Groter aanvalsoppervlak, meer bewustwording maar te weinig actie

Pieter Molen (Technical Director Benelux van Trend Micro) ziet meerdere security-uitdagingen. “De hacker-community wordt steeds professioneler. Zij ‘verdienen’ zulke grote bedragen, dat ze ook weer flink kunnen investeren. Zero-days zijn interessant voor hen, zeker als ze daarmee toegang kunnen krijgen tot systemen die aan het internet gekoppeld zijn. Daar wordt regelmatig meer dan een miljoen voor betaald. Om die reden is ons Zero Day Initiative heel waardevol. Daarmee stimuleren we onderzoekers om kwetsbaarheden in software te melden. Mede aan de hand van die meldingen blijven we onze oplossingen continu verbeteren en zijn onze klanten al beschermd voordat de desbetreffende vendor de officiële patch uitbrengt.”

Goed inzicht

“Door de digitalisering worden er meer verschillende IT-oplossingen gebruikt”, geeft hij ook aan. “Dat zorgt voor een groter aanvalsoppervlak. Elk element in een IT-omgeving kan misbruikt worden om binnen te komen en vormt dus een risico. Het is daarom verstandig om eerst een goed inzicht in dat aanvalsoppervlak te hebben. Daarbij zijn de identity’s heel belangrijk, ook van mensen die geen IT-beheerder zijn. Met hun toegangsrechten kunnen mensen met slechte bedoelingen een eerste stap in de organisatie zetten.”

“Doordat IT-dienstverlening uit steeds meer verschillende soorten oplossingen en technologieën bestaat, is het belangrijk dat je een security-oplossing gebruikt die je een goed inzicht geeft in alle cyberrisico’s van de organisatie”, vindt Molen. “Als je kiest voor best-of-breed-oplossingen, mis je vaak het overkoepelende inzicht van wat er in je hele omgeving gebeurt. Je kunt ook zelf iets bouwen dat verschillende dingen aan elkaar knoopt, maar wil je die tijd en dat geld daarin steken? Met ons platform bieden wij security voor zowel servers, endpoints, netwerk, cloud als IoT. Ik vind dat een belangrijke meerwaarde, zeker nu al deze omgevingen aan elkaar gekoppeld worden.”

Een andere grote ontwikkeling is de wet- en regelgeving die steeds verder aanscherpt. “Ik heb soms een beetje te doen met organisaties, want die worden overspoeld met normeringen en andere regels”, zegt Molen. “Denk aan NIS2, maar ook aan branche-specifieke normen zoals onder andere DORA en BIO. Als grote multinational heb je misschien wel een gespecialiseerd team om daar goed mee om te gaan, maar dat geldt vaak niet voor MKB-organisaties. Het zorgt gelukkig wel voor meer aandacht voor cybersecurity. Uit onderzoek dat we uitvoerden blijkt dat de noodzaak daarvan steeds meer wordt ingezien, maar dat wordt door managers vaak niet omgezet in actie, mede omdat ze niet goed weten hoe ze het aan moeten pakken. Veel securityprofessionals voelen zich niet gehoord door het management, ook al zijn bestuurders door NIS2 straks wel hoofdelijk aansprakelijk.”

Goede additionele laag

Uiteraard kan hij bij het benoemen van de ontwikkelingen niet om AI heen. Dat heeft op allerlei manieren invloed op de securitysector, zowel positief als negatief. “Het gebruik van GenAI-tools kan ervoor zorgen dat medewerkers zonder dat ze zich dat realiseren gevoelige data naar buiten brengen. Je moet er daarnaast ook voor zorgen dat zo’n model op de juiste manier beveiligd is, zodat algoritmes niet kunnen worden beïnvloed. Daarnaast is er het risico dat hackers foute data toevoegen, op basis waarvan bedrijven vervolgens verkeerde beslissingen nemen.”

“Bovendien zien we ook steeds vaker dat AI door hackers wordt gebruikt om hun aanvallen krachtiger te maken”, vervolgt hij. “Phishing-mails zijn daardoor taalkundig nagenoeg foutloos en kunnen ook veel persoonlijker worden gemaakt. Je kunt het gebruikers bijna niet meer kwalijk nemen dat ze vervolgens op de link klikken. Er komen steeds meer specifieke AI-diensten die hackers ondersteunen.”

Toch is hij niet alleen maar negatief over AI. “Het mes snijdt aan twee kanten. AI kan ook een heel goede additionele laag zijn om je cyberbeveiliging te verbeteren. Maar de nadruk ligt voor ons wel op het woord ‘additioneel’. Wij geloven er niet in dat AI een volledige cybersecurity-oplossing kan zijn. Kennis van hoe aanvallen verlopen is volgens ons echt cruciaal. AI is natuurlijk wel heel geschikt om snel grote hoeveelheden data te verwerken en daarmee bepaalde processen te versnellen.”

Trend Micro heeft de AI-assistent Companion. Molen: “Daar kun je functionele vragen aan stellen. Denk aan: ‘Welke vervolgstap van een hacker ligt voor de hand?’, ‘Welk risico loop ik?’ of gewoon: ‘Welke acties moet ik nu ondernemen?’ Het helpt analisten om sneller te kunnen acteren. We zetten AI ook in met de functionaliteit ‘Attack Path Prediction’. Dat geeft de aanvalsscenario’s aan, in combinatie met de waarschijnlijkheid daarvan. Voor die functionaliteit gebruiken we onder andere technologie van NVIDIA.”

Cloudomgevingen

Dat steeds meer bedrijven voor cloud kiezen, heeft volgens Molen ook veel invloed op security. “Doordat er steeds meer cloudomgevingen worden gebruikt, richten de tools van hackers zich daar ook steeds meer op. Die cloudomgevingen, maar ook IoT, maken je aanvalsoppervlak nog groter. Ik merk ook dat het vaak ontbreekt aan kennis van het beveiligen van cloudomgevingen. Een infrastructuur wordt regelmatig in zijn geheel, met een ‘lift and shift’, naar de publieke cloud verplaatst. Daardoor maak je wel gebruik van een cloudomgeving, maar niet van cloud-native beveiligingsfunctionaliteiten. Ons platform Vision One geeft aan waar de risico’s in je cloudomgeving zitten en geeft advies over hoe je dat op kan lossen. Op basis van deze oplossing kunnen partners diensten leveren om klanten te adviseren hoe ze het beveiligingsniveau kunnen verhogen.”

Veel van die partners kiezen voor het leveren van managed services, zo constateert Molen ook. “Daar is ons portfolio heel geschikt voor. Als partner kun je vanuit één omgeving meerdere klanten bedienen. Dat geldt niet alleen voor het monitoren, maar ook voor het beheer. Het opzetten van een beheeromgeving gaat heel snel. Klanten kunnen per maand afrekenen, aan de hand van het aantal gebruikers. Voor partners is dat interessant, omdat steeds meer klanten, ook kleinere organisaties, om zo’n model vragen. Ik zie steeds meer partners die stap maken en MSP worden.”

In zijn totaliteit ziet Molen wel positieve ontwikkelingen. “Hoewel ik aangaf dat het vaak nog ontbreekt aan actie, zie ik ook dat organisaties steeds concreter de behoefte zien van een risico-gebaseerde aanpak, van zowel uit IT- als CISO-perspectief. Dit is een belangrijke stap in het cyberweerbaar maken van organisaties.”

Door: Johan van Leeuwen