Cybersecurity kan niet zonder menselijk schild

Tegen 2025 neemt de helft van alle organisaties wereldwijd een MDR-oplossing af, aldus onderzoeksbureau Gartner. En dat is logisch aangezien de tools van criminelen zo vernuftig worden dat ze onder de radar blijven totdat het te laat is. ‘Je hebt een menselijk schild nodig die 24/7 je netwerk afloopt op zoek naar kwetsbaarheden. Maar die experts zelf aannemen? Dat is zeker voor het MKB een brug te ver’, aldus Brian Schippers (foto), Sophos.

‘Cybersecurity is te complex geworden om effectief te managen met software alleen. Je kunt niet meer alleen afhankelijk zijn van producten zoals firewalls of endpoint security. Als je je vandaag de dag wilt beschermen tegen criminelen heb je naast je technologie een menselijk schild nodig. Gartner zegt dan ook niet voor niets dat tegen 2025 vijftig procent van alle organisaties gebruikmaakt van managed detection and response (MDR).’

Zoals meesterdieven infrarood ontwijken

Aan het woord is Brian Schippers, Manager Sales Engineering bij Sophos. Deze organisatie levert ook MDR-services, waarbij threat hunters 24/7 het netwerk van de klant afspeuren naar dreigingen en verdachte situaties. Deze dienst is geen overbodige luxe, legt hij uit, omdat criminelen steeds vernuftigere technologie gebruiken die onder de radars van beveiligingssoftware blijven.

‘Vergelijk het met de beveiliging in een gebouw met infrarood. Je ziet het regelmatig in actiefilms waarbij meesterdieven met rook de rode infraroodstralen zichtbaar maken en vervolgens ontwijken. Maar een crimineel kan nog zo handig zijn: als een beveiligingsmedewerker de videobeelden in de gaten houdt en regelmatig een rondje loopt door en om het gebouw, dan wordt de dief toch gezien. Zo werkt het ook in cybersecurity.’

Data is veel belangrijker dan een pand

Het is niet voor niets, overigens, dat Schippers de vergelijking maakt met het beveiligen van een pand. Maar waar organisaties wel het vaak tastbare gevaar van een inbreker kunnen inschatten en daarop actie ondernemen om het pand te beveiligen, vergeten organisaties nog te vaak hun belangrijkste asset: hun data. ‘Waarom besteed je dan onevenredig veel aan de beveiliging van je pand, maar ben je nog niet overtuigd van het beschermen van je data?’

De businesscase is alleen moeilijk te maken, volgens Schippers: ‘Ik denk niet dat het in een bedrag te duiden is, wat de schade is als je data op straat komt te liggen. Dan heb ik het niet alleen over de kosten die je moet maken om je data te herstellen, maar ook over imagoschade. Je kunt best een berekening maken over de kosten die je maakt als je er een week uit ligt, maar reputatieschade is funest voor veel bedrijven.’

Geen budget voor cybersecurity-experts

Alleen brengt de behoefte aan menselijke beveiligers een volgende uitdaging met zich mee: waar vind je de security-experts? ‘De doorsnee IT’er is geen expert in cybersecurity. Je hebt een malware-analist nodig, maar vindt die maar eens. Daarbij: niet alle organisaties hebben de financiële middelen om zelf een analist aan te nemen. Het midden- en kleinbedrijf (MKB) kan niet ineens acht man extra aannemen om alleen security te doen.’

Waarom acht man? Is één niet genoeg? ‘Om 24/7 je netwerk af te speuren heb je minimaal drie man nodig, maar als je rekening wilt houden met deeltijd, vakanties en verlof dan heb je al snel acht FTE nodig om dag en nacht te speuren naar kwetsbaarheden. Daarom bieden we MDR als aanvulling op zo’n IT-afdeling. Je kunt dan zonder zorgen weekend gaan vieren, want wij blijven continu zoeken naar kwetsbaarheden en verdachte bewegingen op je netwerk.’

Proactief inspelen op kwetsbaarheden

Een bijkomend voordeel: Sophos bedient duizenden organisaties, zowel klanten die de software van Sophos gebruiken als die van third-parties. ‘Dat betekent dat we proactief verbeteringen kunnen voorstellen en doorvoeren. In het nieuws werd bijvoorbeeld een kwetsbaarheid in Exchange genoemd. Wij merken zo’n kwetsbaarheid één keer op, waarna we verbeteringen voor alle klanten die werken met Exchange kunnen voorstellen.’

Of Sophos verbeteringen doorvoert en direct actie onderneemt bij eventuele kwetsbaarheden hangt af van de afspraken die zijn gemaakt, vertelt Schippers. ‘We noemen dat de respons-mode. We kunnen bijvoorbeeld helpen om samen een stappenplan op te stellen, waarna de klant zelf aan de slag gaat als wij ze informeren over een kwetsbaarheid. Maar wij kunnen ook direct actie ondernemen als dat nodig is.’

Samenwerken met de klant

Natuurlijk is er ook een tussenoplossing mogelijk: ‘We noemen dat de collaborate oplossing, waarbij we echt samenwerken en bepalen op basis van de aanwezige capaciteit en kennis wie welke stappen oppakt. We kunnen dan ook afspraken dat als we de klant niet kunnen bereiken, bijvoorbeeld als in het weekend de telefoon uitstaat, we zelf de problemen binnen het netwerk oplossen. Wij vervangen dus niemand, het is juist een samenwerking.’

Overigens levert Sophos naast MDR ook een oplossing om de zwakste schakel aan te pakken: de mens. ‘In aanvallen zit altijd een menselijke factor. Daarom is het heel erg belangrijk dat organisaties blijven werken aan de user awareness. En niet eenmalig, maar continu, want de aanvallen ontwikkelen zich ook. We bieden daarvoor de oplossing Sophos Phish Threat, waarbij we bijvoorbeeld gesimuleerde phishing rondsturen om mensen daarop te trainen.’

Nooit op je lauweren rusten

Eigenlijk kunnen organisaties dus nooit op hun lauweren rusten, ook niet als ze MDR hebben ingekocht. ‘Je moet blijven nadenken over security. Het is dus niet zo dat je met MDR ineens minder hoeft te doen. Je moet blijven investeren in technologie en awareness, naast dat je managed services afneemt om experts 24/7 op je netwerk te laten zoeken naar kwetsbaarheden. Alleen dan loop je het minste risico.’