Voorkomen van gegevensverlies door gemengde bedreigingen
Gemengde bedreigingen vormen een groeiende uitdaging op het gebied van cyberbeveiliging voor bedrijven van elke omvang. Het voorkomen van gegevensverlies door gemengde bedreigingen is mogelijk, maar moeilijk.
Hoofdpunten
- Gemengde bedreigingen vallen organisaties via vele kanalen tegelijk aan, of het nu gaat om het infiltreren van het bedrijf of het exfiltreren van waardevolle gegevens.
- Het aantal en de complexiteit van gemengde dreigingsaanvallen neemt toe.
- Verdediging vereist meerdere beveiligingscontroles die inkomende en uitgaande kanalen controleren - en die goed geïntegreerd zijn.
- Cloudbeveiligingsproviders kunnen een verdediging tegen gemengde bedreigingen ondersteunen omdat ze steeds meer beveiligingscontroles bieden en deze effectief integreren.
Gemengde bedreigingen zijn geen nieuws voor cyberbeveiligers. Maar wat u misschien zal verbazen, is de recente dramatische toename in de diepte en breedte van "de blends" - een grote toename in de geavanceerdheid van blended aanvallen. De gelijktijdige toename van het aantal blended bedreigingen en de verfijning ervan in het afgelopen jaar vormen een bijzonder vervelende uitdaging voor de inspanningen van ondernemingen om het verlies van gevoelige gegevens te voorkomen.
Het stelen van gevoelige gegevens zoals wachtwoorden, persoonlijke identificatiegegevens, gezondheidsgegevens, creditcardnummers van klanten en intellectuele eigendom/handelsgeheimen is slechts één mogelijk cyberrisico van blended bedreigingen. Blended threats kunnen ook leiden tot ransomware-aanvallen, denial of service-aanvallen, account takeovers en heimelijke bewaking van uw bedrijfsnetwerk.
Maar gegevensverlies is om twee redenen een bijzonder lastige gemengde bedreiging om te voorkomen. Ten eerste vereist het voorkomen van gegevensverlies door gemengde bedreigingen, vanwege de complexiteit ervan, naadloze integratie van van oudsher ongelijksoortige beveiligingsmaatregelen. Ten tweede is er een soort glijdende schaal tussen beveiliging en bedrijfsefficiëntie: Te veel van het eerste kan ten koste gaan van het tweede - en dit geldt met name als het gaat om voorkoming van gegevensverlies.
Wat zijn gemengde bedreigingen?
Gemengde bedreigingen zijn eenvoudigweg meervoudige aanvallen waarbij gebruik wordt gemaakt van twee of meer verschillende digitale communicatiekanalen om het doel van de aanvaller te bereiken. Blended bedreigingen zijn in opkomst omdat ze veel moeilijker op te sporen zijn dan een conventionele aanval en omdat cybercriminelen door het toegenomen bewustzijn van cyberbedreigingen in het algemeen gedwongen worden hun spel te verbeteren. Tegelijkertijd heeft de toenemende "digitale transformatie" van alle aspecten van moderne bedrijven slechte actoren meer "prongs" - oftewel aanvalsvectoren - gegeven om mee te werken, en de opkomst van sociale media heeft hen toegang gegeven tot meer informatie waarmee ze een realistische truc kunnen formuleren om een aanval te voeden.
Bij gemengde aanvallen kan een mix van virussen, wormen, trojaanse paarden en andere soorten schadelijke code worden gebruikt. Maar de gevaarlijkste gemengde bedreigingen beginnen meestal met het gebruik van sociale media om een realistische phishing-e-mail te "social engineeren", die na aanklikken malware ontplooit of de gebruiker naar een website brengt in de hoop referenties of andere waardevolle informatie te verzamelen.
In oktober 2020 ontdekte het Mimecast Threat Intelligence Center een grote piek in blended aanvallen van wel 10 miljoen per dag, waaronder een stijging van 35,6% in via e-mail verzonden malware, een sprong van 55,8% in schadelijke URL's die in e-mails zijn ingesloten en een sprong van 30,3% in pogingen om zich via e-mail voor te doen. Gezien de trend in 2020 zullen deze aantallen waarschijnlijk nog stijgen.
