Goed genoeg is niet meer goed genoeg
De cyberrisico’s waarmee we vandaag worden geconfronteerd, zijn niet alleen groter dan voorheen, maar ook fundamenteel anders op diverse vlakken. Onze tegenstanders zijn vaardiger geworden en hun tools en tactieken zijn flexibeler in hun mogelijkheden. Gezien deze toenemende uitdagingen zijn onze cyberverdedigingen in de loop van de tijd geëvolueerd.
Dit betekent niet dat ons arsenaal tegenwoordig betere verdedigingsmiddelen bevat. Onze verdediging is veranderd omdat we de krantenkoppen hebben gezien, mogelijk zelf organisatorische pijn hebben ervaren, en wij als CISO’s actief op zoek zijn gegaan naar nieuwe cyberoplossingen om nieuwe cyberdreigingen aan te pakken.
Vroeger waren we het erover eens: “het draait allemaal om het netwerk.” Cloudmigraties en virtuele connectiviteit hebben dat mantra echter aangepast. Nu zijn we het erover eens: “het draait allemaal om de data.” Naarmate onze focus op cyberverdediging is verschoven, is ook het aanbod aan potentiële oplossingen veranderd.
Best of Breed versus Bundel
Cyberoplossingen worden gepromoot in twee hoofdcategorieën, en de keuzes die CISO’s hierin maken, zijn van belang. Enerzijds bieden sommige oplossingen—of pretenderen dat te doen—best of breed-capaciteiten. Ze stellen voor om een specifieke zorg van de CISO direct en volledig te adresseren, of het nu gaat om endpoint, detectie en respons, netwerk, gegevensbescherming of een andere laag van de cybersecurity stack.
Deze oplossingen functioneren vaak gescheiden, zijn lastig te koppelen aan andere onderdelen van de verdedigingsstack van een organisatie en positioneren zichzelf bewust als echte eenlingen binnen het cyberarsenaal. Ze zijn uitmuntend in hun specifieke missie, maar staan, net als de spreekwoordelijke kaas, alleen.
Aan de andere kant zijn er bundeloplossingen, die bescherming bieden voor endpoint en detectie en respons, of netwerk en gegevensbescherming (denk aan DLP). Sommige bundeloplossingen gaan verder en bieden suites van gecombineerde diensten die een breed scala, zo niet het volledige spectrum, van cybersecurityzorgen adresseren. Sommige richten zich op serviceoplossingen in plaats van productoplossingen, maar zelfs dan biedt de dienstverlener waarschijnlijk specifieke producten aan of geeft daar de voorkeur aan.
“Het is voor CISO’s vaak lastig om door de bomen het bos te zien. Bundels bieden gelukkig een manier om het doolhof te doorgronden.”
Wat bundeloplossingen doorgaans missen, is een specifiek onderdeel dat daadwerkelijk best of breed is. Dit is wellicht een te algemene uitspraak, want veel bundels bevatten zeker zeer goede oplossingen.
Toch zijn de onderdelen van deze bundels zelden op zichzelf staand of volledig gefocust. Bundeloplossingen zijn meestal samengesteld om samen te werken, zodat elk onderdeel goed samenwerkt met de rest. Een bundel is immers gedoemd te mislukken als niet elk onderdeel in harmonie werkt met de andere delen van het pakket.
Een rol voor SOAR
Hoewel best of breed-oplossingen bijzonder krachtig zijn, kunnen ze lastig te beheren zijn. Ze up-to-date houden is vaak een uitdaging. Daarnaast kan het lastig zijn om deze oplossingen te integreren met andere delen van de stack.
Een best of breed-oplossing kan bijvoorbeeld sterk zijn in DLP, maar securityteams kunnen moeite hebben om de logs ervan te integreren in de SIEM-oplossing van de organisatie. Het configureren van een best of breed-oplossing kan ook uitdagend zijn, omdat de inherente mogelijkheden complex zijn. Zelfs de inzet van een best of breed-oplossing kan lastig zijn, juist omdat deze op zichzelf staat.
“Als best of breed-oplossingen gescheiden opereren (wat vaak het geval is), dan kan het onderbrengen van al deze oplossingen in een gemeenschappelijk beheerregime via SOAR een brug te ver zijn.”
Security orchestration, automation, and response (SOAR)-oplossingen kunnen daarom een waardevolle rol vervullen. Ze bieden waarde door verschillende componenten van de stack te organiseren tot een begrijpelijk en beheersbaar geheel. SOAR gaat ervan uit dat er onsamenhangende, gescheiden elementen in de stack aanwezig zijn, maar dat deze (tot op zekere hoogte) geïntegreerd kunnen worden onder een overkoepelende technologie die ze als één geheel beheert.
