Trend Micro: Security is een continu proces, geen eenmalig project
Malware is een enorme business geworden. Dat betekent ook diepere zakken voor het ecosysteem dat aan deze kant is ontstaan. Het gevolg: steeds geavanceerder malware voor een steeds groter aanvalsoppervlak aan de kant van organisaties. Meer awareness creëren over deze gevaren is nuttig, meent technisch directeur Benelux Trend Micro Pieter Molen. Maar dit moet ook een goed begrip inhouden van hoe awareness voor de eigen organisatie te vertalen naar een integrale security-aanpak. “Veel organisaties zien security nog als een eenmalig project. Maar het is een continu proces dat nooit af is. Dát moet nog meer tussen de oren komen.”
Pieter Molen ondersteunt met zijn team de technische en inhoudelijke kant van het verkooptraject. Voor de eigen salesafdeling en - vooral – voor de kanaalpartners. “Ook helpen we partners en hun klanten om onze oplossingen maximaal in te zetten. Want het is zonde om een oplossing op security-gebied in te zetten en er niet het maximale uit te halen, zeker gezien alle malwaredreigingen.”
En de uitdagingen die deze dreigingen met zich meebrengen, worden steeds groter, merkt Molen. “De grootste uitdaging die wij zien, is dat aanvalstechnieken steeds verder ontwikkeld worden en dusdanig geavanceerd zijn, dat de reactie ook steeds geavanceerder en complexer moet zijn. De time to attack – tussen het ontdekken van een kwetsbaarheid en het lanceren van een ransomware-aanval wordt steeds korter, soms uren of nog minder. Voor organisaties die via een kwetsbaarheid toegankelijk zijn – zeker wanneer zij specifiek doelwit zijn - is de time to response zo een hele uitdaging.”
Malware enorme business
Malware is big business geworden. Er is een ecosysteem ontstaan dat sterke paralellen vertoont met het kanaalmodel in de IT. De ene partij verkoopt toegang via een kwetsbaarheid aan een tweede partij, die er vervolgens ransomware voor ontwikkelt. Dat kan weer doorverkocht worden aan partijen die er aanvallen mee uitvoeren. Er wordt hier volgens Molen al zo veel geld mee verdiend, dat de budgetten navenant groeien. Daarmee kan nieuwe, geavanceerde technologie ontwikkeld of ingekocht worden die de ontwikkeling van malware als verdienmodel verder verfijnt.
“Die budgetten maken het ook makkelijker om een zero day exploit te kopen. Voor zero days die remote access bieden, worden miljoenen betaald. Als een IT’er zo’n zero day exploit ontdekt, wordt het erg aantrekkelijk om die door te verkopen in plaats van te melden bij de software-aanbieder in kwestie, of bijvoorbeeld bij ons Zero Day Initiative. Wij geven daar ook wel bedragen voor, maar zelfs voor een integere IT’er kan het een lastige keuze zijn als je elders een paar miljoen kan krijgen.”
Bredere definitie awareness
Er wordt veel gehamerd op het belang van awareness bij organisaties en medewerkers als het gaat om cyberdreigingen. Molen wil hier het begrip van de materie aan toevoegen. “Iedereen is zich er van bewust dat cybersecurity belangrijk is. Het begrip wat dit specifiek voor een organisatie betekent en wat je daaraan moet doen, dát zie ik lang niet overal terugkomen. Het is een andere maar niet minder belangrijke vorm van awareness.”
Uit onderzoek van Trend Micro blijkt dat C-level managers het belang van cybersecurity onderkennen. Maar vaak denkt men dat een eenmalige investering hun organisatie voor langere tijd veilig houdt. Het is echter nodig om continu te investeren in cybersecurity: het heeft voortdurend aandacht nodig aan de procesmatige kant: inzicht hebben in de risico’s op elk moment om de vraag te kunnen beantwoorden of men nog wel adequaat beveiligd is.
Molen hierover: “Security is niet hetzelfde als je kantoor inrichten: een eenmalig project waarna je jaren vooruit kunt. Het is meer als je financiële management. Daar hou je ook continu de vinger aan de pols en probeer je problemen en risico’s vroegtijdig te ontdekken, te beperken of te voorkomen.”
Verwevenheid OT en IT
Security wordt er niet makkelijker op naarmate het IT-ecosysteem complexer wordt. On premise wordt steeds meer een mix van eigen IT, private en publieke cloud, SaaS- en andere as a service-diensten. Daar komt bij dat industriële automatisering – in productiebedrijven maar ook ziekenhuizen – steeds meer connected wordt. OT en IT raken verder verweven, zoals computergestuurde robots die gekoppeld zijn aan ERP-systemen. Alle bedreigingen uit het IT-domein raken nu ook het OT-domein. Elk stukje in je OT- en IT-infrastructuur maakt zo deel uit van het aanvalsoppervlak.