Hoe gegevensverlies door gemengde bedreigingen te voorkomen
Cyberbeveiligingsprofessionals kunnen gegevensverlies door gemengde bedreigingen voorkomen, maar het vergt detailgericht hard werken en voortdurende waakzaamheid.
"Idealiter wil je de inkomende e-mails tegenhouden die de would-be lanceerplatforms zijn voor vrijwel alle blended aanvallen," merkt beveiligingsexpert Matthew Gardiner op. Als u dergelijke schadelijke e-mails identificeert en blokkeert, stopt u blended bedreigingen in de kou. Maar deskundigen zijn het erover eens dat, omdat bedreigers zich voortdurend ontwikkelen, nieuwe aanvalsstrategieën en -tactieken uitproberen en hun aanvallen steeds geraffineerder maken, een bepaald percentage slechte e-mails er toch doorheen zal komen, hoe goed uw beveiliging van inkomende e-mail ook is.
Daarom moeten bedrijven die het voorkomen van gegevensverlies serieus nemen, ook de uitgaande communicatiekanalen in de gaten houden. Op een hoog niveau zijn er twee kanalen waarlangs cybercriminelen gegevens van een bedrijf kunnen exfiltreren: e-mail en het web - maar "het web" omvat een veelheid aan mogelijke kanalen. Hieronder vallen phishingsites die zich voordoen als legitieme bedrijven, uploads naar externe sites voor het delen van bestanden (slechte actoren zullen proberen dezelfde site te gebruiken die een bedrijf legitiem gebruikt), uploads en posts in de sociale media, FTP-sites en nog veel meer. Het bewaken van al deze uitgaande kanalen is een grote uitdaging, maar wel haalbaar.
E-mailbeveiligingssystemen kunnen bijvoorbeeld uitgaande inhoud inspecteren op gevoelige gegevens en e-mails blokkeren die verdacht lijken. Uitgaand webverkeer kan op vergelijkbare wijze worden geïnspecteerd, op een van beide of beide manieren: de inhoud van de uitgaande gegevens zelf, of de aard van de bestemming. Het is gemakkelijker om te analyseren of de externe bestemming van uitgaande communicatie verdacht/malleidend is, maar het is minder zeker dat u alle pogingen tot exfiltratie zult opmerken. Het analyseren van de werkelijke inhoud van het netwerkverkeer kost veel meer middelen, maar er worden meer bedreigingen ontdekt.
Om de gouden standaard in gegevensverliespreventie te bereiken, moeten bedrijven al het bovenstaande doen: Sterke e-mailbeveiligingsgateways installeren, de inhoud van uitgaande e-mails inspecteren, de doelbestemmingen voor al het uitgaande webverkeer analyseren en de inhoud van het uitgaande verkeer in alle kanalen inspecteren. Experts noemen deze aanpak "gelaagde verdediging" of "verdediging-in-diepte".
Bescherming tegen gemengde bedreigingen vraagt om geïntegreerde beveiligingscontroles
Wat de uitdaging voor cyberbeveiligers nog groter maakt, is de geschiedenis van de beveiligingstechnologie. "Om al die blended threat vectoren te verdedigen, was van oudsher gespecialiseerde technologie voor elk nodig," legt Gardiner uit. "En dan moet je ze ook nog allemaal op zo'n manier geïntegreerd hebben dat je vaker wel dan niet correct op de hoogte wordt gebracht als er iets geks gebeurt."
Maar het integreren van meerdere best-of-breed beveiligingscontroles blijft een van de grootste uitdagingen voor cyberbeveiligingsteams. Pas in de afgelopen jaren zijn er open API's gekomen voor integratie van ongelijksoortige SIEM's, SOAR's en afzonderlijke beveiligingscontroles. En alleen de grootste ondernemingen gebruiken deze open API's zelf; de rest heeft behoefte aan door de leverancier geleverde kant-en-klare integraties, die nu pas algemeen beschikbaar worden. Mimecast, bijvoorbeeld, kondigde onlangs integratie aan met eindpuntbeveiligingsbedrijf CrowdStrike. Het produceren van voldoende kant-en-klare integraties om het cyberbeveiligingslandschap te bestrijken is een omvangrijke en eindeloze klus, aangezien leveranciers van beveiligingscontroles net zo snel willen evolueren als hun vijanden van bedreigingsactoren.
