Proactief zijn gaat niet vanzelf. Iedereen herkent het wel: je koopt een alarmsysteem nadat er is ingebroken, je gaat hardlopen nadat je 10 kilo of meer te zwaar bent. De overgrote meerderheid van beveiligingsstrategieën werkt net zo en zijn reactief van aard. Dat is een probleem, want (volgens het ‘2016 DBIR report’ van Verizon) blijkt dat de meeste datalekken (ruim 80%) in een paar minuten plaatsvinden. Oftewel, zodra het lek is gesignaleerd, ben je alweer te laat.
Verschillende informatie
Netwerken moeten tegenwoordig ruimte bieden voor steeds meer mobiele devices, gevirtualiseerde netwerkvoorzieningen en IoT-apparatuur. En nu eindgebruikers zowel werk- als privétaken uitvoeren op uiteenlopende apparaten, verloopt er ook meer dataverkeer van sociale netwerken en online transacties via onze netwerken. Beveiligingsprofessionals krijgen enorm veel én verschillende informatie te werken. Ze maken steeds vaker gebruik van contextuele informatie om alle data te filteren op cruciale input voor het beveiligen van hun netwerk. Hierbij stellen ze vragen als wie, wat, wanneer, waar en hoe. En belangrijker nog: waarom. Dit maakt het mogelijk om een antwoord te geven op de volgende vragen:
- Waar komt deze data vandaan?
- Wat is de bestemming van deze data?
- Wie is de eigenaar van dit apparaat?
- Welke beleidsregels moeten worden toegepast op het inkomende en uitgaande verkeer van deze server?
- Is deze verbinding van binnen of buiten het bedrijfsnetwerk afkomstig?
- Waarom komt dit verzoek steeds opnieuw om drie uur ’s middags of drie uur ’s ochtends binnen?
Contextuele informatie
Er zijn verschillende voordelen verbonden aan het gebruik van contextuele informatie voor het detecteren of stopzetten van bedreigingen. Ten eerste kan contextuele informatie je helpen met het uitfilteren van alle ‘ruis’ die in grote gegevensvolumes aanwezig is. Veel van de data die het netwerk binnenkomen of doorkruisen zijn niet relevant voor de beveiliging. Veel geavanceerde bedreigingen proberen zich echter binnen deze ruis te verbergen en voor legitiem dataverkeer door te gaan. Contextuele informatie kan daarnaast helpen met het detecteren van onregelmatigheden, zoals apparaten die onverwachts bestanden beginnen te verzamelen of het netwerk gaan scannen. Als een digitale camera plotseling informatie opvraagt of ontvangt in plaats van louter beelden over te dragen, kan je ervan op aan dat je een probleem hebt.
Prioriteit
Door op deze manier te zorgen voor een betere verhouding tussen waarschuwingssignalen en ruis kan je de beveiligingsactiviteiten effectiever op prioriteit indelen en de impact van cyberbedreigingen minimaliseren. Als je bijvoorbeeld een bedreiging detecteert die het op een niet-bedrijfskritisch systeem heeft gemunt, moet je deze natuurlijk in de gaten blijven houden. Je kan deze bedreiging echter een lagere prioriteit toekennen, zeker als een andere bedreiging het op een belangrijker bedrijfssysteem heeft voorzien.
Het doel is om de risico’s voor de organisatie terug te dringen door datalekken te voorkomen. Of door de impact van incidenten te beperken door middel van vroegtijdige detectie. Dit kan het verschil maken tussen het verliezen van een paar honderd of een miljoen gegevensbestanden.
Doelwit voorspellen
Zodra je bedreigingspatronen ontwaart, zet je contextuele informatie in om het gedrag van de bedreigingen te voorspellen. Zo kan je bijvoorbeeld de bron van een bepaalde bedreiging achterhalen. Of vaststellen welk bedrijfssysteem het meest waarschijnlijke doelwit vormt. Simpel gezegd: als je twee jaar lang elke laatste donderdag van de maand een waarschuwing ontvangt dat een bepaalde entiteit het op je e-mailserver of SQL-database heeft voorzien, dan kan je er donder op zeggen dat dit ook op de laatste donderdag van de maand het geval zal zijn.
Accuraat detecteren
Waarom blijft men dit soort zaken over het hoofd zien? Er zijn drie redenen waarom organisaties die wel de nodige beveiligingsmaatregelen hebben getroffen, niet in staat zijn om bedreigingen accuraat te detecteren of anticiperen:
- Ze beschikken niet over mogelijkheden voor het verwerken van bedreigingsinformatie. Voor een effectief gebruik van contextuele informatie is het nodig om mensen, processen en technologie samen te brengen. Dit maakt het mogelijk om alle ruis uit te filteren en aanvalspatronen bloot te leggen.
- Medewerkers die over bedreigingsinformatie beschikken, zetten die vaak op een verkeerde manier in. Ze hanteren niet de juiste prioriteiten, of hun focus is te beperkt. Zo is het mogelijk dat ze al hun tijd en middelen wijten aan het beschermen van de netwerkrand, maar het interne netwerkverkeer niet of nauwelijks bewaken.
- Te veel organisaties doen simpelweg niet wat ze zouden moeten doen. Daar zijn tal van redenen voor. Zo is het mogelijk dat een beveiligingstechnicus telkens opnieuw in de fout gaat. Bijvoorbeeld doordat zijn trots hem ervan weerhoudt om iemand anders met een onbevangen blik naar zijn oplossing te laten kijken. Sommige organisaties kiezen ervoor om geen geld uit te geven. Zij kruisen hun vingers in de hoop dat cyberaanvallen andere bedrijven treffen. Vaak is het ook een hele opgave om de beveiliging op orde te krijgen. Medewerkers raken daardoor gedemotiveerd en nemen een passieve houding in.
Te veel organisaties wachten met het formuleren van een effectieve beveiligingsstrategie die hen in staat stelt om bedreigingen te voorspellen en ondervangen totdat er een beveiligingsincident is opgetreden. Helaas overleeft niet elke organisatie een cyberaanval. De beste manier om te beginnen is om de eerste stap te zetten.
Vincent Zeebregts – Fortinet
