Eén op de vijf bedrijven krijgt jaarlijks te maken met een cyberincident. Het aantal cybercrime delicten groeit explosief. Juist in deze tijd, waar hybride werken en cloud computing breed omarmd worden, zien criminele cyberaanvallers hun kansen toenemen en zijn organisaties extra kwetsbaar. Een groter aanvalsterrein vraagt om een stevigere verdedigingslinie: met welke technische maatregelen verhoog je de cybersecurity? En wat kunnen we leren van koplopers in cyber security?
Hoe kwetsbaar is Nederland? “Heel kwetsbaar” zegt Lars Dam, Security specialist van TriOpSys. “Zeker organisaties die een overheidstaak uitvoeren of verantwoordelijk zijn voor vitale processen, zoals ZBO’s, ministeries, energie- of vervoersbedrijven. Een aanval op dit soort organisaties kan een ontwrichtende werking hebben. Zeker met de oplopende geopolitieke spanningen kan deze ontwrichting al een doel op zich zijn. Dat sommige van deze organisaties met een publiek belang het moeilijk hebben om te voldoen aan de minimale standaarden, maakt Nederland kwetsbaar.”
De meest onderschatte dreiging
Dat blijkt ook uit de cijfers: Nederland is één van de meest aangevallen landen van Europa. Lars licht toe waaruit deze dreigingen bestaan: “Een organisatie is op twee manieren kwetsbaar: voor dreigingen van buitenaf en voor dreigingen van binnenuit, ook wel insider threats genoemd. In de regel hebben organisaties meer aandacht voor die eerste categorie dan die laatste, terwijl het risico op insider threats juist stijgt: bijna 50% van de organisaties heeft de laatste 2 jaar te maken gehad met een incident afkomstig van interne medewerkers. Het risico op insider threats wordt nog altijd onderschat.”
Gelukkig zijn beide dreigingen goed te ondervangen met technische beveiligingsmaatregelen. Hieronder worden vijf beproefde methodes toegelicht. Die, niet verrassend, ook sterk op deze insider threats zijn gericht.
5 technische maatregelen om de cybersecurity te verhogen
1. User Tools
95% van de cyberincidenten ontstaan door menselijke fouten (IBM Cyber Security Intelligence Index Report.). “De reflex van veel organisaties is dan ook om mensen beperkingen op te leggen, of erger nog, dingen te verbieden. Dit werkt averechts. De ervaring leert dat mensen dan zelf gaan zoeken naar creatieve omwegen. En dat is misschien nog wel onveiliger…
Neem nu het wachtwoord op je laptop. Dit is verplicht gesteld om het werken veiliger te maken. Het gevolg? Gebruikers kozen een wachtwoord dat makkelijk te onthouden was. En te kraken… dus werd men verplicht een moeilijker wachtwoord te kiezen. Zo moeilijk, dat ze een stickertje op de laptop plakten als geheugensteuntje….”
Moraal van het verhaal? Securitymaatregelen kunnen nog zo veilig zijn, maar als ze het een gebruiker te moeilijk maken om hun werk te doen zijn ze minder effectief. “Daarom bieden user tools uitkomst” vertelt Lars. “User tools zijn een vorm van people-centered security: ze zijn erop gericht gebruikers te helpen in plaats van hen te beperken.”
Een voorbeeld van een user tool die het stickertje onder de laptop overbodig maakt, is Multi-Factor-Authentification (MFA). MFA maakt inloggen veiliger, zonder het veel moeilijker te maken voor de gebruiker. OTP (One Time Passcode) is een variant die intussen veel gebruikt wordt. OTP genereert een eenmalig token van meestal zes cijfers; eenvoudig over te typen dus. Een nog betere variant FIDO (Fast Identity Online) is momenteel in opkomst. Deze variant gebruikt public key encryptie.
Dit voorbeeld laat zien wat de kracht van een user tool is: ze zorgen ervoor dat de veiligste weg ook de makkelijkste weg is. Iedereen blij!
User tools zijn er in allerlei vormen, naast Multi-Factor-Authentification kun je ook denken aan Remote Browsing, Sandboxing en overige op gebruikersfunctionaliteiten gebaseerde tools zoals een eigen beveiligde bestanduitwisseling.
2. Zero Trust Model
Een andere beveiligingsmaatregel die tegenwoordig breed omarmd wordt is het Zero Trust Model. Bij dit model gaan wij er vanuit dat niet alles achter een bedrijfsfirewall veilig is. Ongeacht waar het verzoek vandaan komt of welke bron het raadpleegt, het wordt geverifieerd alsof het afkomstig is uit een open netwerk.
Tools om Zero Trust toe te passen zijn microsegmentatie en minimaal-machtigingsbeleid, waarmee je zo min mogelijk verkeer binnen het totale netwerk laat plaatsvinden. Zero Trust gaat uit van ‘nooit te vertrouwen, altijd te verifiëren’ waarbij verificatie en autorisatie plaatsvindt op basis van zoveel mogelijk beschikbare gegevenspunten zoals gebruikers ID, locatie, server belasting, apparaat status, gegevensclassificatie en afwijkingen.
Het Zero Trust Model is niet alleen op netwerken van toepassing, maar ook op applicatieniveau. Een uitdaging voor organisaties om dit goed te implementeren, mede omdat de bedrijfsvoering wel gewoon doorgang moet vinden. Daarom zie je vaak dat implementatie gefaseerd plaatsvindt, waarbij stapsgewijs naar een veiligere omgeving wordt toegewerkt. Hierbij wordt geadviseerd klein te beginnen en haalbare doelen te stellen, waarbij Zero Trust in het ontwerp wordt meegenomen.
