Een jaar van verandering en bewustwording rond cybersecurity
Er staat ons een jaar van verandering en bewustwording rond cybersecurity te wachten. Dit schrijft Ben Smith, Field CTO bij NetWitness, in een blog.
We bevinden ons in een race tegen de klok als het gaat om cyberbeveiliging. Aanvallers zijn altijd in het voordeel, omdat zij voortdurend experimenteren met nieuwe technieken en tactieken. Of gewoon oude technieken reorganiseren en opnieuw combineren. En wie zich verdedigt moet zijn capaciteiten voor het opsporen van en reageren op bedreigingen continu wijzigen en herdefiniëren om nieuwe aanvalsvectoren te herkennen. Dit alles stimuleert de aanvallers, die zich niet laten ontmoedigen, maar nieuwe wegen inslaan. En zo blijft deze cyclus onverbiddelijk doorgaan.
Het is bijzonder verontrustend wanneer een grote aanval succesvol is en de details aan het licht komen, waardoor duidelijk wordt dat die aanval op een bepaald doelwit niet specifiek voor dat doel was opgezet, maar deel uitmaakt van een beveiligingsinbreuk die al jaren, of zelfs decennia, onbekend is en die niet alleen dat doelwit verzwakt, maar ook miljoenen potentiële doelwitten op aangesloten systemen over de hele wereld treft. Dit is de huidige realiteit op het gebied van cyberbeveiliging.
Als we vooruitkijken naar 2022, wat kunnen we dan verwachten in de wereld van cyberbeveiliging en risicobeheer? Ben Smith, Field CTO bij NetWitness, heeft de 'cyber voorspellingen’ voor dit jaar op een rijtje gezet.
De ransomware tactieken zullen zich blijven evolueren. Het model van "dubbele afpersing", waarbij de gegevens van het slachtoffer worden versleuteld en de aanvaller niet alleen losgeld eist om deze te ontsleutelen, maar ook dreigt de gegevens vrij te geven, zal blijven bestaan. Net als voorgaande jaren zullen we nieuwe combinaties van bestaande tactieken zien.
De privacywetgeving zal wereldwijd in een stroomversnelling komen. De locatie waar de gegevens zich bevinden zal wereldwijd een belangrijk onderdeel blijven vormen op nationaal niveau. Als je de taak hebt om je wereldwijde organisatie te beschermen moet je, ongeacht de omvang van het bedrijf, naar de architectuur zelf kijken en weten waar de gegevens worden verzameld, waar ze zich bevinden en waar ze worden beheerd - dat kan in drie verschillende rechtsgebieden zijn. Met de goedkeuring en de toepassing van nieuwe privacyvoorschriften zal de flexibiliteit van de huidige architectuur nog belangrijker worden.
Het tekort aan vaardigheden op het gebied van cyberbeveiliging zal blijven toenemen. Ondanks de talrijke opleidingsprogramma's en certificeringen die de bekwaamheid van IT-beveiligingsprofessionals aantonen, zullen deze niet volstaan om aan het aantal nieuwe vacatures dat moet worden ingevuld te voldoen. Organisaties zullen daardoor geneigd zijn hun normen voor de "perfecte kandidaat" te versoepelen. Maar cybercriminelen "missen" waarschijnlijk ook de beveiligingscertificaten van hoog niveau, die van een nieuwe kandidaat worden verlangd.
De bestaande voorschriften zullen worden aangepast vanwege de pandemie. Veel organisaties organiseerden zich snel om hun activiteiten, ondanks de chaos die begin 2020 ontstond voort te kunnen zetten en kozen voor sluiproutes en andere compromissen. Sommige bedrijven hebben ontdekt dat hun architectuur van vóór de pandemie was opgebouwd rond de vraag waar de gegevens worden beheerd. Met de komst van thuiswerken moeten deze verouderde praktijken voor gegevensbeheer worden herzien. Wat vóór de pandemie geen probleem was voor de naleving van de regelgeving, kan dat nu wel zijn, en dus moet er actie worden ondernomen.
Staats vijandelijke hackers zullen het slagveld blijven voorbereiden op toekomstige acties. Soms wordt een aanval op kritieke infrastructuur uitgevoerd om een onmiddellijk effect te hebben, maar in andere gevallen wordt de aanval alleen uitgevoerd om een code achter te laten die in de toekomst nuttig kan zijn voor de aanvaller. Staats vijandelijke hackers zijn geen kruimeldieven. Ze zijn sluw en analytisch en denken aan winst op lange termijn, niet zozeer aan korte termijn acties.
Social media platformen zullen het snelst groeiende aanvalsoppervlak worden. De meeste verhalen over cyberaanvallen, die tot tastbare resultaten in de fysieke wereld leiden gaan over zaken als het hacken van auto's, het in gevaar brengen van medische apparatuur of andere soorten aanvallen. Maar de social media platformen vormen voor een cybercrimineel de grootste, goedkoopste en snelste methode om veranderingen teweeg te brengen in de fysieke wereld: het gaat hierbij niet om het aanvallen van computers als onderdeel van een cyberaanval, maar om mensen te mobiliseren voor de doelen van de aanvaller. Desinformatie en de bekwame ontwikkeling en verspreiding ervan zullen fysieke gevolgen hebben in de echte wereld.
Dit zijn enkele van de belangrijkste aandachtsgebieden voor 2022, maar hoe kunnen sommige van deze uitdagingen worden aangepakt?
Plan voor onzekerheid, plan voor veerkracht. Aangezien de wereld waarin we leven steeds sneller lijkt te draaien met nieuwe aanvallen en nieuwe uitdagingen op het gebied van regelgeving, hebben we niet de mogelijkheid om onze vlag in de grond te planten en deze koste wat kost te verdedigen. Het bedrijf moet flexibel en aanpasbaar blijven: dit is een van de vele factoren die bedrijven in de richting van de Cloud duwen met de mogelijkheid om zeer snel op te schalen.
Je kunt niet beschermen wat je niet kunt zien. Te veel organisaties, gedreven door een regelgevend controlemodel, denken dat "zichtbaarheid" betekent dat zij logs van de belangrijkste apparaten in hun operationele omgeving kunnen verzamelen en samenvoegen. Dit was twintig jaar geleden misschien het geval, maar nu is het absoluut het verkeerde antwoord. Informatie gebaseerd op logs, meestal tekstbestanden die door toepassingen, servers en infrastructuur worden geproduceerd, is nuttig vanuit operationeel oogpunt. Maar als je je omgeving moet beschermen en moet reageren op zowel externe als interne bedreigingen, krijg je pas echt inzicht als je ook het netwerkverkeer kunt zien en de eindpunten waarnaar en van waaruit gegevens worden verplaatst.
Het gelijktijdig kunnen bekijken van die logs samen met netwerk- en eindpuntgegevens is nog moeilijker wanneer de omgeving een mix is van lokale, gevirtualiseerde en cloudgebaseerde tools. Neem de tijd om kritieke gegevens te identificeren en prioriteit te geven aan de zichtbaarheid van deze middelen, zodat je, wanneer het moment daar is, er zeker van kunt zijn dat je de juiste zichtbaarheid hebt en absoluut alles kunt zien wat je nodig hebt om de juiste beslissingen te nemen voor de herstelmaatregelen.
Door: Ben Smith, Field CTO bij NetWitness, in een blog.
