In de voortdurende strijd tussen cybercriminelen en informatiebeveiliging, zijn de criminelen op dit moment in het voordeel. Zij weten bijna alles over onze verdedigingsmiddelen, maar wij weten alleen over de dreigingen die we kunnen afvangen. We maken gebruik van steeds weer nieuwe apparaten, worden steeds mobieler en gebruiken nieuwe opslaglocaties voor onze data. Handig en efficiënt, maar het biedt ook nieuwe aanvalsmogelijkheden.
Als we deze en andere voordelen bij de aanvallers willen wegnemen, moet we onze verdediging fundamenteel anders inrichten. Een van de belangrijkste beveiligingsmiddelen die dingend anders aangepakt moet worden, is endpoint security. Dat is in de loop der tijd uitgegroeid tot een scala aan beveiligingsmaatregelen, meestal bestaande uit antivirus-oplossingen, firewall en systemen voor het monitoren van processen op het netwerk. Vaak zijn deze verschillende oplossingen ook afkomstig van verschillende leveranciers en zijn ze afhankelijk van regelmatige updates om ervoor te zorgen dat ze nieuwe dreigingen kunnen detecteren.
Deze aanpak is moeilijk te beheren en zorgt vaak voor een hoge systeembelasting. Ook is de beschikbare dreigingsinformatie soms verouderd, waardoor systemen kwetsbaar zijn voor nieuwe aanvalsmethodes. Daarnaast zien we helaas dat organisaties soms nalaten om updates tijdig te installeren, waardoor de effectiviteit van de endpoint security-oplossing omlaag gaat.
Andere aanpak
Daarom is er dringend behoefte aan een andere aanpak. Een aanpak waarbij al deze beveiligingsmiddelen worden gecombineerd tot één samenhangend geheel, ongeacht of deze functies nu afkomstig zijn van één of van meerdere leveranciers. In plaats van regelmatige updates van virusdefinities, zouden we moeten overstappen op realtime uitwisseling van dreigingsinformatie tussen endpoints onderling en met andere beveiligingsmiddelen van verschillende leveranciers.
Zo kunnen organisaties accuraat en actueel inzicht krijgen in wie er wat binnen organisaties aanvalt en hoe dat gebeurt, in plaats van een historisch overzicht van wat er gisteren of vorige week is gebeurd. Om dit allemaal te kunnen realiseren moeten we er wel voor zorgen dat de beveiligingssystemen en -oplossingen van verschillende leveranciers ook inderdaad met elkaar kunnen praten.
Snel ransomware blokkeren
Daarvoor zijn goede, industribueerde standaarden nodig, die de uitwisseling van dreigingsinformatie mogelijk maken. Niet alleen binnen de organisatie, maar binnen de hele industrie. De dreigingen richten zich immers op verschillende punten binnen de organisatie en zijn afkomstig van een groot aantal bronnen.
Een bredere uitwisseling van dreigingsinformatie is essentieel om cybercriminelen een stap voor te blijven. Zo kunnen bijvoorbeeld alle endpoint beveiligingsmiddelen binnen een organisatie snel worden geïnformeerd over de kenmerken en het gedrag van nieuwe ransomwarevarianten, zodat deze vorm van malware kan worden geblokkeerd voordat schade wordt aangericht.
Ook de impact op systeemprestaties, al een veelgehoorde klacht van eindgebruikers, moet omlaag gebracht worden. Scans die bedrijfsprocessen onderbreken, computers vertragen en de productiviteit van eindgebruikers nadelig beïnvloeden, moeten worden vervangen door een proces dat intelligenter is en dat in staat is om zich aan te passen aan het gedrag van de gebruiker. We hoeven niet ieder bestand telkens opnieuw te scannen. In plaats daarvan zou het mogelijk moeten zijn om te leren welke bestanden en processen betrouwbaar zijn en welke verdacht, zodat beveiligingsmiddelen optimaal kunnen worden ingezet. Ook moeten intelligente beveiligingsprocessen kunnen opereren in de standby-tijd tussen de verschillende activiteiten van een gebruiker.
De operationele beveiliging moet veel beter inzicht krijgen in wat er op dit moment gebeurt binnen en rond de organisatie, gekoppeld aan bruikbare informatie over wat daar nu aan te doen. Forensische analyse achteraf is een uitstekend middel om te bepalen hoe de verdediging verder verbeterd kan worden, maar het is minder nuttig wanneer het erom gaat de responstijden terug te brengen van dagen of zelfs weken tot milliseconden. Wanneer een aanval of digitale inbraak wordt ontdekt, moet het getroffen systeem alle relevante informatie direct publiceren en delen, zodat andere systemen kwaadaardige bestanden en processen kunnen blokkeren voordat deze zich verder kunnen verspreiden.
Intelligentie
Tot slot moeten de complexiteit rond het implementeren, configureren en beheren van onze beveiligingssystemen omlaag. Te veel organisaties hebben dure securitytools uitgerold in monitor- of standaardmodus, waardoor deze ofwel niets doen en toekijken, terwijl cybercriminelen hun gang gaan, ofwel een stortvloed aan waarschuwingen generen, zonder enig onderscheid tussen belangrijke en onbelangrijke meldingen. Intelligente monitoringsystemen zouden standaard in staat moeten zijn om onderscheid te maken tussen verdachte en normale activiteiten en direct waarschuwen wanneer er een echte dreiging wordt ontdekt.
Dit zijn uitdagingen voor alle organisaties en voor de hele beveiligingsindustrie. Een gemeenschappelijke aanpak, inclusief het wereldwijd uitwisselen van dreigingsinformatie en gegevens tussen de verschillende technologieën en processen, in combinatie met sterk verbeterde prestaties, kan er uiteindelijk voor zorgen dat beveiligingsteams sneller kunnen reageren op meer dreigingen, met minder middelen.