Gebrek aan juiste skills wordt hét struikelblok om security goed te regelen

Fabrice, toen we elkaar vorig jaar spraken was je net aan boord gekomen en barstte kort erna de COVID-crisis los. Wat is er het afgelopen anderhalf jaar veranderd?

Fabrice Wynants: “Veel, maar als ik er één ding zou moeten uitkiezen, dan is het wel de enorme toename van het aantal projecten rond Endpoint Detection & Response (EDR). Met het groeiende aantal remote workers zijn er massa’s ronduit slecht beveiligde endpoints bijgekomen. Remote werken betekent in veel gevallen: inloggen via potentieel onveilige thuisverbindingen op allerlei systemen en toepassingen, zowel op het corporate netwerk als rechtstreeks op applicaties in de cloud.”

“Ervoor zorgen dat die endpoints zo goed mogelijk beveiligd zijn, op een betaalbare en makkelijk schaalbare manier: dat staat nu hoog op de agenda. En dat is logisch, want het hybride werken is een blijver. You cannot boil the ocean, zeg ik altijd, en dus is EDR een logische eerste stap. Bij Cegeka bieden we ook Managed Detection & Response (MDR) aan, waar alle stappen – van monitoren tot reageren - wordt opgenomen door ons SOC (Security Operations Centre). Ook dààr is veel vraag naar, want EDR-tools zijn doorgaans vrij complex. Je hebt dus specialisten nodig.”

Wil dat zeggen dat bedrijven de basishygiëne nu goed op orde hebben?

Wynants: “Was het maar zo, maar dat is niet wat we zien. Hoe dat zo komt? Security operations zijn door een maturiteitsproces aan het gaan, weg van het puur technische verhaal. Security heeft zich lang toegespitst op het implementeren van puntoplossingen voor specifieke problemen. Het resultaat is een chaotisch samenraapsel van té veel puntloplossingen die elkaar bijten, niet ten volle benut worden en voor een onoverzichtelijk, duur en moeilijk te managen geheel zorgen.”

Security heeft zich lang toegespitst op het implementeren van puntoplossingen voor specifieke problemen. Het resultaat is een chaotisch samenraapsel.

“Een belangrijke taak voor de CISO is het rationaliseren van dat security landschap. Gartner zag vendor consolidation zelfs als één van de grote trends voor 2021. Dat betekent diverse tools vervangen door één enkele – zoals EDR-tooling – maar ook kijken welke functionaliteiten in bestaande tools onderbenut zijn. Moeilijkheid hier is dat consolidatie-oefeningen vaak complex zijn en veel tijd in beslag kunnen nemen. Ook daar kunnen wij voor een versnelling zorgen.”

Welke impact heeft dat op de CISO? Want die moet de taal van de business spreken.

Wynants: “Absoluut. Ook dàt stipte Gartner aan als een trend voor 2021: meer cyber-savvy boards. En dat betekent meer business-savvy CISO's. Vandaag de dag speelt security op alle niveaus, het doorkruist echt de hele organisatie, zowel op het vlak van infrastructuur als applicaties. CISO's moeten heel precies kunnen pinpointen waar de kroonjuwelen van de organisatie zitten en wat de impact zou zijn van een incident of breach op diverse niveaus: operationeel, financieel, regulatoir en reputationeel. Dàt is waar de board van wakker ligt, niet van tooling of technologie.”

Gartner voorspelt meer ‘cyber-savvy’ boards. En wat dat vooral betekent is: meer business-savvy CISO's.

Waar zien jullie organisaties nog de mist ingaan? Is er low hanging fruit dat ze missen? Of valkuilen die ze maar beter vermijden?

Wynants: “Zoals ik al zei: voldoende aandacht hebben voor de basishygiëne, wat lang niet altijd het geval is. Patching, vulnerability management, multi-factor authentication … je zou ervan versteld staan hoeveel bedrijven daar nog een pak werk voor de boeg hebben. En om terug te keren naar EDR: voldoende aandacht schenken aan de R in dat verhaal, de respons. Traditioneel gaat veel aandacht naar het tijdig detecteren van mogelijke incidenten of breaches. Maar je moet natuurlijk ook de juiste respons inregelen, en dat vergeet men soms. Vergelijk het met een geavanceerd inbraakalarm installeren met overal infrarood camera’s, maar geen doormelding naar de politie.”