Als best of breed-oplossingen gescheiden opereren (wat vaak het geval is), dan kan het onderbrengen van al deze oplossingen in een gemeenschappelijk beheerregime via SOAR een brug te ver zijn. Technologie die bedoeld is om onafhankelijk te zijn, verzet zich vaak tegen samenwerking en integratie. Dit doet niets af aan de waarde van SOAR-oplossingen, maar het geeft aan dat best of breed-oplossingen een eigen categorie vormen.
Uitgaven zijn belangrijk
Kosten zijn altijd een overweging. Hoewel sommige organisaties grote cybersecuritybudgetten hebben, geldt dit voor de meeste organisaties (vooral het MKB) niet en moeten zij kosten zorgvuldig beheren. Een bundel van cybersecurityoplossingen kan vaak kosteneffectief zijn, omdat het combineren van aankopen bij één leverancier schaalvoordeel oplevert.
Er is echter ook risico. De gevolgen kunnen catastrofaal zijn als een bundel een beveiligingsfout of ander groot operationeel probleem bevat. Wat als elk onderdeel van een bundel tegelijk faalt? Daarin schuilt het dilemma voor CISO’s. Een best of breed-oplossing kan essentieel zijn, maar het falen ervan mag niet leiden tot uitval van de hele stack.
Toch streven sommige van deze oplossingen naar ultieme beveiliging. Best of breed—zoals bij rashonden—is bijzonder, en die bijzonderheid moet worden beschermd. Leveranciers besteden “speciale” aandacht aan factoren die het klantrisico verhogen en werken continu aan het verbeteren van de beveiligingsstatus van hun aanbod. Dit suggereert dat best of breed-oplossingen mogelijk minder snel falen.
Huidige capaciteit versus strategisch stappenplan
Het is voor CISO’s vaak lastig om door de bomen het bos te zien. Bundels bieden gelukkig een manier om het doolhof te doorgronden. Bundelleveranciers begrijpen hun (fundamentele) rol binnen klantorganisaties. Hun allesomvattende oplossingen stellen CISO’s in staat om meerdere problemen met één inkooptraject op te lossen.
Het beheren van leveranciersrelaties kost tijd, en iedere cybersecurityleider heeft juist meer tijd nodig, niet minder. Minder kritieke leveranciers in de stack is daarom voordelig voor de meeste cybersecurityorganisaties. CISO’s hebben immers direct capaciteit nodig in de oplossingen die ze inzetten. Een beveiligingsgat moet nu worden gedicht, en een aankoop moet dat hopelijk oplossen. Een goede relatie met een bundelleverancier kan zorgen voor snelle levering en ondersteuning bij het aanpakken van opkomende problemen.
“Het beheren van leveranciersrelaties kost tijd, en iedere cybersecurityleider heeft juist meer tijd nodig, niet minder.”
Een CISO moet ook het lange termijnperspectief van zijn leveranciers begrijpen, niet alleen wat hun oplossingen nu doen, maar ook wat ze in de toekomst zullen bieden. Waar staat een product of dienst over twee of drie jaar? Hoe passen de CISO en de organisatie in het strategisch plan van de leverancier? Weten waar een leverancier naartoe werkt, is een belangrijke indicator. Een bundeloplossing kan de organisatie van de CISO dichter bij de leverancier brengen, wat diepgaande strategische samenwerking kan vergemakkelijken.
Best of breed-leveranciers zijn daarentegen soms moeilijker te leren kennen. Deze aanbieders zijn soms kleiner en bieden nicheoplossingen. Hoeveel medewerkers hebben ze? Wie neemt de telefoon op als een CISO met een kritiek probleem belt?
Aan de andere kant kunnen kleinere leveranciers juist meer betrokken en benaderbaar zijn over hun specifieke oplossingen. Een CISO kan een relatie opbouwen met het senior management van een leverancier, wat zeer waardevol kan zijn voor zowel directe behoeften als langetermijnplanning.
Het onvermijdelijke hoeft niet te gebeuren
Als CISO’s zouden geloven dat alle leveranciers succesvol aangevallen en slachtoffer worden, zouden ze hun baan opzeggen en vrachtwagenchauffeur worden; een eerlijk beroep dat alleen afhankelijk is van de zekerheid van vertrek- en aankomstlocaties. Cybersecurity hangt van veel meer af: de complexiteit en onderlinge relaties van netwerken, hardware, software, gebruikersgedrag, de samenwerking met cloudproviders, het partnerschap met leveranciers en klanten, en de ingewikkelde eisen en verwachtingen van stakeholders. Het werk van een CISO is onmiskenbaar zwaar, en het wordt alleen maar zwaarder.
“Hoe passen de CISO en de organisatie in het strategisch plan van de leverancier? Weten waar een leverancier naartoe werkt, is een belangrijke indicator.”
