Gartner: Kennistekort IT-security leidt tot consolidatie
Consolidatie van security-oplossingen door bedrijven. Dat is een belangrijke, hedendaagse trend, aldus Mario de Boer, Research Vice President bij Gartner Nederland. IT-beveiliging is zijn onderzoeksonderwerp. “Uitermate boeiend. Ik werk nu tien jaar bij Gartner en verveel me geen dag.”
Als een belangrijke uitdaging voor security-teams ziet hij het binnenhalen van passend geschoold personeel. “Er is een schrikbarend tekort aan deskundige medewerkers”, legt hij uit. “En dat in een tijd waarin aanvallen in ingewikkeldheid en aantal toenemen.” Een manier om dit tekort aan te pakken, is het aantal securitytoepassingen binnen een bedrijf drastisch te verminderen. Immers: voor elke toepassing heb je specifieke kennis en ervaring nodig plus de tijd om ze te onderhouden. En de kennis om ze te integreren, wat niet altijd goed lukt, zodat een organisatie uiteindelijk niet over de juiste informatie beschikt. Daarnaast zoeken bedrijven naar intelligentere security-toepassingen.”
Het productportfolio bij bedrijven consolideert. “Een voorbeeld van consolidatie is de opkomst van XDR. Er ligt ook meer nadruk op het gebruik van Open API’s om alles met elkaar te verbinden. En op het gebied van veilig toegang verlenen, is het nu vooral SASE. Ook dat is een kwestie van consolidatie.”
Een andere, duidelijk waarneembare beweging om het kennistekort op te vangen, aldus De Boer, is het uitbesteden van beveiligingsdiensten aan gespecialiseerde partijen. “Het is natuurlijk niet verstandig om bijvoorbeeld iets ‘eenvoudigs’ als door gebruikers gerapporteerde phishing emails – wat vaak neerkomt op spam - te laten monitoren door jouw duurbetaalde security-experts. Of je moet het automatiseren, maar dat blijkt vaak nog te moeilijk. Dan kunnen jouw dure mensen zich beter richten op andere bedreigingen die veel minder false positives hebben.”
Automatisering
Het gaat dus om consolidatie, uitbesteden, maar ook om automatisering. Volgens De Boer zijn leveranciers van beveiligingsoplossingen drukdoende om geautomatiseerde verwerking in hun producten op te nemen. “Daarbij passen ze bijvoorbeeld kunstmatige intelligentie toe. De experts krijgen tegenwoordig uitgekiende lijsten voorgeschoteld met zaken waar ze op moeten letten. Vroeger was dat nog een warboel en kostte het veel tijd om het juiste eruit te pikken. Tegenwoordig is het overzicht veel helderder; dat scheelt enorm veel tijd. En heb je dus meer tijd om een tegenactie in gang te brengen. Overigens vindt het automatiseren niet alleen plaats bij het monitoren, maar ook bij het orkestreren van een antwoord. Dat kan overigens alleen als de verschillende producten goed met elkaar samenwerken. Ook hier zie je dus een reden om te consolideren.”
Strategie
Security-professionals staan voor de moeilijke taak, aldus De Boer, om strategisch beleid te ontwikkelen in een wereld waar zaken snel veranderen. Strategie is immers gericht op de lange termijn. Daar zit een spanningsveld.
“Belangrijk”, aldus De Boer, “is dat het beveiligingsbeleid moet aansluiten op de bedrijfsvoering. Als je een bedrijf hebt dat wendbaar wil reageren op wat er in de markt gebeurt, dan moet je de beveiliging niet al te star maken. Uit gesprekken is mij gebleken dat er veel frustratie is bij bedrijfsleiders die de cloud willen gebruiken om die beweeglijkheid te bereiken. Zij kunnen bepaalde data niet naar de cloud brengen of verbindingen leggen tussen cloud en eigen datacenter vanwege beveiligingsmaatregelen. Maar ik heb ook het andere uiterste gezien, waar ontwikkelaars in de cloud gewoon doen wat ze willen, omdat een cloudbeleid ontbreekt. Een klant van mij omschreef dit als een Wilde Westen scenario. Het is de kunst om de juiste balans te vinden tussen alles dichttimmeren en de deuren open zetten. Je moet wel alles adresseren, maar niet te star zijn.”
Als het gaat om een cloudstrategie, dan vindt De Boer het niet verstandig om lijsten aan te leggen met wat je wel mag en wat niet mag. “Beter is het om een bandbreedte aan te geven, een geleiderails te plaatsen. Daartussen is een ontwikkelaar vrij te doen wat hem goed lijkt. Hij mag bijvoorbeeld vrijelijk experimenteren met nieuwe cloud diensten, maar geen koppeling maken met productiedata en productiesystemen en deze niet beschikbaar maken vanaf het internet. Je geeft ze een ontwikkelomgeving, waarin je innovatie stimuleert, maar waarbij je zorgt dat excessieve privileges niet worden toegestaan.”
De Boer is niet te stuiten als hij eenmaal over IT-security praat; hij heeft nog veel meer te vertellen.
Wat is SASE?
De website van Palo Alto Networks legt helder uit waar Secure Access Service Edge (spreek uit als "sassie") voor staat: “Het is een opkomend cyberbeveiligingsconcept dat Gartner voor het eerst beschreef in het rapport The Future of Network Security in the Cloud van augustus 2019 en verder uitwerkte in hun 2021 Strategic Roadmap for SASE Convergence. (….) Bestaande netwerkbenaderingen en -technologieën bieden simpelweg niet langer het niveau van beveiliging en toegangscontrole dat digitale organisaties nodig hebben. Deze organisaties eisen onmiddellijke, ononderbroken toegang voor hun gebruikers, ongeacht waar ze zich bevinden. Met een toename van gebruikers op afstand en software-as-a-service (SaaS) applicaties, gegevens die van het datacenter naar clouddiensten verhuizen en meer verkeer dat naar publieke clouddiensten en bijkantoren gaat dan terug naar het datacenter, is de behoefte aan een nieuwe aanpak voor netwerkbeveiliging toegenomen. SASE is de convergentie van wide area networking (WAN), en netwerkbeveiligingsdiensten zoals CASB, FWaaS en Zero Trust, in een enkel, cloudgebaseerd servicemodel. Volgens Gartner worden "SASE-mogelijkheden geleverd als een dienst op basis van de identiteit van de entiteit, real-time context, bedrijfsbeveiligings-/compliance-beleid en voortdurende beoordeling van risico's/vertrouwen tijdens de sessies. Identiteiten van entiteiten kunnen worden geassocieerd met mensen, groepen mensen (filialen), apparaten, applicaties, diensten, IoT-systemen of edge computing-locaties."
Auteur: Teus Molenaar en Witold Kepinski
