Beveiliging moet altijd de business ondersteunen. Het begint bij de vraag wat belangrijk is voor organisaties. Wat wilt men zeker beschermen? In het wilde weg investeren in beveiligingsoplossingen, is geen efficiënt gebruik van financiële middelen. De Return On Security Investment (ROSI) moet kloppen.
Daarom maakt men best eerst de denkoefening wat een organisatie doet draaien en bouwt men daarrond de beveiligingsstrategie op. U doet dan de investeringen die de belangrijkste assets van uw organisatie beschermen. Dat zijn doorgaans degene die u het meeste kosten bij een inbraak. Is dat uw database, uw webwinkel, uw fabriek? Voor elke organisatie is dit anders, maar we merken wel vier trends op.
Trend 1: EDR tegen geavanceerde cyberaanvallen
Cyberaanvallen worden steeds geavanceerder. Het duurt veel langer vooraleer een inbraak wordt gedetecteerd. In die uitdagende context wilt u vooral dat uw business blijft draaien. U moet dus voorkomen dat malware of cybercriminelen op uw toestellen binnen raken.
Klassieke proxies of firewalls bijvoorbeeld vormen een eerste beveiligingslinie. Maar als u uw beveiliging tot die oplossingen beperkt, geeft dat u een vals gevoel van veiligheid. Deze software houdt immers wel heel wat aanvallen tegen, maar de bescherming is nooit 100%. Deze oplossing proberen inbraken te voorkomen, maar missen functionaliteit om te detecteren.
U moet ervan uitgaan dat er ooit in uw IT-systemen ingebroken wordt. En wat doet u dan? U hebt een tweede beveiligingslinie nodig om te detecteren wanneer een aanval door de eerste breekt. Dat is Endpoint Detection & Response (EDR).
Voor EDR installeert u op elk toestel (computer, telefoon, tablet) een agent, die inbraken op het toestel detecteert. Dat gebeurt op een slimme manier. De agent kijkt naar het gedrag van de gebruiker en van de programma’s op het toestel. Gebeurt er iets abnormaals, dan slaat de agent alarm.
Zodra malware of een cybercrimineel door de eerste beveiligingslinie gebroken is, begint het werk van EDR. Omdat die continu alle acties op het toestel controleert, zijn er verschillende momenten tijdens de inbraak dat EDR alarm kan slaan. Op het moment dat de malware bijvoorbeeld voor het eerst uitgevoerd wordt, op het moment dat de malware zich wil opslaan, op het moment dat die meer rechten aanvraagt enzovoort.
EDR maakt niet alleen gebruik van lerende processen (machine learning) om verdacht gedrag te herkennen. De technologie kan ook terugvallen op cyber threat intelligence: allerlei informatie van buitenaf over aanvallen in andere organisaties. Zo kan een agent op uw toestel alarm slaan als die gedrag detecteert dat elders reeds als gevaarlijk herkend is.
Trend 2: NDR om controle terug te winnen
Door COVID-19 is het thuiswerken en het daarbij horende netwerkverkeer sterk toegenomen. En steeds vaker maken we gebruik van IoT-apparaten of SaaS-toepassingen waarover we minder controle hebben. Hierop kunt u geen agent installeren voor EDR.
Network Detection & Response (NDR) biedt hiervoor een extra beveiligingslaag bovenop een firewall bijvoorbeeld. Hiermee controleert u niet wat er op apparaten gebeurt, maar wat er tussen apparaten gecommuniceerd wordt. NDR analyseert het netwerkverkeer op verdachte patronen. Omdat de controle op een passieve manier gebeurt, is de impact van deze beveiligingslaag op de business ook beperkt.
Zelfs als het netwerkverkeer versleuteld is, levert zo’n analyse nuttige informatie op. Zo kan een plotse toename van versleuteld verkeer naar een onbekende server wijzen op een besmetting door malware.
Als NDR dan verdacht netwerkverkeer detecteert, kan het aan een firewall de opdracht geven om communicatie met dit apparaat of die server te blokkeren.
Trend 3: Brand intelligence voor inzicht in de cyberonderwereld
Voor een goede beveiliging volstaat het niet meer om te kijken naar wat er in uw eigen infrastructuur omgaat. De cyberonderwereld wordt immers steeds groter. U heeft geen tijd om dat zelf allemaal te controleren. Als er bijvoorbeeld ongemerkt een cyberinbraak bij u gebeurd is, bestaat de kans dat de gestolen data op het dark web aangeboden worden. Hebt u daar zicht op?
Ook als er een domeinnaam geregistreerd wordt die heel hard op de domeinnaam van uw organisatie lijkt, zou u dit zo snel mogelijk willen weten. De kans is immers groot dat die domeinnaam gebruikt zal worden in een phishingcampagne om uw gebruikers of klanten om de tuin te leiden.
Hetzelfde als er een valse mobiele app van uw organisatie in de appwinkels van Apple of Google verschijnt. Hoe sneller u dit detecteert, hoe sneller u een aanval daarmee kan tegenhouden.
Deze analyse van wat er buiten uw eigen infrastructuur gebeurt, noemen we brand intelligence. Het is een essentiële aanvulling op EDR en NDR om uw organisatie te beschermen.
Trend 4: XDR voor een holistische beveiligingsaanpak op maat van uw organisatie
EDR, NDR en brand intelligence lossen elk deelproblemen op, maar beveiliging is een multidimensionaal probleem. Dat kunt u nooit volwaardig aanpakken met deeloplossingen die elk op hun eigen eilandje werken. U hebt een holistische aanpak van beveiliging nodig.
Een oplossing die beveiliging in zijn geheel aanpakt, is eXtended Detection and Response (XDR). Naast EDR, NDR en brand intelligence, gebruikt XDR ook SIEM en SOAR:
- Een SIEM (Security Information and Event Management) verzamelt logs van allerlei bronnen (servers, toepassingen, netwerkapparatuur, ...), correleert die data en levert realtime analyse en meldingen op van verdachte gebeurtenissen.
- SOAR (Security Orchestration, Automation and Response) is een systeem dat geautomatiseerd reageert op incidenten die uit EDR, NDR, brand intelligence en SIEM komen. Op die manier koppelt het de verschillende deeloplossingen op een flexibele manier aan elkaar, op maat van de pijnpunten van uw organisatie. Als u bijvoorbeeld brand intelligence binnenkrijgt over een phishingsite, blokkeert u automatisch alle communicatie naar die website.
Met een XDR verandert ook de taak van het SOC (Security Operations Center). Het team van een ‘Modern SOC’, bestaat niet alleen uit analisten die uw IT-infrastructuur op bedreigingen monitoren. Er zijn ook SOC-ingenieurs bij die uw beveiligingstaken automatiseren in SOAR-playbooks.
Conclusie
Uw organisatie zal nooit 100% beschermd zijn en uw budgetten zijn niet onuitputtelijk. Maar met een continu proces om beter te worden en een focus op de Return On Security Investment, wordt uw organisatie elke dag een beetje veiliger. We noemen dit cyber resilience. Bent u cyber resilient, dan geeft u evenredig aandacht aan de vier componenten van het continue beveiligingsproces:
- Assess: Begrijp uw risico’s.
- Prevent: Houd aanvallen zo vroeg mogelijk tegen.
- Detect & respond: Detecteer wanneer er toch een inbraak is en reageer daarop.
- Recover: Herstel snel en efficiënt van een inbraak.
Op deze manier beschermt u uw organisatie tegen de nieuwste trends in cybercrime.