Terug naar de basis

In november heb ik een aantal presentaties gegeven over de voorbereiding op cyberaanvallen. Op zowel het Cybersecurity congres van Heliview als het E-Crime congres vertelde ik over de wijze waarop organisaties zich zouden moeten voorbereiden op cyberaanvallen. Een aantal van de kernpunten in mijn betoog waren de volgende:

• Meer dan de helft van de organisaties hebben enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn. Het duurt dan vaak nog enkele weken voordat ze de boel opgeruimd hebben (Verizon).
• Advanced Persistent Threats zijn venijnige dingen. Ze blijven op geavanceerde wijze onder de radar (voor zover die aanwezig is in de organisatie). De malware draait al in de netwerken van organisaties in stealth mode.
• De kennis voor het detecteren en oplossen van cyberaanvallen is niet in voldoende mate op de arbeidsmarkt aanwezig. In de Verenigde Staten is NICE opgestart om 30.000 cyber security specialisten op te leiden. Verhoudsingsgewijs komen er de komende jaren in Nederland géén 1.500 cyber security specialisten van de hogescholen en universiteiten.
• Organisaties moeten een geavanceerd Cyber Defense Management System optuigen. Dit is een uitgebreid stelsel van maatregelen en services die gebaseerd zijn op security intelligence. Het systeem wordt gevoed vanuit verschillende feeds, waaronder bijvoorbeeld fraud feeds en geo-location feeds.

Organisaties beschikken gewoonweg niet over de kwaliteiten, de kennis en de ervaring om zich effectief te prepareren op cyberaanvallen. En daar waar ze willen investeren in kennis en/of ervaring is het aanbod de komende jaren minimaal. De keuze om eens met je security partner te gaan praten is in mijn ogen zo gek nog niet. De vraag is echter wat je verwacht van jouw security partner?

Je kunt je daarbij prima laten leiden door best practisces als die van SANS Institute (Twenty Critical Security Controls for Effective Cyber Defense). Op basis van die best practices kunnen bestaande security infrastructuren en het security management stapsgewijs op een hoger plan gebracht worden.

Veel van de organisaties waar ik over de vloer kom leunen nog op een perimeter-based security infrastructuur. Security wordt behandeld als een connectiviteitsvraagstuk. De beschikbaarheid en de performance van de firewall worden geoptimaliseerd. Dit is in mijn ogen dé snelweg naar een enorme crash waarbij vertrouwelijke personeelsgegevens, klantgegevens of patiëntendossiers op straat komen te liggen.

Ik ben ervan overtuigd dat meer security intelligence ingezet zal moeten worden om effectief voorbereid te zijn op cyberaanvallen. Helaas moet ik ook constateren dat in de basis nog veel zal moeten verbeteren voordat effectief gebruik gemaakt kan worden van security intelligence.

Terug naar de basis dus!      

Die basis bestaat uit de best practices zoals die in de SANS Critical Security Controls for Effective Cyber Defense zijn beschreven. Ze zijn ook gelinkt aan de Australische 35 Strategies to Mitigate Targeted Cyber Intrusions. Van deze 35 maatregelen hebben in het afgelopen jaar de eerste vier méér dan 85% van de cyberaanvallen op Australische overheidsinstellingen tegengehouden. We spreken hier over zaken als application whitelisting, patchen van applicaties en OS en beperken van admin rechten (local/domain).  

Nu zullen de meeste security professionals bezorgd zijn over de resterende 15%. Ikzelf maak me voor veel organisaties zorgen over die 85%. In de kern zullen veel organisaties nog alle zeilen moeten bijstellen om bovengenoemde basismaatregelen goed te realiseren. Vergaande automatisering is trouwens een voorwaarde voor een verhoogd effect van bijvoorbeeld de SANS best practices.

Goed voorbereid zijn voor cyberaanvallen lukt niet alleen door stapsgewijs de basismaatregelen in te gaan regelen. Met de wetenschap dat malware al in stealth mode in de netwerken draait bestaat de voorbereiding op cyberaanvallen ook uit een goede incident respons procedures. Wat ga je zeggen tegen de pers? Wie zijn de aangewezen personen om de gedupeerden te woord te staan? Welke weg bewandel je om dit soort bedrijfsrisico’s te managen?

Aan de huidige situatie rondom cyber security kleeft nu eenmaal de vraag ‘wanneer je gehackt wordt’. De vraag ‘of …’ is een gepasseerd station. 

Ben je er snel genoeg bij? De tijd zal het leren. 

Blijft het bij één keer? Wie zal het zeggen?

Maar in ogen van cyber criminelen zijn marketingplannen, pricingstrategieën, ontwerpplannen, klantgegevens en patiëntendossiers toch echt bijzonder aantrekkelijk.

De eerste inbraak is al bezig. De tweede inbraak loert al om de hoek! Dus bereid je voor en bouw je basis security infrastructuur uit!