“Ik wil hier geen dramatisch verhaal van maken”, benadrukt Molen. “Er zijn natuurlijk oplossingen. Maar belangrijk is vooral dat je goed en actueel inzicht hebt in je complete IT-infrastructuur en –omgeving. Wat is waaraan gekoppeld? Heb je bijvoorbeeld een marketingcampagne gevoerd met een webpagina die gekoppeld is aan je CRM-toepassing? Dat inzicht is het startpunt.”
Goed voorbereiden
Inzicht of niet, organisaties moeten zich toch op het slechtste scenario voorbereiden, vindt Molen. Gehackt worden kan altijd gebeuren, hoe goed je security ook is, maar het minimaliseren van de impact ervan is cruciaal. Dat kan onder meer door zo vroeg mogelijk een hack te detecteren en erop te reageren. Zo kan je de impact op je business beperken.
Molen: “Daar heb je dus dat continue inzicht voor nodig, gestoeld op een goede risicoanalyse. Die zijn er in twee varianten. De eerste is de meer procesmatige, ISO-gebaseerde analyse. Dat is echter een momentopname. Bij diensten die bedrijven zoals Trend Micro leveren, gaat het meer om een dynamische analyse: wat zijn je risico’s als organisatie op elk willekeurig moment?”
CISO’s vragen volgens Molen ook steeds meer om dit soort inzicht. Wat betekenen nieuwe kwetsbaarheden in een OS voor je IT-omgeving; wat betekent een verandering in die IT-omgeving voor je risiconiveaus? Welke risico’s kan een gebruiker van je IT-omgeving opleveren als hij of zij toch op die phishing-link klikt? Wordt er op digitale werkplekken geheugen gedeeld waar bijvoorbeeld wachtwoorden in zijn opgeslagen? Het risico dat zo’n wachtwoord gestolen wordt, stijgt enorm als een hacker toegang krijgt via die phishing-link.
_____________________________________________________________________
Aanvalsoppervlak in beeld
“Een trend in dit kader is dat CISO’s steeds vaker tooling inzetten om het hele aanvalsoppervlak van een IT-omgeving en de activiteiten in deze omgeving in beeld te krijgen: hardware-assets, gebruikers, as a service- en cloud-omgevingen. Zo kun je actueel reageren op brekende kwetsbaarheden en weet je dat risico’s dalen wanneer al die kwetsbaarheden gepatcht zijn.”
Zo kun je ook beter prioriteiten stellen, want, schetst Molen: je moet keuzes maken. Die kun je dan beter baseren op de mate van risico. Bescherm je eerst een server waarop een website met publiek toegankelijke informatie staat, of een server waarop beperkt toegankelijke bedrijfsinformatie staat, die aan je IT-omgeving is gekoppeld? “Als die tweede ongeautoriseerd toegankelijk is, dan is in feite je hele IT-omgeving toegankelijk. Als een hacker controle krijgt over je active directory, dan kan hij of zij zelfs je endpoint-beveiliging deactiveren.”
Voor de meeste bedrijven is het ondoenlijk zelf de kennis en experts te hebben om alle bovengenoemde analyses uit te voeren. Zo levert alleen al de opvolging van high priority incidenten veel werk op. Laat staan als een bedrijf ook al die data wil analyseren om er van te leren voor eventuele volgende incidenten. Dan kun je beter kiezen voor een bestaand platform zoals de Vision One propositie van Trend Micro, die de cloud, endpoint- en netwerk tools van de security aanbieder, maar ook van diverse externe partijen, bundelt.
Blijf realistisch
Maar ook bij het kopen van bestaande oplossingen ben je er nog niet, meent Molen. Uit een studie van Trend Micro onder bedrijven van 1.000+ medewerkers komt naar voren dat men gemiddeld 47 security-tools heeft. Dat zijn tools die je allemaal moet beheren én tools die data genereren. Zeker met de huidige krapte op de arbeidsmarkt is het eigenlijk onmogelijk om beheer en analyse allemaal zelf uit te voeren.
“Ons onderzoek gaf ook aan dat maar de helft van de gemiddeld 47 security-tools wordt gebruikt. De organisaties hadden gewoon niet de kennis en kunde in huis om alle tools optimaal in te zetten. Ook dat kan je een vals gevoel van veiligheid geven. Je hebt eenmalig geïnvesteerd en verwacht dan dat je langere tijd veilig bent.”
Daarmee komt Molen terug op een eerdere opmerking: security is een continu proces en geen eenmalig of periodiek project. “Zorg dat je inzicht hebt in je IT-landschap, zodat je weet wat je moet beveiligen. Analyseer de risico’s en stel prioriteiten. Pas die assessments continu aan op basis van veranderingen in je IT-landschap en de activiteiten die erop plaatsvinden. Een IT-omgeving, zeker cloud-gebaseerd, is enorm dynamisch. Je security-aanpak moet dat dus ook zijn. Kortom: see more, respond faster.”
Auteur: Martijn Kregting