Het delen van informatie over bedreigingen tussen de allerbeste beveiligingstools

U hebt een krachtige reeks hoogwaardige cyberbeveiligingstools van meerdere leveranciers samengesteld, waaronder de allerbeste firewall, e-mailgateway en webcontroles. Maar als deze geen informatie over bedreigingen delen, kunt u nog steeds kwetsbaar zijn.

Dat komt omdat aanvallers gecoördineerde aanvallen uitvoeren via meerdere kanalen. Wanneer elk van uw verdedigingsmiddelen op zichzelf staat, kan het onwetend zijn van de bedreigingen die al via een ander kanaal zijn gedetecteerd.

Het is alsof een groep machtige krijgers het hoofdkwartier van uw compagnie bewaakt, maar zij spreken niet met elkaar. Dus terwijl de ene krijger dapper de aanvallers afslaat, zijn zijn even dappere kameraden zich totaal niet bewust van de dreiging - die op het punt staat ook hen aan te vallen.

In cyberbeveiliging is dat vaak het geval geweest. Maar nu is er een groeiende trend om deze best-of-breed tools met elkaar te laten praten, door gebruik te maken van Application Programming Interfaces (API's) om informatie over bedreigingen te delen. "Door informatie over bedreigingen te delen, kunnen gebruikers zichzelf beter beschermen via een geïntegreerde beveiligingsarchitectuur," zegt Jules Martin, VP business development van Mimecast. "En dat zorgt voor een dieper detectieniveau door meerdere toegangspunten te bestrijken. Het zorgt ervoor dat het bedrijf niet wordt blootgesteld."

Het delen van informatie over bedreigingen tussen beveiligingstools verbetert ook de Mean Time To Response (MTTR) op aanvallen. "U kunt sneller en beter detecteren, beschermen en reageren. Dat is wat een geïntegreerde architectuur kan opleveren, aldus" Martin.

Aanvallers hoeven maar één kwetsbaarheid te vinden

Dankzij API's kunnen ongelijksoortige, hoogwaardige beveiligingstools informatie over bedreigingen en indicatoren voor compromittering (IoC) met elkaar delen als een gebundelde suite. Dat is van vitaal belang omdat aanvallers vaak meerdere tactieken gebruiken om een organisatie binnen te dringen. Ze kunnen beginnen met een "man-in-the-middle-aanval." Een aanvaller kan bijvoorbeeld een nep-internetwinkel opzetten en een gerichte phishing-e-mail gebruiken om een gebruiker te lokken zijn aanmeldgegevens in die winkel in te voeren. Van daaruit gebruikt de aanvaller deze gestolen gegevens om in uw netwerk in te breken. De aanvaller kan ook geïnfecteerde e-mailbijlagen verzenden, of e-mailkoppelingen waarmee een keylogger en spyware kunnen worden gedownload. Hij kan zelfs proberen gebruikers te verleiden om een geïnfecteerd USB-opslagapparaat op hun pc aan te sluiten.

Een aanvaller heeft maar een van die methodes nodig om te slagen. " Ze zijn er niet op uit om de muren van het fort af te breken. Ze zijn gewoon op zoek naar een open raam," zegt Martin.

Om bescherming tegen al deze aanvallen te kunnen bieden, moeten meerdere beveiligingshulpmiddelen informatie over bedreigingen delen om alle potentiële toegangspunten te beschermen, met inbegrip van e-mail, internet en USB-opslagapparaten. Ze moeten informatie over bedreigingen bilateraal uitwisselen, zodat de informatie wordt gedeeld door alle beveiligingstools van de organisatie.

De geïntegreerde aanpak is gewoon logisch, zegt Martin. De meeste bedreigingen komen binnen via e-mail of het web, de twee belangrijkste kanalen voor bedrijfscommunicatie. "Als je een bedreiging bij de gateway ziet, waarom zou je dan geen informatie over die bedreiging door de hele keten willen verspreiden?"

