CISO Insider: Probleem 2

Ransomware-aanvallers richten zich op je meest waardevolle bezittingen waarvan ze denken dat ze er het meeste geld uit kunnen halen, of die nu het meest verstorend of waardevol zijn als ze worden vastgehouden of het meest gevoelig als ze worden vrijgegeven.

De sector is een belangrijke bepalende factor voor het risicoprofiel van een organisatie. Waar leiders in de productiesector verstoring van de bedrijfsvoering als grootste zorg noemen, geven CISO's in de detailhandel en de financiële dienstverlening prioriteit aan de bescherming van gevoelige, persoonlijk identificeerbare informatie en zijn organisaties in de Gezond­heids­zorg op beide fronten even kwetsbaar. In reactie hierop verschuiven leiders in de beveiliging hun risicoprofiel op agressieve wijze weg van gegevensverlies en blootstelling door hun perimeters te verbeteren, back-ups van kritieke gegevens, overbodige systemen en betere versleuteling.

De focus van voor veel leiders ligt nu op de verstoring van bedrijfsactiviteiten. Het bedrijf maakt kosten, zelfs als de onderbreking maar van korte duur is. Een CISO uit de Gezond­heids­zorg vertelde me onlangs dat ransomware, operationeel gezien, niet anders is dan een grote stroomstoring. Hoewel een adequaat back-upsysteem de stroom snel kan herstellen, heb je nog steeds downtime die het bedrijf onderbreekt. Een andere CISO zei dat ze nadenken over hoe verstoring verder kan reiken dan het hoofdnetwerk van het bedrijf, naar operationele problemen, zoals problemen met pijpleidingen, of het secundaire effect van belangrijke leveranciers die door ransomware zijn uitgeschakeld.

Tactieken voor het beheren van verstoringen omvatten zowel overbodige systemen als segmentatie om de downtime te minimaliseren, zodat de organisatie het verkeer naar een ander deel van het netwerk kan verplaatsen terwijl het getroffen segment wordt geïsoleerd en hersteld. Maar zelfs de meest betrouwbare back-upprocessen of processen voor herstel na noodgevallen kunnen de dreiging van onderbreking van het bedrijf of blootstelling van gegevens niet volledig wegnemen. De keerzijde van beperkingen is preventie.

Veel CISO's die ik spreek, kiezen voor een palet-aanpak van het voorkomen en detecteren van aanvallen, waarbij ze gebruikmaken van gelaagde oplossingen van leveranciers die kwetsbaarheidstests, perimetertests, geautomatiseerde controle, eindpuntbeveiliging, identiteitsbescherming, enzovoort omvatten. Voor sommigen is dit opzettelijke redundantie, omdat ze dat een gelaagde aanpak eventuele hiaten zal dekken, zoals stapels Zwitserse kaas, en dat de gaten samen geen toegang vormen.

Onze ervaring heeft geleerd dat deze diversiteit het herstel kan bemoeilijken en mogelijk meer risico's met zich meebrengt. Zoals een CISO opmerkt, is het nadeel van het samenvoegen van meerdere oplossingen een gebrek aan zichtbaarheid door fragmentatie: "Ik beschik over een ongeëvenaarde benadering, die op zichzelf bepaalde uitdagingen met zich meebrengt omdat er dan een gebrek is aan inzicht in geaggregeerde risico's omdat je deze onafhankelijke consoles hebt waarmee je bedreigingen beheert, en niet dit geaggregeerde beeld hebt van wat er bij jou gebeurt." (Gezond­heids­zorg, 1.100 medewerkers) Als aanvallers een complex web weven dat zich uitstrekt over verschillende oplossingen, kan het moeilijk zijn om een volledig beeld te krijgen van de kill chain, de omvang van de schending vast te stellen en malware-payloads volledig uit te roeien. Om een aanval te stoppen, moet je meerdere vectoren kunnen bekijken om aanvallen in realtime te detecteren, af te schrikken en te beheersen.

De belofte van XDR wordt vaak niet nagekomen. Veel CISO's die we spreken hebben een krachtig startpunt geïmplementeerd in EDR. EDR is een bewezen asset: we hebben gezien dat de huidige gebruikers van eindpuntdetectie en -reactie bewezen goede prestaties hebben als het gaat om het sneller detecteren en stoppen van ransomware.

Maar omdat XDR een ontwikkeling is van EDR, blijven sommige CISO's sceptisch over het nut van XDR. Is XDR niet simpelweg EDR met wat puntoplossingen eraan toegevoegd? Moet ik echt een volledig aparte oplossing gebruiken? Of biedt mijn EDR op de lange termijn dezelfde mogelijkheden? De huidige markt voor XDR-oplossingen zorgt voor nog meer verwarring, omdat leveranciers in een strijd verwikkeld zijn om XDR-aanbiedingen aan hun productportfolio's toe te voegen. Sommige leveranciers breiden hun EDR-hulpprogramma uit met extra bedreigingsgegevens, terwijl anderen zich meer richten op het bouwen van speciale XDR-platforms. Deze laatste zijn vanaf de grond opgebouwd om gebruiksklare integratie en mogelijkheden te bieden die zijn gericht op de behoeften van beveiligingsanalisten, zodat je team zo min mogelijk hiaten handmatig hoeft te dekken.