En dat is alleen nog maar de zakelijke kant. Cybercriminelen van alle soorten hebben ontdekt dat er geld te verdienen valt, leed kan worden veroorzaakt en chaos kan worden gezaaid zodra ze een kwetsbaarheid ontdekken.
Elke beslissing die een CISO neemt, is dus van belang. Elk onderdeel van de cyberstrategie moet gebaseerd zijn op een zorgvuldige analyse van feiten uit interne en externe intelligence, zodat de CISO doelgericht en weloverwogen keuzes kan maken. Risico kan in de meeste gevallen niet worden geëlimineerd, maar wel worden beperkt en beheerd. CISO’s wachten niet tot het misgaat. Ze werken elke dag om het onvermijdelijke uit te stellen en de gevolgen ervan te verkleinen.
De keuzes die wij als CISO’s maken in wat we kopen, en hoe, zijn ook belangrijk. Best of breed kan mogelijkheden en expertise bieden die niet beschikbaar zijn in bundeloplossingen. Daardoor is het “goed genoeg” van bundeloplossingen misschien niet langer voldoende. Hoe dan ook, elke CISO weet dat het belangrijkste is dat we het goede doen. Dat is geen keuze. Het is onze aard.
Ongeveer drie minuten nadat ik begon met het plannen van deze post, had ik zo’n “jeetje, ik ben oud”-moment. Hier is waarom. Ik werk sinds 1994 in cybersecurity. Mijn eerste baan was bij een van de Big 3, werkend voor de Amerikaanse overheid via een van de grootste advocatenkantoren ter wereld. Ja, het was complex.
In die tijd (gezegd met de stem van een oude man) was cybersecurity nog geen cybersecurity. Het was gewoon beveiliging. Informatiebeveiliging werd pas begin 2000 een begrip. Netwerken van computers stond nog in de kinderschoenen. Snap je wat ik bedoel? Ik ben al heel lang bezig.
Het punt is dat zelfs toen computers net werden verbonden en cybersecurity nog geen begrip was, en de functie van CISO als tovenarij werd beschouwd, er een principe in IT-architectuur bestond genaamd “Know Your Computer” (KYC) of later “Know Your Network” (KYN). Dit principe komt oorspronkelijk uit de financiële sector van de jaren 90.
Om meer producten aan bestaande klanten te verkopen, probeerden ze alles te weten te komen wat mogelijk was. Vergeet niet: dit was aan het BEGIN van het internet. De enorme databases over gebruikers en hun voorkeuren, afkeuren en koopgedrag na middernacht lagen nog decennia in de toekomst.
KYC of KYN zijn, zoals geïllustreerd, oude principes die al lang bestaan. Ze zijn in de loop der jaren geëvolueerd en worden tegenwoordig Zero Trust genoemd. Het zou niet eerlijk zijn om de complexiteit en technische details van de huidige IT te vergelijken met die van vroeger. Aan de andere kant zijn er lessen uit een eenvoudigere IT-tijd die vandaag nog steeds waardevol zijn.
KYC of KYN
Het zijn oude concepten, maar de principes zijn nog steeds relevant in de huidige IT-omgeving. Eerlijk gezegd is Zero Trust de nieuwste versie van het KYN-concept. Zie hieronder:
|
KYN |
Zero Trust |
|
Weet wat het doel is van alle apparaten op het netwerk |
Beperk de toegang tot alle apparaten op het netwerk tot alleen wat ze nodig hebben om hun rol te vervullen |
|
Documenteer het gedrag van alle systemen op het netwerk en stel een alert in bij afwijkingen |
Documenteer het gedrag van alle systemen op het netwerk en blokkeer alle andere acties |
|
Documenteer je datastromen |
Documenteer je datastromen en stel een alert in bij wijzigingen |
|
Creëer regelmatige overlegmomenten om wijzigingen en updates aan de netwerksystemen te bespreken |
Beoordeel regelmatig alerts en overtredingen van de Zero-trust controles |
Ik zou nog verder kunnen gaan, maar het punt is duidelijk. KYN komt niet volledig overeen met het Zero-trust-model. De dreigingen en complexiteit van computernetwerken bestonden simpelweg niet in de jaren 90.
Wat is Zero Trust eigenlijk?
We zitten allemaal al jaren in de branche. Zelfs als je pas net in de sector werkt, heb je al gelezen, e-mails ontvangen, telefoontjes gehad van leveranciers, uitnodigingen gekregen voor webinars, seminars of bijeenkomsten waar Zero Trust wordt gepromoot.