Idealiter zouden alle beveiligingstools in de organisatie moeten worden gewaarschuwd wanneer zich via welk kanaal dan ook een bedreiging voordoet. Enkele van de belangrijkste producten waarvoor geïntegreerde informatie over bedreigingen via API's nodig is, zijn de Security Incident Event Monitor (SIEM), die beveiligingsincidenten in het netwerk in de gaten houdt; het Security Orchestration and Response-systeem (SOAR), dat actie onderneemt naar aanleiding van gedetecteerde beveiligingsincidenten; en endpointbeveiligingsservices die laptops en andere apparaten aan de rand van het netwerk in de gaten houden.

Bovendien moeten zelfs bepaalde diensten die gewoonlijk niet als onderdeel van de beveiligingssuite worden beschouwd, verbinding maken met API's voor bedreigingsinformatie. Daartoe behoren IT Service Management (ITSM)-systemen, die de tickets openen die nodig zijn voor het wijzigen van netwerk- en systeemconfiguratie, die vaak nodig zijn om de aanval te verhelpen.

Gedeelde dreigingsinformatie maakt snel werk

De geïntegreerde aanpak van dreigingsinformatie wint aan populariteit, vooral in de VS. Andere landen, waaronder het Verenigd Koninkrijk, Europa, Australië en Zuid-Afrika, zien de noodzaak ook in. "De rest van de wereld wordt wakker geschud door deze geïntegreerde aanpak, aldus" Martin.

Naast het verbeteren van het vermogen van organisaties om aanvallen te voorkomen en erop te reageren, kan het delen van informatie over bedreigingen met behulp van API's ook het administratieve werk voor cyberbeveiligingsteams stroomlijnen. "Er is een enorm tekort aan vaardigheden op de markt, en gedeelde informatie over bedreigingen helpt het tekort aan vaardigheden aan te pakken door minder tijd aan administratie te besteden, aldus" Martin. Sommige bedrijven jongleren bijvoorbeeld met wel 75 verschillende consoles om in te loggen en verschillende beveiligingsplatforms te beheren. "Organisaties kijken geïsoleerd naar oplossingen en zeggen: 'Dit is echt tijdrovend. Dit is erg zwaar vanuit een administratief perspectief."

"Het bedrijf wordt beter beschermd door een geïntegreerde aanpak," aldus Martin. "U kunt veel van deze repetitieve taken automatiseren. En je kunt de hoeveelheid administratieve tijd verminderen door automatisering en het delen van bedreigingen."

Om dit soort coördinatie van informatie over bedreigingen mogelijk te maken, moeten leveranciers een reeks API's voor interfacing met verschillende beveiligingstools aanbieden. De API's moeten open zijn, zodat softwareontwikkelaars aanvullende beveiligingstools kunnen bouwen door eenvoudigweg openbare, op het web beschikbare API's te implementeren.

Organisaties van elke omvang zouden hun leveranciers moeten vragen naar hun API-strategie om integratie met andere tools mogelijk te maken. Kleine bedrijven, die over het algemeen kleinere beveiligingsteams hebben, zullen over het algemeen op zoek gaan naar kant-en-klare integraties voor het delen van informatie over bedreigingen. Grote ondernemingen, die hun eigen deskundige beveiligingsteams in huis hebben, zullen beginnen met kant-en-klare oplossingen en deze uitgebreid aanpassen aan hun eigen specifieke behoeften, aldus Martin.

De kern van de zaak

Cyberaanvallers voeren gecoördineerde, georganiseerde aanvallen uit via meerdere kanalen. Om deze aanvallen te voorkomen, te detecteren en erop te reageren, moeten beveiligingstools ook samenwerken. Door informatie over bedreigingen met behulp van open API's te delen, kunnen beveiligingsproducten een gecoördineerde verdediging opzetten, geautomatiseerde processen mogelijk maken en ondernemingen helpen het tekort aan beveiligingsvaardigheden te overwinnen.