We hebben leiders, die worden geconfronteerd met een tekort aan beveiligingstalent en de noodzaak om snel te reageren op bedreigingen, aangemoedigd om automatisering te implementeren om hun personeel te helpen zich te concentreren op de verdediging tegen de ergste bedreigingen in plaats van op het afhandelen van alledaagse taken, zoals het opnieuw instellen van wachtwoorden. Het is interessant om te zien dat veel van de beveiligingsleiders met wie ik heb gesproken, aangeven dat ze nog niet volledige profiteren van de geautomatiseerde mogelijkheden. In sommige gevallen zijn beveiligingsleiders zich niet volledig bewust van de mogelijkheden, terwijl anderen aarzelen om automatisering te omarmen uit angst de controle te verliezen, onnauwkeurigheid in de hand te werken of het zicht op bedreigingen kwijt te raken. Dat laatste is een zeer legitieme zorg. We merken echter dat de gebruikers van effectieve automatisering juist het tegenovergestelde bereiken door automatisering naast het beveiligingsteam te implementeren om de inspanningen van het team te sturen en te coördineren: meer controle, minder fout-positieven, minder ruis en meer bruikbare inzichten.

Automatisering omvat een aantal mogelijkheden, van geautomatiseerde administratieve basistaken tot slimme risicobeoordelingen op basis van machine learning. De meeste CISO's melden dat ze de eerstgenoemde vorm van door gebeurtenissen geactiveerde of regelgebaseerde automatisering gebruiken, maar minder CISO's hebben geprofiteerd van ingebouwde kunstmatige intelligentie en machinelearning-mogelijkheden die op risico gebaseerde toegangsbeslissingen in realtime mogelijk maken. Natuurlijk helpt het automatiseren van routinetaken om het beveiligingsteam de tijd te geven om zich te richten op de strategie om mensen te laten doen waar ze het beste in zijn. Maar het is in dit strategische domein, bijvoorbeeld bij het reageren op incidenten, dat automatisering het grootste potentieel heeft om het beveiligingsteam te versterken als een intelligente partner die gegevens kraakt en patronen aanpast. AI en automatisering zijn bijvoorbeeld perfect voor het correleren van beveiligingssignalen om uitgebreide detectie en reactie op een schending te ondersteunen. Ongeveer de helft van de beveiligingsleiders die we onlangs hebben gesproken, geeft aan dat ze handmatig signalen moeten correleren.1  Dit kost ongelooflijk veel tijd en maakt het bijna onmogelijk om snel te reageren om een aanval te beheersen. Met de juiste toepassing van automatisering, zoals de correlatie van beveiligingssignalen, kunnen aanvallen vaak bijna in realtime worden gedetecteerd.

We hebben gemerkt dat veel beveiligingsteams onvoldoende gebruik maken van de automatisering die is ingebouwd in bestaande oplossingen die ze al gebruiken. In veel gevallen is het toepassen van automatisering net zo eenvoudig (en heeft het grote impact!) als het configureren van beschikbare functies, zoals het vervangen van toegangsbeleid met vaste regels door voorwaardelijk toegangsbeleid op basis van risico's, het opstellen van playbooks voor reacties, etc.

CISO's die ervoor kiezen om af te zien van de mogelijkheden van automatisering doen dat vaak uit wantrouwen, omdat ze bang zijn dat het systeem onherstelbare fouten maakt terwijl het zonder menselijk toezicht werkt. Een aantal van de mogelijke scenario's zijn dat een systeem ongepast gebruikersgegevens verwijdert, een leidinggevende verhindert toegang te krijgen tot het systeem, of in het ergste geval leidt tot verlies van controle of zichtbaarheid over een beveiligingsprobleem waar misbruik van is gemaakt.

Maar beveiliging is meestal een afweging tussen kleine, dagelijkse ongemakken tegenover tegen de constante dreiging van een catastrofale aanval. Automatisering kan dienen als een vroegtijdig waarschuwingssysteem voor een dergelijke aanval en de ongemakken kunnen worden beperkt of geëlimineerd. Bovendien draait automatisering niet op zichzelf, maar naast menselijke operators, waarbij de kunstmatige intelligentie zowel kan informeren als kan worden gecontroleerd door menselijke intelligentie.

Om ervoor te zorgen dat de implementatie soepel verloopt, hebben we modi voor alleen rapporten toegevoegd aan onze oplossingen om ze uit te proberen voordat ze worden geïmplementeerd. Hierdoor kan het beveiligingsteam automatisering in hun eigen tempo implementeren, automatiseringsregels verfijnen en de prestaties van de geautomatiseerde hulpprogramma's controleren.

De beveiligingsleiders die automatisering het meest effectief gebruiken, gebruiken het naast hun team om hiaten te dichten en als eerste verdedigingslinie te dienen. Zoals een CISO me onlangs vertelde, is het bijna onmogelijk en onbetaalbaar om altijd en overal een beveiligingsteam aanwezig te hebben, en zelfs als dat wel zo zou zijn, is er bij beveiligingsteams vaak een hoge kans op verloop. Automatisering biedt een laag van altijd beschikbare continuïteit en consistentie om het beveiligingsteam te ondersteunen op gebieden die deze consistentie nodig hebben, zoals verkeerscontroles en systemen voor vroegtijdige waarschuwing. In deze ondersteunende rol helpt automatisering het team te bevrijden van het handmatig doornemen van logboeken en systemen en biedt ze kans om proactiever te zijn. Automatisering vervangt mensen niet, het is een hulpprogramma waarmee je personeel waarschuwingen kan prioriteren en hun inspanningen kan richten op de belangrijkste gebieden.