Elke leverancier, ongeacht de technologie, verkoopt zijn product als de nieuwste Zero-trust wonderoplossing. Er zijn veel van dit soort hypes geweest in de sector, maar dat is niet het punt van deze post. Deze post is bedoeld om Zero Trust uit te leggen en verschillende strategieën te bespreken om het effectief en kostenefficiënt te implementeren.
Zero Trust is een filosofie. Simpel gezegd: sta niets toe op het netwerk waarvoor je verantwoordelijk bent, dat je niet al kent. Zoals bij alle filosofieën is het eenvoudig om te zeggen, makkelijk te begrijpen, maar moeilijk te implementeren.
Je vraagt je misschien af: “Ik heb 5.000 endpoints, 40 cloudproviders, 800 servers en 600 applicaties. Verwacht hij dat ik dat allemaal apart in kaart breng? Hij is gek.” Die woorden heb ik zelf ook gedacht bij mijn eerste stappen richting Zero Trust. Ook ik heb iemand voor gek verklaard.
Toen begon ik na te denken over hoe ik de vragen zou beantwoorden die ik zou krijgen van een business development manager die het woord Zero Trust op de achterkant van een tijdschrift had gelezen tijdens een vlucht. “Korte vraag XXX, wat is onze Zero-trust Strategie? Ik wil het begrijpen, maak even snel een presentatie van drie slides waarin je uitlegt waarom wij hierin uitblinken.” Ik begon met het bepalen van onze kroonjuwelen. Anderen noemen het de High Value Asset (HVA) lijst. Hoe je het ook noemt, daar begin je.
Stap één is het documenteren van het Wie, Wat, Wanneer, Waar en Hoe van het gebruik van de HVA’s. Dit gebeurt meestal via interviews met de zakelijke gebruikers. NIET met de businessleiders. Je hebt hun goedkeuring nodig, maar de mensen die de HVA daadwerkelijk gebruiken, zijn degenen met wie je moet samenwerken. Resultaten van deze interviews zijn onder andere namen van werkstations, gebruikersnamen, applicaties, documentatie van bedrijfsprocessen en datastromen.
Nu je deze vragen hebt beantwoord, kun je een Zero-trust Strategie opbouwen rond die HVA. Als deze niet op afstand wordt benaderd, kun je die toegang verwijderen. Als slechts een beperkt aantal gebruikers toegang nodig heeft, verwijder dan de rest. Als slechts een beperkt aantal computers toegang nodig heeft, verwijder dan de rest. Als het proces geen data via e-mail verstuurt, zet dan een DLP-blokkade in om dat datatransport te voorkomen. Je bouwt simpelweg muren rond de bedrijfsprocessen.
Je verandert het proces niet, en dat moet je benadrukken richting de business. Je gaat hun dagelijkse ervaring niet verslechteren. Elke keer dat je een controle toevoegt, zorg dat je alerting instelt op wijzigingen. Als je groepen gebruikt voor gebruikersrechten, zorg dan dat je een alertstrategie hebt om zowel de business als de cybersecurity operations te informeren bij wijzigingen in groepslidmaatschap. Misschien was het niet verwacht of goedgekeurd, en ontdek je zo iets voordat er schade ontstaat.
Misschien heeft je programma niet de controles om die benodigde controle op die HVA te implementeren. Je hebt nu je zakelijke rechtvaardiging voor de nieuwe controle vastgelegd. Ik vermoed dat je programma waarschijnlijk al de technische mogelijkheden heeft om de benodigde controles te implementeren.
Een Zero-trust Strategie stelt je in staat om twee dingen te doen. Ten eerste: gebruik de nieuwste terminologie om je inspanningen en behoeften te beschrijven. Ten tweede: focus de inspanningen van je team op de HVA-lijst. Proberen om Zero-trust Strategieën in één keer over de hele organisatie uit te rollen, is onbegonnen werk. Begin met de belangrijkste assets van de organisatie.
Veelgestelde vragen
Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de meest significante bedreigingen te identificeren en het opstellen van een plan om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en organisatorische veranderingen. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een essentieel onderdeel is van het algemene risicobeheer van elke organisatie.
De belangrijkste onderdelen van een Risicobeheer cyberbeveiliging-programma zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cybersecuritybeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.
Organisaties kunnen cyberrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware zoals antivirus- en anti-malwareprogramma’s helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Het hebben van een incident response plan minimaliseert schade tijdens een cyberincident, en regelmatige risicobeoordelingen helpen om potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industrienormen en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-normen, organisaties om cyberrisico’s verder te beperken.
Een risicobeoordeling is een cruciaal onderdeel van Risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een essentieel onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en respons mogelijk, waardoor schade wordt voorkomen of beperkt. Het zorgt ook voor naleving van cybersecuritynormen en regelgeving, zodat organisaties snel kunnen reageren op eventuele non-conformiteit. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data beslissingen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.