Cohesity: Data en security zijn onlosmakelijk verbonden met elkaar

19-11-2021 | door: Anne van den Berg

Cohesity: Data en security zijn onlosmakelijk verbonden met elkaar

Goede bescherming aan de buitenkant maakt goede bescherming aan de binnenkant niet overbodig, vertelt Dave Stemerdink, Cohesity. Eenmaal binnen kan verdacht gedrag, zoals het verplaatsen van data, direct gedetecteerd worden, maar dat betekent wel dat data goed in beeld moet zijn: welke data staat waar, wie heeft er toegang en welke data is het meest belangrijk? ‘Zonder goede datagovernance ben je niet cyberresilience.’

Body:
‘Ik denk dat voor iedereen de noodzaak van cyberresilience steeds evidenter wordt’, begint Dave Stemerdink, senior systems engineer bij Cohesity, ons gesprek. Want net zoals bedrijven zich steeds beter weten te wapenen, worden ook de criminelen gewiekster. ‘Kijk alleen al naar de evolutie van ransomware. Het raakt niet alleen maar een bedrijf, maar het wordt steeds persoonlijker.’

Een aanval op back-up en herstel
‘Traditioneel draaide ransomware om het versleutelen van data en het vragen van een geldsom voor de sleutel. Dat is nog steeds onderdeel, maar de aanval wordt nu uitgebreid met de aanval op back-up en herstel. Dus je data is niet alleen versleuteld, maar ook de mogelijkheid om te herstellen zonder het losgeld te betalen wordt moeilijker gemaakt. Maar dat is niet de meest courante versie.’

Gijzelaars versleutelen de data en blokkeren herstelwerkzaamheden niet alleen. ‘Nu doen ze aan data-exfiltratie, waarbij ze dreigen de data op het darkweb of het publieke world wide web te gooien. Dit is extra zorgwekkend aangezien geen enkel bedrijf meer alleen werkt. Je hebt te maken met toeleveranciers, afnemers, partners, ICT-koppelingen. Je hoopt die laatste op tijd te kunnen killen, maar je kunt niet meer alleen je eigen problemen oplossen.’

Hoe ben je ooit weer te vertrouwen
Het is een zaak van reputatieschade, waarbij het niet alleen gaat over het herstellen van data en systemen. ‘Het gaat over de vraag: hoe zorg je ervoor dat anderen je weer kunnen vertrouwen? We zien dat klanten daarmee worstelen. Het voorkomen en herstellen van cyberevents wordt daarom steeds prominenter, waarvoor verschillende tools worden aangekocht om de impact te minimaliseren.’

Het probleem met al die verschillende tools, vertelt Stemerdink, is dat, om cyberevents beheersbaar te maken, de tools moeten samenwerken of zelfs geconsolideerd moeten worden. Maar Stemerdink constateert nog een blinde vlek: ‘Met security denken we vaak alleen aan de buitenkant, maar wat doen we aan de binnenkant? Daar vallen organisaties vaak terug op oude tools, waardoor het meer tijd kost om weer up and running te zijn.’

Afwijkend gedrag direct detecteren
‘Disaster and recovery (DR) draaide vaak om natuurrampen of brand in het datacenter. Maar dat gebeurt zelden tot nooit, dus de risico’s zijn beperkt. Nu zijn cyberevents de nummer één reden waarom DR wordt ingeschakeld. In eerste instantie draait dat om back-updata veilig opslaan, maar je moet ook zeker weten dat back-updata actueel is en klopt, dat multifactor authenticatie is ingesteld en dat afwijkend gedrag in datasets direct wordt gedetecteerd.’

Zeker omdat data-exfiltratie steeds vaker plaatsvindt, moet duidelijk zijn welke data je als bedrijf hebt staan, waar die staan, hoe die geclassificeerd worden en wie ermee werkt. Pas dan kan namelijk bepaald worden of afwijkend gedrag binnen die datasets plaatsvindt. Datafragmentatie is daarom niet alleen lastig om de juiste informatie eruit te halen, maar ook om de juiste securitymaatregelen door te voeren.

Met AI en ML belangrijke data lokaliseren
‘We moeten daarbij dezelfde methode hanteren als cybercriminelen die met automation, machine learning en AI een omgeving in kaart brengen om te bepalen waar de meest waardevolle data staat. Waar staan persoonsgebonden informatie, adressen of andere typen gevoelige informatie? Vanuit een policy based approach ga je vervolgens kijken hoe je de data gaat beschermen en hoe je het kan herstellen.’

‘Het probleem is dat mensen bewust of onbewust te makkelijk denken over data en waar ze het neerzetten. Ze pakken al snel informatie van de corporate share en plaatsen het op hun desktop, waarna ze het vergeten. Met datagovernance kan dat niet, omdat op het moment dat wordt geconstateerd dat data op een verkeerde plek staat, kan worden besloten om de toegang te blokkeren of de gegevens in isolatie te zetten.’

Wat is normaal gedrag?
Het detecteren en reageren is natuurlijk geen mensenwerk, maar razendsnelle geautomatiseerde acties, gebaseerd op AI. ‘Het systeem leert wat normaal gedrag is en bepaalt wat er gebeurt als acties afwijken. Daarom is het noodzakelijk dat platformen samenwerken en dat maakt het platform van Cohesity zo krachtig. Tooling van Cisco, Palo Alto, Sentinal One staat native op ons platform, zodat je vanuit meerdere invalshoeken gedrag kan bekijken.’

Hoe zit het dan met de balans tussen veiligheid en kunnen werken? ‘Daarin moet AI ons helpen om accuratere voorspellingen te doen. Maar als een persoon ten onrechte geblokkeerd is, dan kan een manager valideren dat een actie gerechtvaardigd is. Eén van onze partners, ServiceNow, legt bijvoorbeeld die keten vast, zodat duidelijk is wie goedkeuring moet geven als ongeautoriseerd gedrag plaatsvindt.’

Niet alle aanvallen komen van buiten
Hoe goed de security aan de buitenkant ook is, datagovernance, detectie en respons aan de binnenkant is om meerdere redenen onmisbaar. Enerzijds omdat een breach kan plaatsvinden, waarna je snel moet kunnen handelen om de aanval alsnog te stoppen. Anderzijds is het belangrijk omdat niet alle aanvallen technisch opgezet worden. ‘Mensen zijn net zo goed te corrumperen als ICT-systemen dat zijn.’

‘Een paar jaar terug deed een medewerker van Apple de uitspraak dat hij was benaderd om voor één miljoen dollar ransomware te plaatsen. Hij was zo netjes om dat te melden, maar er zijn vast mensen die zeggen: dat geld haal ik over een paar jaar niet binnen, dus dat wil ik best doen. Op het darkweb heb je complete fora waar mensen zich aanbieden. Ze schrijven: ik werk bij xyz, geef me een dm als ik iets voor je kan doen.’

Pijnlijk bewust van de gevaren
Om bedrijven van deze praktijk pijnlijk bewust te maken, helpt Cohesity door klanten tijdens klantsessies op het darkweb te laten kijken hoe eenvoudig het is om een opdracht te geven voor een cyberaanval. ‘Door het heel tastbaar te maken, gaan onze klanten veel bewuster om met de risico’s. Overigens neemt niet alleen de IT-afdeling deel aan deze sessies, het zijn juiste de eindgebruikers en C-levels die hier veel van leren.’

Auteur: Anne van den Berg

Terug naar nieuws overzicht

Tags

Security
Security