Wat kunnen we leren van de wereldwijde IT-storing door een CrowdStrike-update?
Een softwareupdate van CrowdStrike legde enkele weken geleden miljoenen Windows-apparaten wereldwijd plat. In de uren en dagen daarna werkten grote en kleine bedrijven en instellingen hard om de problemen in hun IT-omgevingen op te lossen; sommigen wisten niet waar ze moesten beginnen. Kyndryl zet vijf acties uiteen die bedrijven kunnen nemen om het risico te verkleinen dat zij slachtoffer worden van een cyberincident en hun hersteltijd kunnen versnellen.
Cyberincidenten kunnen vele vormen aannemen. Sommige worden veroorzaakt door kwaadwillenden die opzettelijk schade aanrichten, maar andere kunnen ontstaan door een slechte patch, menselijke fouten, gescheiden werkmethoden, ineffectief leveranciersbeheer en meer. Deze storing benadrukt het cruciale belang van cyber resiliency, wat betekent dat er systemen en processen worden geïmplementeerd die proactief beschermen tegen elk cyberincident, van een geavanceerde cyberaanval tot problemen die zich voordoen tijdens software-updates.
Hieronder zijn vijf acties beschreven op basis van interviews met top Kyndryl-experts, die bedrijven nu kunnen ondernemen om het risico te verkleinen dat ze slachtoffer worden van een cyberincident, de impact te verminderen en de hersteltijd te versnellen als ze toch worden getroffen door een incident, ondanks de voorbereidingen.
1. De Chief Information Security Officer (CISO) moet evolueren naar de Cyber Resilience Officer (CRO)
Ideaal gezien zal de CISO, die verandert in een CRO, zijn expertise in risicobeheer en crisisrespons gebruiken om risico’s binnen de hele organisatie te beheren en te verminderen. De CRO zal een strategie opzetten die cyber resiliency principes integreert in veilige software ontwikkeling en het beheer van risico’s van derden, herstelmogelijkheden ontwerpt om essentiële bedrijfsfuncties te ondersteunen, een robuuste operationele omgeving creëert met fundamentele praktijken zoals asset management, geautomatiseerd kwetsbaarheids- en patchbeheer en functies over silo’s heen integreert - waarbij beveiliging, bedrijfscontinuïteit en herstel van rampen worden verenigd.
2. Beoordeel jouw verdediging, resiliency en herstel
Cyber resiliency overstijgt traditionele cybersecurity door aan te nemen dat geavanceerde tegenstanders conventionele verdedigingen kunnen omzeilen. Het omvat ook bedreigingen zoals verstoringen in de toeleveringsketen en defecte software-updates. Bedrijven zouden de gehele levenscyclus moeten beoordelen, inclusief software ontwikkeling, beveiliging, risicobeheer van derden, herstel, asset management en geautomatiseerd kwetsbaarheids- en patchbeheer. Zorg ervoor dat er back-ups gemaakt worden van bedrijfsplatformen zodat IT-omgevingen, indien nodig, kunnen terugkeren naar eerdere situaties. Moet het bedrijf zijn aanpak van backup en herstel bijwerken en moderniseren? Bedrijven doen het juiste als ze een combinatie van processen hebben om de operaties te beschermen vanuit een cybersecurity- en resiliency-perspectief. Het hebben van firewalls, patches en antivirussoftware is belangrijk. Het is ook essentieel om te weten wat als eerste moet worden geback-upt en hersteld - de belangrijkste systemen van de organisatie die kritische bedrijfsprocessen aandrijven. Nadat de kritieke assets zijn geïdentificeerd voor een backup, bestaat de laatste stap uit het testen van het vermogen om een herstel uit te voeren - om te valideren dat de geïmplementeerde controles werken zoals vereist. Testen moeten waar mogelijk worden geautomatiseerd om voortdurende validatie van herstelbaarheid te bieden.
3. Verbeter realtime zichtbaarheid, analyses en inzichten geïntegreerd in de gehele onderneming
Het kunnen observeren van de algehele systeemstatus en in realtime zien wanneer servers of individuele apparaten offline gaan, is een van de krachtigste hulpmiddelen die bedrijven kunnen hebben. Daarnaast moeten observatieplatforms meerdere lagen van dienstverlening kunnen visualiseren, inclusief apparaten, totale inventaris, patchgegevens, backup gegevens, antivirussoftware en toepassingen. Kennis hebben van individuele servers is een andere kerncomponent van de cybersecurity- en resiliency-voorbereidingen van elk bedrijf. Begrijpen hoe applicaties zijn ingezet binnen de infrastructuur stelt bedrijven in staat vroegtijdig te weten welke systemen en apparaten zijn of kunnen worden beïnvloed en hoe het bedrijf wordt getroffen. Met deze kennis kunnen bedrijven de juiste systemen in de juiste volgorde herstellen - en snel.
4. Vorm partnerschappen met ontwikkelaars om meer transparantie in testprocessen te waarborgen
Het is belangrijk voor bedrijven om de geautomatiseerde testprocessen die software-updates doorlopen voordat ze worden uitgebracht, beter te begrijpen en te vertrouwen. Een belangrijke vraag hierbij is: Hoe test de leverancier elk apparaat voordat updates worden uitgerold? Het is belangrijk om updates te vertrouwen die meerdere keren per dag live en dynamisch worden doorgevoerd. Dit geldt vooral voor "snelle updates", die historisch gezien mogelijk een minder rigoureuze testmethodologie hebben doorlopen, vaak om de implementatie te versnellen. Met transparantie in deze testprocessen kan deze informatie het herstel vergemakkelijken als er een onverwachte operationele impact is. De benadering van testen als geheel moet evolueren naarmate systemen complexer worden; de adoptie van DevOps/Site Reliability Engineer (SRE)-rollen is essentieel voor deze transformatie.
5. Beheer wat je kunt beheren, inclusief softwarebescherming op een netwerk
Bedrijven zouden een gefaseerde aanpak moeten overwegen voor het installeren van updates en configuratiewijzigingen. Als minder apparaten een defecte update ontvangen, kunnen verstoringen worden geminimaliseerd. Overweeg of je verschillende versies kunt inzetten tussen productie- en niet-productieomgevingen. Productie-apparaten kunnen één tot twee niveaus achterlopen op software-updates, terwijl services die niet gerelateerd zijn aan productie de updates direct kunnen ontvangen. Het taggen van apparaten kan helpen bij verdere beleidsgerelateerde evaluatie en verwerking. Dit kan helpen om potentiële risico’s te beperken. Bijzondere zorg moet worden besteed aan beveiligingstechnologieën die dynamische updates implementeren voor detectieregels die worden gebruikt om cyberdreigingen te detecteren. Het uitstellen van deze updates voor extra tests kan de operationele stabiliteit verbeteren, maar met het risico dat verbeterde bescherming tegen opkomende dreigingen wordt vertraagd.
Met een cyber resiliency strategie kunnen bedrijven anticiperen op, zich beschermen tegen, detecteren en herstellen van cyberincidenten van diverse aard. Ondernemingen die zich richten op cyber resiliency en proactieve stappen nemen, zullen een voordeel hebben.