Detection & response in het licht van NIS2: 5 observaties

#1 Detection & response: markt verschuift naar managed 

Het ‘verhaal’ achter NIS2 was, in grote lijnen, al bekend voordat de term ‘Netwerk- en Informatiebeveiligingsrichtlijn’ überhaupt bestond. Veel aspecten van het NIS-narratief zijn namelijk al zo oud als cybersecurity zelf. Denk maar aan het immer stijgende aantal (serieuze) cyberincidenten, de groeiende professionaliteit van cybercriminelen en de constante stroom van nieuwe soorten aanvallen. Maar ook natuurlijk de intensievere verwevenheid tussen IT aan de ene kant en kritieke infrastructuren en de dagelijkse bedrijfsvoering van organisaties aan de andere kant.

Mede door deze aspecten is managed detection & response tegenwoordig de ‘only way to go’ voor veel organisaties, stelt Willem Janssens (product manager cybersecurity bij Cegeka). “Je moet in staat zijn om – met voldoende kennis en capaciteit – 24/7 te monitoren en detecteren én vervolgens razendsnel te reageren. Vanwege de enorme investeringen is het voor het gros van de organisaties niet haalbaar om dit intern op te pakken. Je moet bijvoorbeeld beschikken over geavanceerde technologieën, met aan de knoppen gespecialiseerde securityprofessionals. Naast onder stressvolle omstandigheden moeten die ook nog eens buiten 9-tot-5 willen werken.”  

Voor organisaties die onder NIS2 vallen, wordt zelf doen (mede door eisen als de meldplicht) nóg moeilijker. Willem: “De markt verschuift al tijden naar managed detection & response, we zien dat NIS2 dit verder in een stroomversnelling brengt.” 

#2 Meldplicht en supply chain grootste NIS2 zorgen

De nieuwe securityrichtlijn resulteert in een hoop uitbreidingen. Bijvoorbeeld qua branches die eronder vallen (de ‘essentiële’ en ‘belangrijke’ entiteiten), maar ook qua reikwijdte en strengheid van de maatregelen die organisaties moeten treffen. De eisen van NIS2 zijn namelijk op veel vlakken wat zwaarder dan die van frameworks als ISO 27001 en NIST CSF. 

Stanley Kemkes (security solutions architect bij Cegeka): “Een logische eerste stap binnen het security compliance-traject voor NIS2 is een assessment, wat wij doen aan de hand van ons Continious Security Assessment Framework. Bij de gap-analyse, die onderdeel is van CSAF, ga je op basis van de uitgevoerde evaluatie en de NIS2-vereisten onderzoeken wat je nog moet implementeren. Veel NIS2-organisaties zijn daar nu mee bezig. Vooral proactief supply chain-management en de meldplicht voor incidenten, zo constateren wij, zijn veelvoorkomende gaps. Binnen de pijler detection & response komt daar het vermogen om de héle omgeving te kunnen monitoren bovenop.” 

#3 Rapporteren is specialistisch forensisch werk

De meldplicht van NIS2 gelast dat serieuze incidenten in drie etappes moeten worden gemeld bij de nationale toezichthouder. Stanley: “Na de initiële melding binnen 24 uur moet je binnen 72 uur een beoordeling van het incident rapporteren, inclusief omschrijvingen van bijvoorbeeld het incident, de impact en de urgentie.”

Dit vergt volgens Stanley gedegen forensisch onderzoek, dat alleen door specialistische securityprofessionals kan worden uitgevoerd. “Zij dienen kennis op security-, IT- en juridisch vlak te hebben en te beschikken over forensische vaardigheden. Zo moeten ze alles weten over technische aspecten als logging en het OS, maar ook over het intact houden van de chain of evidence. Binnen Cegeka wordt dit werk gedaan door de ‘special security forces’ van ons CSIRT (Computer Security Incident Response Team, red.).” 

Willem wijst erop dat naast kennis en vaardigheden ook 24/7 beschikbaarheid een belangrijke vereiste is. “NIS2 kent geen weekend. Een incident op vrijdagmiddag moet maandagmiddag grondig zijn onderzocht en beschreven. Door de optelsom van complexiteit en de vereiste beschikbaarheid zijn er maar een paar partijen die dit soort forensisch onderzoek kunnen doen, waaronder Cegeka.”  

