In november heb ik een aantal presentaties gegeven over de
voorbereiding op cyberaanvallen. Op zowel het Cybersecurity congres van
Heliview als het E-Crime congres vertelde ik over de wijze waarop organisaties
zich zouden moeten voorbereiden op cyberaanvallen. Een aantal van de kernpunten
in mijn betoog waren de volgende:
- Meer dan de helft van de organisaties hebben enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn. Het duurt dan vaak nog enkele weken voordat ze de boel opgeruimd hebben (Verizon).
- Advanced Persistent Threats zijn venijnige dingen. Ze blijven op geavanceerde wijze onder de radar (voor zover die aanwezig is in de organisatie). De malware draait al in de netwerken van organisaties in stealth mode.
- De kennis voor het detecteren en oplossen van cyberaanvallen is niet in voldoende mate op de arbeidsmarkt aanwezig. In de Verenigde Staten is NICE opgestart om 30.000 cyber security specialisten op te leiden. Verhoudsingsgewijs komen er de komende jaren in Nederland géén 1.500 cyber security specialisten van de hogescholen en universiteiten.
- Organisaties moeten een geavanceerd Cyber Defense Management System optuigen. Dit is een uitgebreid stelsel van maatregelen en services die gebaseerd zijn op security intelligence. Het systeem wordt gevoed vanuit verschillende feeds, waaronder bijvoorbeeld fraud feeds en geo-location feeds.
Je kunt je daarbij prima laten leiden door best practisces
als die van SANS Institute (Twenty Critical Security Controls for Effective Cyber Defense). Op basis van die best
practices kunnen bestaande security infrastructuren en het security management
stapsgewijs op een hoger plan gebracht worden.
Veel van de
organisaties waar ik over de vloer kom leunen nog op een perimeter-based
security infrastructuur. Security wordt behandeld als een
connectiviteitsvraagstuk. De beschikbaarheid en de performance van de firewall
worden geoptimaliseerd. Dit is in mijn ogen dé snelweg naar een enorme crash
waarbij vertrouwelijke personeelsgegevens, klantgegevens of patiëntendossiers
op straat komen te liggen.
Ik ben ervan
overtuigd dat meer security intelligence ingezet zal moeten worden om effectief
voorbereid te zijn op cyberaanvallen. Helaas moet ik ook constateren dat in de
basis nog veel zal moeten verbeteren voordat effectief gebruik gemaakt kan
worden van security intelligence.
Terug naar de basis
dus!
Die basis bestaat uit
de best practices zoals die in de SANS Critical Security Controls for Effective
Cyber Defense zijn
beschreven. Ze zijn ook gelinkt aan de Australische 35 Strategies to Mitigate Targeted Cyber Intrusions. Van deze 35
maatregelen hebben in het afgelopen jaar de eerste vier méér dan 85% van de
cyberaanvallen op Australische overheidsinstellingen tegengehouden. We spreken
hier over zaken als application whitelisting, patchen van
applicaties en OS en beperken van admin rechten
(local/domain).
Nu zullen de meeste security
professionals bezorgd zijn over de resterende 15%. Ikzelf maak me voor veel
organisaties zorgen over die 85%. In de kern zullen veel organisaties nog alle
zeilen moeten bijstellen om bovengenoemde basismaatregelen goed te realiseren. Vergaande
automatisering is trouwens een voorwaarde voor een verhoogd effect van bijvoorbeeld
de SANS best practices.
Goed voorbereid zijn voor cyberaanvallen lukt niet alleen door
stapsgewijs de basismaatregelen in te gaan regelen. Met de wetenschap dat
malware al in stealth mode in de
netwerken draait bestaat de voorbereiding op cyberaanvallen ook uit een goede
incident respons procedures. Wat ga je zeggen tegen de pers? Wie zijn de
aangewezen personen om de gedupeerden te woord te staan? Welke weg bewandel je
om dit soort bedrijfsrisico’s te managen?
Aan de huidige situatie rondom cyber security kleeft nu
eenmaal de vraag ‘wanneer je gehackt wordt’. De vraag ‘of …’ is een gepasseerd
station.
Ben je er snel genoeg bij? De tijd zal het leren.
Blijft het bij één keer? Wie zal het zeggen?
Maar in ogen van cyber criminelen zijn marketingplannen, pricingstrategieën, ontwerpplannen, klantgegevens en patiëntendossiers toch echt bijzonder aantrekkelijk.
Ben je er snel genoeg bij? De tijd zal het leren.
Blijft het bij één keer? Wie zal het zeggen?
Maar in ogen van cyber criminelen zijn marketingplannen, pricingstrategieën, ontwerpplannen, klantgegevens en patiëntendossiers toch echt bijzonder aantrekkelijk.
De eerste inbraak is al bezig. De tweede inbraak loert al om de hoek! Dus bereid je voor
en bouw je basis security infrastructuur uit!
Geen opmerkingen:
Een reactie posten