Waarom cyberbeveiliging nooit lijkt te verbeteren, en wat u eraan kunt doen

Waarom lijkt het erop dat het beveiligingsvak zich voortdurend in een snel tempo ontwikkelt, terwijl het in het beste geval op zijn plaats blijft of achterop raakt als het gaat om bescherming tegen bedreigingen? Het zien van de massale en voortdurende stroom van bekendgemaakte bedreigingen, kwetsbaarheden en inbreuken doet het lijken alsof de dingen sneller slechter worden dan ze beter worden. Het lijkt erop dat we gevangen zitten in een beveiligingsversie van Groundhog Day of erger nog, een verbijsterende aflevering van Black Mirror!

Maar als dat waar is - en ik denk dat dat zo is - waarom is dat dan? Laten we het niet onbelangrijke feit buiten beschouwing laten dat aanvallers zich blijven ontwikkelen en steeds doelgerichter en geraffineerder worden. Eerlijk gezegd is er niet veel dat u kunt doen om het aanbod, de risicoberekening en de focus van wereldwijde cybercriminelen rechtstreeks te beïnvloeden, tenzij u een insigne draagt. Als typische IT- en beveiligingsprofessional is uw rol in de eerste plaats defensief, niet offensief. Maar waarom is verdedigen zo uitdagend? Ik zal een aantal van de belangrijkste redenen op een rijtje zetten.

De technologie, gegevens en toepassingen die wij verdedigen, zijn voortdurend in ontwikkeling en in beweging

De meeste, of in ieder geval veel organisaties, zijn bezaaid met een voortdurend groeiende voetafdruk van on-premises en cloud-gebaseerde applicaties en infrastructuur. En veel van de on-premisesystemen worden niet consistent beheerd, gepatcht, geüpgraded of zelfs maar gekend! En natuurlijk is de cloud er en komt deze er snel aan, versneld door de Covid-gerelateerde stormloop van de afgelopen paar maanden. En om daar nog een toegangsvector aan toe te voegen: de golf van op internet aangesloten IoT-computers overspoelt veel organisaties. Veel succes bij de verdediging hiervan!

Moet u uw gebruikers en netwerkverkeer via uw VPN laten lopen om de veiligheid af te dwingen en te bewaken door het verkeer via uw on-premisesystemen te laten lopen? Oeps, u hebt uw VPN- en netwerkcapaciteit opgeblazen met de overstap naar massaal thuiswerken! En hoe zit het met uw diensten buiten het netwerk - cloud-gebaseerd? Verander uw beveiligingscontroles om ook cloud-gebaseerd te zijn! Goed idee, maar hoe zit het met de controle en zichtbaarheid van wat er on-premise of in die cloudbeveiligingsdiensten gebeurt? Zijn deze beveiligingssystemen geïntegreerd of op zijn minst integreerbaar via een open API? Zo niet, dan is de overstap naar cloudgebaseerde beveiligingscontroles één stap voorwaarts en één stap achterwaarts!

Beveiligingssystemen en -processen zijn te manueel

Beveiligingsexperts zijn duur en schaars; zij zijn tenslotte waar het bij de kloof in beveiligingsvaardigheden om draait. In de meeste sectoren waar menselijke hulpbronnen duur en schaars zijn, is meer automatisering vaak de reactie. Elke functie die repetitief is en niet veel unieke probleemoplossing vereist, leidt logischerwijs tot automatisering. Meer automatisering is zeker op komst in de beveiliging - kijk maar naar de opkomst van SOAR tools. Maar ik zou automatisering van beveiliging niet eens typeren als in de eerste inning van vooruitgang - meer als nauwelijks in de lentetraining. Zonder effectieve automatisering worden beveiligingsteams geconfronteerd met de slechte keuze tussen het beperken van waarschuwingen en onderzoeken en het missen van indicatoren van compromittering. Geen ideale afweging.