#4 Knap lastig: monitoring héle IT-en OT-omgeving

De securityrichtlijn impliceert dat organisaties hun gehele IT- en OT-omgeving en alle netwerken moeten (kunnen) monitoren en beveiligen. Willem: “Je kunt dan wel werken met een XDR-tool waar alles rondom de digitale werkplek onder valt. Maar dit betekent niet automatisch dat je detecteert binnen je hele omgeving. Dit is de grootste NIS2-uitdaging binnen detectie en respons; ik vermoed dat slechts een heel klein deel van de organisaties z’n gehele omgeving in het vizier heeft.” 

OT-omgevingen zijn opgezet om fysieke processen te monitoren en aan te sturen. Het in kaart brengen, integreren in de security-architectuur en monitoren van deze omgevingen is al helemaal een titanenwerk. Stanley: “Allereerst: niet zelden gaat het om verouderde technologieën. In OT-omgevingen draait bovendien vaak geen clientsoftware, dus moet je met sensoren de netwerkconnecties monitoren. Daarnaast is de respond veel complexer. Meestal gaat het om cruciale bedrijfsprocessen, dus kun je niet zomaar een PLC (programmable logic controller, red.) stilzetten.” 

Willem: “Ook de IT’ers binnen de organisatie zélf weten vaak niet hoe de OT-omgeving precies in elkaar steekt. De aanvalstechnieken in OT-omgevingen hebben ruwweg dezelfde karakteristieken als in IT-omgevingen, waardoor wij afwijkingen direct opmerken. Alleen zijn onze ‘standaard’ acties vaak niet mogelijk bij een aanval. Voordat wij als managed detection & response-partner ingrijpen, moeten we daarom goed overleggen met de organisatie in kwestie. Wat is de mogelijke oorzaak en impact van het incident op bedrijfsprocessen? En hoe ziet de beste mitigatieaanpak eruit?”  

#5 NIS2-security compliance en resilience als cyclisch proces

Momenteel ligt de focus meer op NIS2- security compliant – en in het verlengde daarvan: cyber resilient – wórden. Dit blíjven is vanzelfsprekend minstens zo relevant. Willem: “Binnen cyber resilience kun je een aantal pijlers onderscheiden, Cegeka’s model kent er vier: assess, prevent, detect & respond en recover. De pijlers representeren stappen die je niet eenmalig doorloopt. Je moet het zien als een cyclus, met als doel continuous security improvement. Volgens deze zienswijze leveren incidenten inzichten op, die vervolgens dienen als input om de protect-pijler te versterken.” 

Cegeka bedient de hele cirkel, van assess (CSAF) tot recover (dat één van de modules binnen Cegeka Modern SOC is). Naast security kan Cegeka de hele outsourcing verzorgen. Stanley: “Als klanten al hun securitydiensten bij ons afnemen, kunnen wij een hoger securityniveau realiseren. Bijvoorbeeld omdat de informatieoverdracht en samenwerking tussen diensten en teams sneller en beter is.” 

Eén partner voor alle security- en IT-diensten heeft ook praktische voordelen, legt Willem uit. “Werk je met vier partijen, dan ben je als het ware een kruispunt waar alles langs moet. Bij ons zit je niet in het midden, maar word je wel uitgebreid geïnformeerd. Vanaf de zijlijn houd je een oogje in het zeil dankzij ons Security Observability Dashboard in het horizon-portaal. Dat biedt inzichten, vaak zelfs in real-time, op het gebied van bijvoorbeeld kwetsbaarheden, incidenten, responses en compliance.” 

Kom meer te weten

Of je nu onder NIS2 gaat vallen, een leverancier of klant van een NIS2-organisatie bent óf om een andere reden geïnteresseerd bent in cyber resilience en (managed) detection & response… Op 17 oktober van 13.00 tot 13.45 u. kun je je kennis verbreden en verdiepen. Dan vindt namelijk het webinar Een effectieve manier voor incident detectie, -respons en -rapportage plaats, dat wordt verzorgd door Stanley Kemkes en Willem Janssens. Deelnemen? Meld je dan nu aan via het formulier hieronder!