Wanneer ben je een held binnen cybersecurity? Het woordenboek definieert een held als een illustere krijger die een centrale rol speelt in een verhaal. Helaas gaan security operation centers (soc's) hier op zo’n manier mee om dat het eerder schadelijk is voor cybersecurity.
Het is niet ongebruikelijk dat soc-analisten een eigenschap bezitten die we ook wel omschrijven als het ‘heldensyndroom’. Vaak richten soc-medewerkers zich op grote dreigingen wanneer ze een tijdje voortduren. En dan komt het punt dat analisten zijn genoodzaakt om in te grijpen en drastische beveiligingsmaatregelen te nemen.
Dit gebeurt niet opzettelijk. Soc-analisten koesteren geen Rambo-achtige fantasieën. Ze willen, net als iedereen, de klus snel en pijnloos klaren. Maar velen zijn gewend om zo te werken dat ze op het laatste moment naar oplossingen moeten zoeken. Dit is niet de meest effectieve manier om incident-response aan te pakken. Organisaties werken optimaal als ze opkomende dreigingen vroegtijdig aanpakken met een gedegen voorbereiding.
Dit zien we ook bij andere eerstehulpverleners. Neem brandweerlieden. Zij blussen liever helemaal geen branden. In plaats daarvan besteden ze tijd aan brandpreventie. Net zoals dat een arts ons aanspoort om gezond te eten en genoeg te bewegen om later een chirurgisch drama te voorkomen.
Of we het nu hebben over iets eenvoudigs als het dragen van een veiligheidsgordel of zo ingrijpend als klimaatverandering, voorkomen is altijd beter dan genezen. Dit laatste is meestal pijnlijk, en met bijkomende schade. Dus hoe zorgen we ervoor dat soc-operators deze preventieve werkwijze overnemen?
Te generiek
Soc’s geven de prioriteit aan menselijke interactie in alle stadia van incident-response. Veel soc-analisten wantrouwen geautomatiseerde tools zoals antivirussoftware. Ze denken dat deze tools te generiek zijn en daarom niet effectief tegen gerichte aanvallen. Dit komt omdat ze zich concentreren op gebeurtenissen waarbij de security-tools tekort zijn geschoten, in plaats van op gebeurtenissen waar deze wel degelijk het verschil hebben gemaakt.
Verblind door deze bevestiging, gebruiken soc’s dus vaak menselijke operators om te doen wat een computer ook had kunnen bereiken. Ze vermijden een geautomatiseerde aanpak, hoewel het talloze industrieën om hen heen transformeert.
Zwarte doos
De aversie tegen softwaretools betekent niet dat soc-analisten deze tools helemaal niet gebruiken. Maar ze besteden minder aandacht aan de software die ze wél hebben. Hierdoor benutten ze slechts een deel van de mogelijkheden die de software biedt, wat uiteindelijk zorgt voor nog meer zwakke plekken in het beveiligingssysteem.
In de handen van een wantrouwende techneut is een tool voor endpoint-detectie en response (edr) niet meer dan een zwarte doos, die wordt gedegradeerd tot het verzamelen van data. Terwijl edr een geautomatiseerd hulpmiddel is om digitale dreigingen op te sporen en te neutraliseren. Natuurlijk kunnen dergelijke tools veel gegevens genereren. Maar dat is niet het doel, dat is het middel. In plaats van de gegevens te gebruiken om te reageren op acute dreigingen, gebruiken analisten de gegevens met als doel hun toekomstige aanpak te verfijnen. Ze verliezen hierbij de belangrijkste functie van de tool uit het oog.
Die afkeer van automation weerhoudt een soc er vaak ook van een samenhangende toolstrategie te ontwikkelen. Er worden liever tools ingekocht voor het genereren van gegevens. De softwarefunctionaliteit wordt hierdoor op sommige gebieden gedupliceerd, terwijl dit op andere plekken zorgt voor hiaten. Het resultaat is een inefficiënt gebruik van het budget, waarbij er te veel betaald wordt voor statistieken die analisten eerder kunnen verblinden dan helpen.
Omdat analisten niet volledig kunnen profiteren van deze tools, bevinden ze zich in een lastig parket. Ze missen de kleine dingen die gemakkelijk kunnen worden opgelost met relatief eenvoudige actie. Die kleine gebeurtenissen worden uiteindelijk incidenten en als ze dan nog steeds niet worden aangepakt, groeien ze soms uit tot volwaardige noodsituaties. Tegen de tijd dat analisten een noodsituatie opmerken, is het te laat; ze moeten drastische maatregelen nemen die van invloed zijn op de business.
Het cybersecurity-landschap is zo geëvolueerd dat we het ons niet langer kunnen veroorloven een afwachtende houding aan te nemen. Aanvallers worden steeds pro-actiever. Moderne aanvallen zijn misschien nog steeds gedeeltelijk handmatig, maar tegenstanders automatiseren elke dag meer van de aanvalsketen. Dat maakt preventie en vroege response nog belangrijker.
Heldenactie
Een heldenactie op het laatste moment die een grote dreiging voorkomt, is misschien indrukwekkend, maar efficiënt cybersecurity-werk is meer van deze tijd. Het tegenhouden van security-dreigingen zou allesbehalve dramatisch moeten zijn. Cybersecurity moet overwogen, preventief en – als het goed werkt – grotendeels onzichtbaar zijn.
Soc’s kunnen nu actie ondernemen om hun aanpak te veranderen en pro-actiever te worden. Dit begint met het eerder opsporen en indammen van dreigingen, wat betekent dat opkomende dreigingen meer aandacht moeten krijgen. Deze benadering moet kort, efficiënt en preventief zijn. In plaats van een incident te laten voortduren om meer informatie te verzamelen, moeten soc-analisten de dreiging onschadelijk maken door middel van snelle, eenvoudige en vroege inperking.
Soc’s kunnen geautomatiseerde tools gebruiken die zowel opkomende dreigingen detecteren als deze indammen met zo min mogelijk menselijke tussenkomst. Dit vereist een goed geïntegreerd platform met tools die met elkaar communiceren in een gemeenschappelijk format en die elkaars functionaliteit aanvullen. Hoe strategischer het ontwerp en het inkoopbeleid van een soc, des te waardevoller is het platform tijdens het incident-response-proces, vanaf het begin.
Hypothetische dreigingen
Betekent dit dat analisten hun heldenstatus moeten opgeven? Helemaal niet. Door automation in te zetten voor handmatige, repetitieve taken, houden ze tijd over voor andere bezigheden. Analisten kunnen in de rol van detective kruipen en zich richten op hypothetische dreigingen die vaardigheid en inzicht vereisen.
Analisten die geautomatiseerde tools leren omarmen, kunnen de alledaagse taken inruilen voor de meer creatieve. En er is niets zo heroïsch als menselijke creativiteit. Met een meer volwassen aanpak en vertrouwen in de security-tools, kunnen soc’s daadwerkelijke cybersecurity-helden zijn.
