Bij cyberbeveiliging is snelheid belangrijk: Hoe de 'OODA-lus' te verkorten

Noot van de redactie: Dit is het tweede artikel in een 7-delige serie over API's. In deze serie wordt de groei van API's onderzocht en wordt nagegaan hoe deze veel mogelijkheden hebben geboden voor het verbeteren van bedreigingsinformatie, het uitbreiden van automatisering en het versnellen van reacties. Lees het eerste artikel hier.

Als CISO heb ik met eigen ogen gezien hoe de snelheid van cyberaanvallen de afgelopen jaren is toegenomen. De geavanceerde aanvallen van vandaag hebben geen weken of zelfs dagen meer nodig om succesvol te zijn; ze richten verwoestingen aan in uren of minuten.

Daarom is integratie tussen beveiligingsproducten, mogelijk gemaakt door open API's, zo belangrijk geworden voor cyberverdediging. In een tijd waarin de toenemende complexiteit van computer- en beveiligingsomgevingen de uitdagingen voor beveiligingsteams nog groter maakt, stelt de integratie van beveiligingsproducten organisaties in staat efficiënter en effectiever te reageren - in sommige gevallen binnen seconden of zelfs milliseconden.

Zoals veel CISO's denk ik vaak over beveiliging in termen van het vijandige kader dat bekend staat als de OODA-lus. Voor het geval u dit niet kent, de OODA-lus (Observe, Orient, Decide, Act) is een besluitvormingsraamwerk dat is gebaseerd op het proces dat gevechtspiloten doorlopen wanneer ze reageren op gebeurtenissen in de lucht om hen heen. Denk aan twee gevechtspiloten die tegenover elkaar staan in een gevecht: het verkorten van elke stap in de lus creëert een cruciaal voordeel. Als je als eerste je tegenstander ziet, als eerste je wapens oriënteert en als eerste beslist wat je gaat doen, kun je als eerste handelen - en dat betekent dat je het gevecht waarschijnlijk zult winnen.

Het winnen van de race tegen de vijand

De OODA-lus beschrijft nauwkeurig de huidige vijandige cyberbeveiligingsomgeving. We bevinden ons in een voortdurende wedloop tegen geavanceerde tegenstanders. Aanvallers blijven hun vermogen om zwakke plekken te vinden en uit te buiten versnellen, en richten hun wapens op die zwakke plekken en gebruiken ze met verwoestende gevolgen. Als we niet sneller kunnen reageren op nieuwe bedreigingen, verliezen we.

Dit betekent dat oudere, handmatige benaderingen om op bedreigingen te reageren niet langer goed genoeg zijn. Tegen de tijd dat beveiligingsanalisten informatie in spreadsheets hebben gedownload, handmatig hebben geanalyseerd om patronen en mogelijke oorzaken te vinden, en vergaderingen hebben gehouden om de beste handelwijze te bepalen, is het vaak al te laat.

Een API-geschikt ecosysteem van samenwerkende beveiligingsproducten stelt ons in staat de OODA-lus te verkleinen door elke fase in het proces te automatiseren. Door gebruik te maken van API's van Mimecast en onze partners kunnen we op machinesnelheid informatie uitwisselen tussen beveiligingstools, waardoor reactietijden mogelijk worden teruggebracht tot milliseconden. Informatie die door één beveiligingstool is verzameld, kan onmiddellijk worden gebruikt om beschermende actie door andere tools binnen het ecosysteem te activeren.

Dit is veel belangrijker geworden naarmate de complexiteit van de technologische omgevingen van organisaties is toegenomen. Organisaties hebben steeds meer van hun activiteiten gedigitaliseerd, terwijl ze tegelijkertijd zijn overgeschakeld op de cloud. Deze gekoppelde overgangen hebben plaatsgevonden met beveiligingstools en andere toepassingen. Veel organisaties gebruiken nu een mix van best-of-breed cloudgebaseerde beveiligingstools, die elk zijn geselecteerd omdat ze de beste bescherming bieden tegen een specifiek type aanval of bedreiging. Als gevolg hiervan is er een dringende behoefte om deze vaak gescheiden tools met elkaar te verbinden, zodat gegevens snel kunnen worden gedeeld binnen het verbonden ecosysteem.

Tegelijkertijd is de complexiteit van de aanvallen enorm toegenomen, deels doordat de grens tussen nationale staten, georganiseerde criminele groepen en hun proxies vervaagt. Deze aanvallen zijn misschien niet specifiek gericht tegen kleinere organisaties, maar elke organisatie kan collaterale schade oplopen, vooral organisaties die over minder middelen beschikken om zichzelf te verdedigen.

Blokkeren van de Kill Chain

Het goede nieuws is dat de voortdurende wapenwedloop de innovatie binnen de beveiligingsgemeenschap stimuleert, niet alleen bij onze tegenstanders. API's stellen ons in staat de kracht van innovatieve beveiligingstools te combineren op manieren die alleen worden beperkt door onze verbeelding.

Enkele voorbeelden: Met de API's van Mimecast kunnen we informatie over bedreigingen via e-mail of het web doorgeven aan producten zoals CrowdStrike's endpoint protection tools of Palo Alto Networks' firewall in bijna realtime, zodat ze de informatie krijgen die ze nodig hebben om de organisatie onmiddellijk en automatisch tegen die bedreigingen te beschermen. Als ze de bedreigingen als eerste zien, kunnen ze de informatie ook zo snel mogelijk aan Mimecast doorgeven. Organisaties die voor een ecosysteembenadering hebben gekozen, zijn nu beschermd tegen de bedreiging, ongeacht de aanvalsvector. Een andere benadering die veel organisaties gebruiken, is om informatie van meerdere tools naar een SIEM te pushen om hun gegevens te verrijken en in één interface te jagen op moeilijker te vinden bedreigingen via meerdere producten.

Hier is nog een voorbeeld, dit keer gebaseerd op integratie tussen onze eigen producten. Aanvallers imiteren nu vaak de leveranciers van een organisatie door domeinen en websites te maken die er hetzelfde uitzien en deze te gebruiken om aanvallen uit te voeren die de gebruikers van de organisatie ertoe verleiden phishing-e-mails te openen of op schadelijke koppelingen te klikken. Mimecast's Brand Exploit Protect kan deze nepwebsites vinden en onze web- en e-mailbeveiligingsgateways snel bijwerken, zodat ze deze sites blokkeren. Het is een geweldig voorbeeld van hoe de OODA-lus kan worden ingekort - de tijd tussen de eerste waarneming van de bedreiging en de actie om deze te neutraliseren drastisch kan worden verkort. In plaats van te wachten tot gebruikers worden gephisht en te proberen de schade te beperken, kunnen we de 'kill chain' van de aanvaller doorbreken door de bedreiging in het wild op te sporen en deze te blokkeren voordat deze de organisatie treft.

De kern van de zaak

Het doorbreken van de OODA-lus is van cruciaal belang om de voortdurende race tegen cyberaanvallers te winnen. Door beveiligingstools in staat te stellen in bijna realtime informatie uit te wisselen, stellen API's organisaties in staat de tijd tussen het identificeren van een cyberaanval en het weerstaan van de aanval te verkorten. Aangezien aanvallers steeds sneller kwetsbaarheden in complexe systemen kunnen vinden en misbruiken, is snel handelen essentieel om bedreigingen te blokkeren voordat ze wijdverbreide schade aanrichten.