Werknemers die bijdragen aan social engineering en het ontdekken van bedrijfsprocessen door cybercriminelen

In de Tweede Wereldoorlog werden affiches met de tekst "loose lips sink ships" populair om duidelijk te maken dat het delen van gevoelige informatie over toekomstige troepen- en scheepsbewegingen riskant was. Voor doelgerichte en oplettende tegenstanders kunnen stukjes schijnbaar willekeurige informatie aan elkaar worden geregen om een uitgebreid beeld te krijgen van de systemen, processen en mensen die deel uitmaken van een beoogde organisatie. Het volstaat te zeggen dat er met LinkedIn, Twitter, Facebook, Reddit, Instagram en vele andere publieke sociale mediasites veel "losse lippen" zijn waaruit waardevolle inzichten kunnen worden geput, evenals mensen binnen de organisatie met wie contact kan worden gelegd. Er wordt te veel en te vaak gedeeld, waardoor het voor een beveiligingsprofessional exponentieel moeilijker wordt om controle uit te oefenen op het delen van informatie die kan bijdragen tot het zinken van hun "schip".

Het wijd open internet, rijp voor domein spoofing

Het internet en het web werden ontworpen om gedecentraliseerd te zijn en onder de controle van geen enkele persoon of organisatie te staan - een open netwerk met zeer weinig regels van de weg. Daar moeten we erg dankbaar voor zijn, want het heeft een centrale rol gespeeld in de dynamische groei. Maar het is ook duidelijk dat deze openheid rechtstreeks bijdraagt tot de uitdagingen in verband met de beveiliging van de handel en de communicatie die erover gaan. Terwijl niemand weet of u een hond bent op het internet, is het evenzo moeilijk te zeggen of u de persoon of organisatie bent die u beweert te zijn. Heeft u toestemming om e-mail te versturen vanaf dat domein? Heeft u een vergunning om een website op te zetten die beweert en lijkt te worden geleverd door een bepaald merk of een bepaalde entiteit? Wie weet het? Het is echt oppassen geblazen voor de browser (of e-mailontvanger)! Het beveiligen van het web is een beetje als sheriff zijn in een stad met miljarden mensen en weinig of geen wetten.

Beperkte uitwisseling van dreigingsinformatie

Ik wil niet te veel uitweiden over oorlogsanalogieën, maar het is niet meer dan logisch dat de good guys - de bondgenoten - inlichtingen delen om een gemeenschappelijke vijand te verslaan. Maar is er een gemeenschappelijke vijand? Niet 100%, maar dicht genoeg. Delen de goede veiligheidsmensen informatie over bedreigingen? Ja, absoluut. Genoeg en op een manier die voor de meeste organisaties zowel snel als bruikbaar is? Niet zo veel.

We komen er als industrie, maar we hebben nog een lange weg te gaan. Idealiter zouden, zodra een whitehat een nieuwe kwetsbaarheid, exploit, of kwaadaardige domeinen, IP's, of websites ontdekt, alle beveiligingsleveranciers, systemen, en enterprise verdedigers onmiddellijk op de hoogte zijn! Dit is nog lang geen realiteit, maar er lijkt een licht aan het eind van de tunnel te zijn.

Hoewel er zeker andere factoren zijn die bijdragen tot het gebrek aan vooruitgang op het gebied van veiligheid op macroniveau, hoop ik dat u het ermee eens bent dat de vijf hierboven besproken uitdagingen een belangrijke bijdrage leveren die moet worden aangepakt. Als beveiligingsprofessionals kunnen we het morgen alleen maar beter doen.

Gelukkig komen al deze beveiligingsonderwerpen en nog veel meer uitgebreid aan bod in de Advanced Security-track op Mimecasts komende virtuele Cyber Resilience Summit op 23 juni & 24 (24 & 25 in Australië & Nieuw-Zeeland). Dit evenement is gratis bij te wonen en is 100% virtueel. Kom en discussieer mee over deze en andere belangrijke beveiligingsuitdagingen.