CISO belicht uitdagingen voor cybersecurity teams

De evolutie van cyberbedreigingen en de samenvloeiing van nieuwe systemen en legacy-systemen zijn de belangrijkste huidige uitdagingen voor beveiligingsteams, volgens een panel van CISO's die spraken tijdens een virtueel evenement georganiseerd door HP Wolf Security.

Gemodereerd door Ed Amoroso, chief executive officer van TAG Cyber LLC, begon de sessie met een simpele vraag aan de CISO's: waarom worden we nog steeds gehackt? Deneen DeFiore, vice-president en CISO bij United Airlines, merkte op dat er in 2021 "zoveel evolutie was in het soort bedreigingen dat we zagen." Dit omvatte aanvallers die vaak nieuwe manieren vonden om organisaties binnen te dringen; bijvoorbeeld het ontdekken van nieuwe zero-day kwetsbaarheden. DeFiore voegde toe dat de groeiende innovatie van aanvallers betekent dat "het voor organisaties gemeengoed wordt om kwetsbaarheden te reageren en tegelijkertijd hun activiteiten uit te voeren."

De steeds verder geprofessionaliseerde aanpak van dreigingsactoren werd benadrukt door Kurt John, CISO bij Siemens US. Hij zei dat het belangrijk is om te erkennen dat de meeste aanvallers worden gemotiveerd door financieel gewin en innovatieve praktijken hebben aangenomen om hun inkomstenmogelijkheden te maximaliseren. "Ze innoveren en werken samen en delen de buit", legde hij uit. "Dit zijn echt zakelijk ingestelde mensen die het voor het grootste deel voor geld doen." Deze factor stimuleert de evolutie in aanvalstechnieken, waardoor het leven van beveiligingsteams moeilijker wordt.

IT en OT

John benadrukte ook de beveiligingsuitdagingen van de "fijne kneepjes" van IT- en OT-convergentie. Dit heeft geleid tot een "samenvloeiing van oudere en nieuwere hardware en software". Om moderniseringsprogramma's veilig uit te voeren, adviseerde hij organisaties om "een gezamenlijke IT/OT-strategie te hebben, zodat beslissingen die in die ruimtes worden genomen niet in een vacuüm worden genomen, maar ze worden met elkaar verweven zodat ze beter geïntegreerd zijn."

Joanna Burkey, Global CISO HP Inc., beschreef de impact van supply chain-aanvallen, waardoor de traditionele een-op-een-aanvaller-slachtoffer-dichotomie volledig is veranderd. Incidenten zoals SolarWinds  hebben aangetoond dat dit kan worden omgezet in "een-te-veel". Hier, "werd de aanvaller efficiënt en realiseerden ze zich dat we niet altijd één-op-één hoeven te gaan, we kunnen een overeenkomst vinden tussen honderden of zelfs duizenden slachtoffers - laten we die overeenkomst in gevaar brengen." Daarom moeten alle organisaties overwegen hoe ze "onbewust" deel kunnen uitmaken van deze vergelijking en dat vermijden.

Volgens Ian Pratt, global head of security bij HP Inc. vormen verouderde systemen een grote uitdaging bij het omgaan met het steeds geavanceerdere dreigingslandschap. Hij merkte op dat veel van de systemen die tot op de dag van vandaag worden gebruikt “hun wortels hebben in de jaren tachtig, een tijd waarin veiligheid niet centraal stond waar mensen zich zorgen over maakten.” Hij vervolgde: "Er is een enorme erfenis van kwetsbare technologie die er is en een oneindige hoeveelheid kwetsbaarheden die aanvallers kunnen misbruiken." Terwijl organisaties steeds beter worden in het vervangen van deze legacy-systemen, verwacht Pratt dat dit probleem zich de komende decennia zal voortzetten.

Aanvallen

Bemoedigend wees Pratt erop dat er tal van beveiligingsprincipes zijn die de tand des tijds hebben doorstaan met betrekking tot het weerstaan van aanvallen. Deze omvatten minste privilege, toegangsrechten en isolatie. Deze principes moeten worden toegepast en organisaties moeten uitzoeken hoe ze "ze kunnen aanpassen aan bestaande systemen door ze in containers uit te voeren".

De panelleden hebben vervolgens enkele opkomende bedreigingen beschreven waar ze zich met name zorgen over maken. Kurt benadrukte twee belangrijke voorbeelden. Een daarvan is gericht op het groeiende aantal fusies en overnames, dat hij ziet als een variant van supply chain-aanvallen. In dit scenario compromitteren aanvallers kleinere, startende bedrijven en wachten tot een overname plaatsvindt "zodat ze voet aan de grond krijgen in een grotere organisatie."

De andere is de evolutie van bedreigingen van binnenuit, waarbij bedreigingsactoren contact opnemen met werknemers om hen een deel van het losgeld te betalen in ruil voor het daadwerkelijk inzetten van de ransomware in hun organisatie. "Het is een fascinerend scenario voor insider-bedreigingen, dat zeer toekomstgericht is, omdat er hele generaties komen voor wie cryptocurrency veel meer betekent", merkte hij op.

Om effectievere cyberverdediging te ontwikkelen in het moderne dreigingslandschap, is het volgens Burkey belangrijk om te kijken naar hoe verschillende dreigingen organisaties op verschillende manieren beïnvloeden. Daarom draait het bij het analyseren van cyberrisico's om "het nemen van de juiste beslissingen voor uw onderneming over de juiste governance." Dit helpt organisaties te begrijpen wat veerkracht voor hen betekent en hun beveiligingsstrategie dienovereenkomstig te plannen.

Pratt pleitte voor het vinden van manieren om "hele vectoren van aanval" aan te pakken in plaats van zich te concentreren op individuele technieken. "Er zijn zoveel kwetsbaarheden die klaar staan om gevonden en uitgebuit te worden, dat als je op dat niveau opereert, je moet proberen te detecteren wat er gebeurt en dan in te halen." In plaats daarvan "moet je kijken naar benaderingen die te maken hebben met klassen van problemen."