustzijn kweken naar duiden hoe security jou als medewerker productiever kan maken. Raadt bijvoorbeeld een wachtwoord-manager aan zodat iemand niet al zijn of haar wachtwoorden moet onthouden. Zo maak je van security een enabler in plaats van een soort straf.”

Goede combinatie

Uiteindelijk is het de combinatie van gecentraliseerde security operations, goede richtlijnen voor prioriteiten en het betrekken van werknemers die ervoor kan zorgen dat je als organisatie niet voortdurend achter de feiten aanloopt, meent McShane “Ja, het dreigingslandschap wordt steeds breder. Maar zolang je weet welke risico’s je als organisatie aan kan en waar je je prioriteiten moet leggen op security-gebied – en daar een goede beheerslaag overheen legt –zul je ook met beperkte middelen en mensen in staat zijn om je security op orde te houden.”

Een security operations-platform is hierbij volgens McShane een belangrijke steunpilaar. “Het zorgt ervoor dat je die beperkte middelen en mensen optimaal kunt inzetten, dat je alleen reageert op zaken die gevaarlijk zijn voor je organisatie. Bovendien is security een reis, geen eindbestemming. Daarbij is geen enkele organisatie hetzelfde, er is geen one size fits all. Een security operations-platform beweegt voortdurend mee op de reis en optimaliseert het beheer van jouw security-tools, ongeacht wat die op een bepaald moment ook zijn en hoe ze ook veranderen of groeien.”

Door: Martijn Kregting