“Een ander aandachtspunt is de toename van het aantal public cloud-based workloads, waarbij organisaties vaak de fout maken te laat aan de security te denken. We zien dan dat ze traditionele infrastructuur-based security-maatregelen nemen, maar dat is lang niet voldoende. In hybrid en multicloud-omgevingen – iets waar we ons bij Cegeka zeer thuisvoelen – is het cruciaal om dat ook aan te vullen met de geïntegreerde security capabilities van de cloudomgeving zelf. Azure cloud bijvoorbeeld heeft hele specifieke security features, die een verhoogd niveau aan geïntegreerde security leveren.”

Wat is volgens jou het grootste aandachtspunt in het hele security-verhaal?

Wynants: “Zonder enige twijfel het groeiend gebrek aan skills. Zowel bedrijven als hun leveranciers voelen dat. Enerzijds is er nood aan mensen met business-savvy security skills, en dan zit je al snel bij senior profielen, een beperkte groep dus. Anderzijds kan je je ook de vraag stellen of de technische profielen wel nog over de juiste technische skills beschikken. Het is een race op twee fronten: talent vinden en houden, en mensen op het scherp van de snede houden met continuous learning.”

“Bij Cegeka pakken we die uitdaging op verschillende manieren aan. Zeer gerichte recruitment, en intensieve opleidingstrajecten voor iedereen, van young graduates tot senior mensen. Een andere oplossing is security automation, zeker waar het gaat om vrij standaard en/of repetitieve taken die tijdrovend zijn. Veel acties rond detection en response zijn te automatiseren, waardoor je je mensen de ruimte geeft om zich te kunnen buigen over de meer geavanceerde analyses.”

Security automation kan het nijpende tekort aan security skills mee helpen oplossen, zeker als het gaat om standaard of repetitieve taken.

Is cybercrime onvermijdelijk? Krijgt iedereen er vroeg of laat mee te maken? En wat kunnen bedrijven doen om het risico zo laag mogelijk te houden?

Wynants: “Niet onvermijdelijk, maar het is wel een beetje een unfair battle aan het worden. Cybercrime is big busines, professioneel georganiseerd, met verschillende teams voor verschillende stappen – tot zelfs een helpdesk toe – en grote budgetten. Ze hebben vaak maar één opening nodig om binnen te komen en hun schadelijke werk te doen. Bedrijven hollen vaak achteraan, en je ziet ook dat zelfs grote organisaties die veel geld tegen security aangooien niet immuun zijn.”

“Mijn advies is altijd: focus on the stuff that matters. Of om terug te keren naar wat ik in het begin van dit gesprek zei, you can’t boil the ocean. Vandaar het belang om goed te weten wat nu juist de kritische processen en assets zijn, en daarop te focussen met bijvoorbeeld een goed ingeregeld Detection en Response programma, al dan niet gemanaged door een extern SOC. Dat en de basishygiëne op orde zetten, en je bent al een heel eind.”

“En niet onbelangrijk: simuleren, simuleren, simuleren. Van gerichte phishing-simulaties op je interne medewerkers, tot volledig uitgewerkte oefeningen waarbij het response-stappenplan uitvoerig wordt getest, zodat iedereen goed weet wat er moet gebeuren, welke acties moeten worden genomen, wie moet worden gebeld, hoe en wanneer er moet worden gecommuniceerd, welke stappen er dienen genomen te worden in geval van recovery: het maakt echt het verschil.”

Tot slot, wat is het geheim van een goed response stappenplan?

Wynants: “De muur tussen IT operations en security operations wordt steeds lager – als die er nog überhaupt is – en eigenlijk staat of valt een goed response plan met hoe snel je on the spot kan ageren en de juiste exertise kan schakelen op een breed speelveld, zowel op het vlak van applicaties als infrastructuur, en dat in een hybrid of multicloud-omgeving. Security en IT moeten razendsnel en feilloos op elkaar inspelen op zo’n moment.”