"Zonder echt goede integratie tussen al uw beveiligingsdiensten kunt u deze hybride of blended aanvallen missen. Wanneer blended threat-actoren uw gegevens in veel kanalen achtervolgen, kunt u ze in een of meer kanalen tegenhouden, maar als uw beveiligingscontroles niet goed geïntegreerd zijn, kunt u ze in een ander kanaal missen", zegt Gardiner. "Ze hoeven maar door één kanaal heen te komen."
Cloudbeveiliging kan verdediging tegen gemengde bedreigingen versterken
De trend naar cloudgebaseerde beveiliging brengt goed nieuws voor het voorkomen van gegevensverlies door blended bedreigingen, vooral wat betreft de integratie van beveiliging. De evolutie van beveiligingscontroles in de cloud, het toenemende aantal controles binnen één clouddienst, de integratie van die beveiligingscontroles binnen een bepaalde clouddienst en de integratie van ongelijksoortige clouddiensten onderling maken geavanceerde detectie- en preventiesystemen voor meer organisaties toegankelijk.
"Nu meer beveiligingscontroles als dienst worden aangeboden, ontstaan er mini-cloudbeveiligingsplatforms. Als dat nu nog niet kan, moet je binnenkort een soort defense-in-depth kunnen kopen bij een enkele cloudbeveiligingsdienst", zegt Gardiner.
Deze trend in cloudbeveiliging wordt gevoed door twee grote voordelen die cloudaanbieders hebben ten opzichte van bedrijven die het zelf doen: schaalvoordelen en toepassingsvoordelen. Het eerste is de bekende cloud-trofee dat elke clouddienst kosteneffectiever zou moeten zijn dan doe-het-zelf, omdat de cloudprovider zijn oplossing één keer ontwerpt en bouwt en vervolgens zijn investering kan afschrijven op een groot aantal klanten. De toepassingsvoordelen komen omdat beveiliging de kernactiviteit is van leveranciers van cloudbeveiliging. Dat betekent dat zij investeringen in fundamenteel onderzoek en ontwikkeling kunnen rechtvaardigen die leiden tot betere beveiligingsoplossingen, terwijl een onderneming met een andere kernactiviteit die haar eigen beveiliging doet, dat niet kan.
Het vinden van een evenwicht tussen veiligheid en zakendoen
Om exfiltratie van gegevens door blended aanvallen daadwerkelijk te voorkomen, moeten cyberbeveiligingsteams natuurlijk actie ondernemen wanneer beveiligingscontroles een verdachte gegevensoverdracht identificeren. Dat betekent dat ze in de weg moeten lopen en de overdracht moeten tegenhouden. Daarmee stuit u op een eeuwige doorn in het oog van cyberbeveiligingsteams: vals-positieven.
Als u de beveiligingseisen te streng instelt, loopt u het risico dat u de activiteiten van uw bedrijf in de weg staat. Stel ze te ruim en u stelt uw organisatie bloot aan gevaarlijk gegevensverlies. Het vinden van de juiste balans vereist een diepgaand inzicht in het bedreigingslandschap en de risicotolerantie van uw organisatie, die enorm kunnen verschillen afhankelijk van de branche waarin u actief bent en hoe deze is gereguleerd. Bedrijven in de gezondheidszorg en banken moeten aan een andere norm voldoen dan restaurantketens en slijterijen.
De kern van de zaak
Het aantal gemengde bedreigingen neemt toe, evenals de mate van geavanceerdheid. De verdediging tegen deze aanvallen is bijzonder lastig omdat ze veel verschillende bedreigingsvectoren kunnen gebruiken om uw bedrijfsnetwerk binnen te dringen. En als het gaat om voorkoming van gegevensverlies, kunnen ze veel verschillende kanalen gebruiken om gegevens naar buiten te krijgen - soms tegelijkertijd. Voor een effectieve verdediging tegen gemengde bedreigingen zijn veel verschillende beveiligingsmaatregelen nodig, die allemaal goed moeten worden geïntegreerd. De opkomst van cloudbeveiligingsproviders helpt meer bedrijven zich tegen gemengde bedreigingen te verdedigen door de toegang te democratiseren tot de meer geavanceerde - en beter geïntegreerde - verdedigingsmaatregelen die nodig zijn.
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!