Gelaagde beveiliging: Een must-have, vooral voor Microsoft 365

Onder de vele belangrijke onthullingen in Mimecast's State of Email Security 2021 (SOES) rapport was er dit: Bijna negen van de tien (88%) Microsoft 365-gebruikers denken dat hun bedrijf extra lagen van e-mailbeveiliging nodig heeft naast de bescherming die Microsoft biedt.

Dit roept een aantal belangrijke vragen op, te beginnen met: Waarom? Maar ook: "Wat is gelaagde beveiliging precies?" en "Hoe kan die het best worden bereikt?"

Zoeken naar extra waarborgen

Een grote meerderheid (81%) van de 1.175 besluitvormers op het gebied van IT-beveiliging voor MS 365 die hebben deelgenomen aan het SOES-onderzoek van 2021, heeft grote waardering voor de beveiligingen die Microsoft in zijn Office-suite heeft ingebouwd. Toch is bijna drie op de vier (72%) het er ook mee eens dat er ruimte is voor verbetering. Dat kan deels komen doordat twee derde van deze respondenten (67%) zei dat hun organisatie in de afgelopen 12 maanden te maken had gehad met een MS 365 e-mailstoring, en bijna de helft (49%) de impact als matig tot ernstig bestempelde.

Maar het kan ook te maken hebben met het groeiende besef dat beveiligingsrisico's in verband met e-mail groter zijn dan ooit tevoren. Reisbeperkingen, thuiswerken en andere reacties op COVID-19 hebben bedrijven steeds afhankelijker gemaakt van e-mail. En volgens het SOES-onderzoek is het e-mailgebruik in 2020 bij meer dan acht op de tien bedrijven gestegen. Tegelijkertijd bleek uit het onderzoek ook dat e-mailbedreigingen met 64% zijn gestegen omdat cybercriminelen hebben geprobeerd te profiteren van de verwarring en ongerustheid rond de pandemie.

In reactie daarop is 55% van de leidinggevenden op het gebied van technologie en beveiliging van plan om dit jaar hun budget voor cyberbeveiliging te verhogen en hun fulltime cyberpersoneel uit te breiden, zo blijkt uit een recente PwC-enquête.[1] Het doel is om de cyberresilience van hun bedrijven te vergroten, zodat ze sneller kunnen reageren op een aanval of een aanval helemaal kunnen voorkomen. Dit is in overeenstemming met de SOES-studie, waaruit bleek dat bedrijven met een cyberweerbaarheidsstrategie veel meer vertrouwen hebben in hun vermogen om een e-mailaanval te weerstaan dan bedrijven zonder een dergelijke strategie. Dat brengt ons terug bij het begrip gelaagde beveiliging, ook wel defense-in-depth genoemd.

Wat is een diepgaande verdediging?

Defense-in-depth is een gelaagde aanpak van cyberresilience die, wanneer gebruikt in combinatie met de reeds robuuste native beveiligingscomponenten van MS 365, gaten kan dichten en kan helpen bij het compenseren van nalatigheid van eindgebruikers bij het zakendoen via e-mail.

Het bieden van een vangnet voor gebruikers is vooral in de huidige omgeving van cruciaal belang. Nu het aantal phishing-aanvallen sinds het begin van de pandemie met 63% is gestegen en werknemers meer zijn afgeleid door hun werk-thuis-omgeving, meldde bijna de helft (46%) van de respondenten van de SOES-enquête dat de gevolgen van een of andere misstap van de kant van de werknemer groter waren. Een verwante bevinding van het Mimecast Threat Center is dat werknemers wereldwijd drie keer zo vaak op schadelijke URL's in e-mails klikken als voor het begin van de pandemie.

Deze ontwikkelingen onderstrepen het belang van een defense-in-depth (DiD)-strategie, waarbij als één verdedigingslinie tekortschiet, een tweede of derde de boel kan redden. Door verschillende soorten verdediging van verschillende leveranciers te integreren, sluit het DiD-model beveiligingslekken waardoor een bedreiging zou kunnen aanvallen.

Enkele van de belangrijkere lagen van een DiD-strategie zijn:

• Netwerkbeveiligingscontroles op basis van verkeersanalyse. Regels die zijn afgeleid van deze analyse kunnen firewalls en systemen voor inbraakbeveiliging helpen bij het identificeren van potentiële bedreigingen en bepalen wanneer de toegang moet worden geblokkeerd.
• Anti-malware programma's die verder gaan dan detectie op basis van handtekeningen met heuristische functies die scannen op verdachte patronen en activiteiten.
• Gegevensintegriteitsanalyse Software die de controlesom van een bestand gebruikt om de bron en de gebruiksfrequentie te verifiëren. Inkomende bestanden met afwijkingen kunnen als verdacht worden gemarkeerd en hun bron-IP-adres kan worden gecontroleerd om er zeker van te zijn dat het bekend en vertrouwd is.
• Gedragsanalyse software is de riem van de DiD-bretels. Wanneer een firewall of inbraakbeveiligingsprogramma heeft gefaald, neemt gedragsanalyse het over door gedrag te signaleren dat niet overeenkomt met de norm. Indien dit het geval is, kan de toepassing een waarschuwing geven of automatische controles uitvoeren om een aan de gang zijnde inbreuk te stoppen.

Een ander voordeel van een DiD-strategie is dat het de mogelijkheden van kwaadwillenden ondermijnt om de tekortkomingen in het beveiligingsarsenaal van Microsoft aan te pakken. Om te weten te komen waar ze tegenaan lopen, abonneren cybercriminelen zich vaak zelf op MS 365 en voeren ze dry runs uit om de levensvatbaarheid van hun aanvallen te testen. Door een verscheidenheid aan verdedigingsmiddelen van derden in te zetten, wordt hen deze strategie ontnomen en worden ze gedwongen op onbekend terrein te opereren.

De kern van de zaak

Veel bedrijven vertrouwen op de beveiligingen van Microsoft 365 om hun e-mail veilig te houden. Maar uit de SOES-enquête blijkt dat bijna negen van de tien bedrijven vinden dat ze extra beschermingslagen nodig hebben. Het SOES-rapport maakt duidelijk dat een strategie voor cyberresilience die een bedrijf helpt zich aan te passen en te reageren op nieuwe bedreigingen, aanzienlijke dividenden oplevert. Bedrijven die gebruik maken van een gelaagde aanpak, zoals defense-in-depth, hebben meer vertrouwen in hun vermogen om een e-mailaanval te voorkomen en lopen minder kans om ernstige gevolgen te ondervinden als er toch een plaatsvindt.

[1] "2021 Global Digital Trust Insights," PwC