3. Anomaly Detection
Traditionele beveiliging gaat er van uit dat je dreigingen van te voren kunt definiëren, zodat je ze vervolgens met rules en signatures kunt voorkomen. Bekende dreigingen worden hierbij gedetecteerd maar nieuwe aanvallen of latente dreiging die niet eerder zijn ontdekt, worden hierdoor gemist.
Het gebruik van traditionele systemen kan leiden tot een grote overload aan ‘false positives’ waardoor er geen goed beeld meer is van de werkelijke dreiging. Hierdoor wordt het vertrouwen in het detectie systeem ondermijnd. Een dergelijke situatie is voor cyberaanvallers erg aantrekkelijk. Om deze situatie te voorkomen kan anomaly detectie uitkomst bieden.
Met anomaliedetectie kun je deze afwijkende gebeurtenissen detecteren, monitoren en rapporteren. Een veelgebruikte beveiligingstechniek is om netwerken te controleren op afwijkend (gebruikers-)gedrag. Je stelt vast wat ‘normaal’ gedrag is en waaraan dat gedrag te herkennen is. Dat is als het ware de dataset waarmee je werkt. Als zich vervolgens een situatie voordoet waarbij ‘abnormaal gedrag’ wordt opgemerkt, oftewel gedrag die niet overeenstemt met het verwachte gegevenspatroon, dan wordt dat beschouwd als een anomalie. Het gevolg is dat er minder sprake is van een alert overload en er meer zicht is op mogelijke technische storingen, verdachte verzoeken of een ander risico.
4. Extended Detection & Response (XDR)
Door de opkomst van het hybride werken zijn endpoints zoals laptops en werkstations vaker een doelwit van aanvallers om onrechtmatig toegang te krijgen tot IT omgevingen. Dat brengt ons bij de volgende maatregel om je weerbaarheid te verhogen: Extended Detection en Response.
Extended Detection en Response is de opvolger van endpoint Detection en Respons (EDR). Daar waar EDR zich richtte op laptops en werkstations gaat XDR verder en richt deze zich ook op andere endpoints die door kwaadwillenden kunnen worden gebruikt zoals mobieltjes, IoT devices en cloud native applicaties.
XDR gaat uit van een ‘’cross layered’’ aanpak waarbij het verder kijkt dan het endpoint alleen. Om goed te kunnen detecteren baseert XDR zich op gegevens van meerdere bronnen binnen de IT omgeving waardoor het mogelijk is betere inzichten te verschaffen over mogelijk aanvallen of technische verstoringen.
5. Microsegmentatie / Quality of Service
Microsegmentatie is een manier van beveiligen waarbij een netwerk, datacenter of cloudomgeving wordt opgedeeld in verschillende segmenten op basis van functionaliteit. Elk segment wordt als het ware apart beveiligd, waarbij apart toegang moet worden verleend om binnen te komen. In tegenstelling tot traditionele netwerken, waar je als je eenmaal binnen bent overal kan aankloppen om te kijken of je toegang hebt of dat je de functionaliteit kan frustreren. Bij segmentatie blijft, mocht er dus eens sprake zijn van een security incident, de impact waarschijnlijk beperkt tot één segment. In combinatie met microsegmentatie kan inrichting van Quality of Service (QoS) helpen bij het veilig, maar zo lang mogelijk beschikbaar houden van de meest essentiële dienstverlening.
“Het implementeren van technische beveiligingsmaatregelen kost tijd, maar kan zorgen wegnemen en reactief werk voorkomen. Een kans voor bedrijven die met een tekort aan capaciteit kampen.” —Lars Dam, Security Specialist TriOpSys
Techniek niet de grootste uitdaging van cybersecurity
Wat is er nodig om deze technische veiligheidsmaatregelen toe te passen? “Voorop gesteld natuurlijk kennis, “zegt Lars. Maar dit is niet de grootste remmende factor.
“Hoewel Nederland al jaren tot de koplopers in Europa behoort, blijft het een uitdaging om ervoor te zorgen dat deze kennis ook bij organisaties binnenkomt en wordt toegepast.
Naast kennis moet je ook de capaciteit hebben om je cyberweerbaarheid te vergroten. En dat is precies wat er ontbreekt: er is een ongelofelijke krapte aan o.a. Security specialisten. De overheid voorziet wel in handreikingen door informatie te bundelen en stappenplannen te delen, maar de worsteling van organisaties om het goed in te richten is hier niet mee opgelost.
Zeker in deze tijd, waarin technische krachten moeilijk te vinden -en ook kostbaar- zijn, kan het (tijdelijk) opschalen van expertise een interessante optie zijn. Je ziet steeds meer organisaties hiervoor kiezen, enerzijds omdat er specifieke taken moeten worden uitgevoerd, maar óók om de organisatie verder te ontwikkelen. Door hen te voorzien van de juiste tools en vaardigheden zodat zij het in de toekomst zelfstandig kunnen doen.”
Wat kunnen we leren van cyber security koplopers?
“Organisaties die hun cybersecurity goed op orde hebben, blijven zichzelf allemaal één belangrijke vraag stellen. Welke (aanvaardbare) risico’s blijven over? En hoe moet geacteerd worden als het risico zich voordoet? Techniek biedt de mogelijkheid om risico’s te verminderen, proactief te kunnen handelen en vooral een inzicht op het bedreigings- en risicospectrum. De toekomst is aan die bedrijven die dit in hun voordeel inzetten en cybercriminelen een stap voorblijven. ”