Wil je secure zijn? Leer denken als een hacker
Als je niet weet hoe je IT-infrastructuur is opgebouwd, dan is de kans groot dat een hacker een achterdeur kan vinden die openstaat. En omdat we steeds meer automatiseren, kunnen hackers makkelijker met tooling zoals malware, sneller en meer bereiken. Als je dus kijkt zoals een hacker kijkt, dan is stap één het volledig in kaart brengen van je attack surface. “Pas als je dat overzicht hebt, kan je slimme keuzes maken”, aldus Orlando Kliemert van Outpost24.
De eerste stap naar goede cybersecurity, is het creëren van cyberhygiëne. “Waar het op neerkomt, is dat je voor een goede strategie eerst moet weten uit welke IT, OT en andere componenten je infrastructuur bestaat. Pas daarna kan je keuzes maken over resources en het alloceren van je budget”, vertelt Orlando Kliemert, managing director business unit Central Europe bij Outpost24.
Binnen via de achterdeur
Door te beginnen met het creëren van cyberhygiëne, zorgen organisaties dat ze leren kijken vanuit het oogpunt van de hacker, vertelt Kliemert. “Als je leert denken als een hacker, weet je dat er ergens in je infrastructuur een achterdeur openstaat. Het kan een Microsoftomgeving zijn die de afgelopen drie jaar niet is gepatcht of geüpdatet of shadow IT waar je als organisatie (nog) geen zicht op hebt. En daar ga je als hacker dan naar op zoek.”
“Je kunt pas slimme keuzes maken en de juiste oplossingen selecteren op het gebied van security als je je bekende en onbekende assets in kaart hebt gebracht”, vertelt Kliemert. Met andere woorden: als je die cyberhygiëne nog niet op orde hebt, dan kan je nog zo’n mooie cybersecurityoplossing hebben gekocht en ‘alles’ zichtbaar hebben in een dashboard, maar als er ergens een achterdeur openstaat, dan komen hackers alsnog ongezien binnen. “Het is tegenwoordig ook steeds eenvoudiger voor hackers om ‘echte’ gebruikersgegevens aan te kopen om zich zo voor te doen als medewerker.”
Continu en automatisch inzicht creëren
Overigens is het niet gek dat organisaties het zicht op hun stack hebben verloren: door de jaren heen hebben de oplossingen zich opgestapeld en door de massale verschuiving naar hybride en cloudomgevingen, zijn infrastructuren nog complexer geworden. Daarom is het maar goed dat organisaties niet alles handmatig in kaart hoeven te brengen, vertelt Kliemert: “Onze tooling helpt om continu en automatisch inzicht te creëren.”
De oplossing van Outpost24 helpt niet alleen om de IP-ranges te bepalen, maar speurt de hele IT-omgeving af om zelfs shadow IT of legacy-systemen in kaart te brengen. Het gaat erom dat de hele attack surface, het aanvalsvlak, in kaart wordt gebracht. “Alles wat je hebt, kan ervoor zorgen dat je in een vervelende positie komt. Dus als je weet wat je hebt, dan kan je daarop beleid maken en zorgen dat alles wordt afgevangen.”
Dynamisch en continu proces
Overigens is het goed om te beseffen dat het in kaart brengen van je attack surface niet een eenmalige actie is, vertelt Kliemert. “Het is juist een dynamisch en continu proces, zeker omdat vrijwel elke moderne organisatie werkt met continuous development en continu dus de aanvalsoppervlakte verandert of vergroot. Daarom wordt security steeds vaker opgenomen in het ontwikkelproces door DevSecOps te introduceren.”
Het risico dat organisaties lopen is natuurlijk groot, zowel intern als extern. En hoewel de impact op de business van grote én kleinere organisaties relatief even groot kan zijn, kan de schade die wordt berokkend door een hack bij grotere organisaties extern vele malen groter zijn. Kliemert: “Ik denk aan de aanval op Maersk van alweer een paar jaar geleden: die hack heeft invloed gehad op de totale wereldeconomie. Een simpel stukje software zoals malware verspreidde zich razendsnel door het gehele netwerk, een kleine moeite voor de hacker met een gigantische impact.”
Er moet altijd eerst iets gebeuren
De grote organisaties zijn zich door de impact die een hack kan hebben, meer bewust van de risico’s die ze lopen, aldus Kliemert. Maar we moeten de impact op het midden- en kleinbedrijf niet verwaarlozen, omdat ze net zo goed stilgelegd kunnen worden met de nodige gevolgen voor klanten, partners en medewerkers. “Toch moet er vaak eerst iets gebeuren voordat er acceptatie is en er budget beschikbaar wordt gesteld.”
Kliemert vergelijkt de mindset van mkb’ers met hoe de doorsnee mens naar hun eigen huis kijkt: “Er heerst het idee ‘er valt hier toch niet echt iets te halen’. En: ‘Drie wijken verderop staat de Porsche voor de deur, dus daar zullen ze dan eerder voor gaan, toch?’ Ze realiseren zich niet dat heel veel kleine bedragen een groot bedrag maken. Hackers maken de business case om te investeren in slimme malware om die toe te passen op grote schaal. Daardoor blijft het een ver-van-je-bed-show en denk je pas na over een alarmsysteem als de inbreker al binnen staat.”
Te veel leunen op automatisering
En áls het MKB in actie komt, dan wordt volgens Kliemert te veel geleund op automatisering of zelfs op Microsoft voor security. Gelukkig vervullen steeds meer partners van zowel de eindklant als Outpost24 de rol van securityspecialist. “Samen met ons of onze partners kijken ze dan naar de risico’s die ze lopen en wat het hen gaat kosten als productie wordt stilgelegd of klantdata verloren gaat”, aldus Kliemert.
Maar er kunnen dus pas slimme investeringen gedaan worden als een organisatie weet hoe zijn infrastructuur en attack surface zijn opgebouwd. “Overigens hebben wij een unieke aanpak, waarbij we de kennis binnen een organisatie combineren met informatie van het dark web of andere databronnen. Als we dat naast de infrastructuur leggen, creëren we een lijst met kwetsbaarheden, die we vervolgens omzetten in actiepunten. Pas dan weet je waar je je euro’s het beste aan kan uitgeven.”
Partners helpen met security
Om partners te helpen met het ondersteunen van de eindklanten faciliteert Outpost24 de channel met services en natuurlijk ook met de multitenant oplossing. “We bieden het zelfs whitelabel aan als partners dat vanuit hun eigen naam willen aanbieden. Maar klanten kunnen ook managed services bij ons afnemen als verlengstuk van securityteams bij grotere organisaties. Maar in de kern blijven we een softwarebedrijf met oplossingen en tools die diepe inzichten helpen geven in hoe hackers werken.”
Auteur: Anne van den Berg