Martijn Doedens

Gartner en andere instanties die onderzoek doen geven aan dat wij, als cybersecurity specialisten, in moeten zetten op vier paarden, namelijk predict, prevent, detect en respond. In onze visie noemen wij dat SecureInsight, SecurePrevent, SecureDetect en SecureRespond. In de vorige blog is dieper ingegaan op SecureInsight, waarbij inzichtelijk gemaakt wordt wat de risico’s zijn, wat het maturiteits niveau van een organisatie is op het gebied van cybersecurity en welke stappen gemaakt kunnen worden. Nu heeft iedereen het tegenwoordig graag over log management, Security Information & Event Management, incident respons en allerlei andere oplossingen en diensten op het gebied van detect en respond. Één van de bekendste statements die gemaakt wordt is dat men er vanuit mag gaan dat er een aanvaller binnen is gekomen. Dit neemt wat mij betreft echter niet weg dat preventieve maatregelen nodig zijn, bijvoorbeeld in de vorm van next generation firewalls en endpoint security. Je kunt gewoonweg niet zeggen: aangezien 100% security niet bestaat zijn de preventieve maatregelen niet nodig, dus laat maar zitten. Elke organisatie moet simpelweg inzetten op alle vier de richtingen van de 360 graden aanpak.

Bij preventieve maatregelen moet gezocht worden naar de meest effectieve, waardoor het aantal dreigingen dat hier toch doorheen komt zo klein mogelijk is. Dit zorgt er vervolgens weer voor dat de beschikbare technologie en capaciteit op het gebied van detectie optimaal gebruikt wordt in plaats van dat er een stortvloed aan meldingen binnenkomt die allemaal geanalyseerd moeten worden, waar veel organisaties simpelweg de capaciteit niet voor hebben. Laat staan dat er capaciteit is om te reageren op een incident.

SecureInsight - 360 approach

Next Generation Firewalls

Als ik kijk naar de beschikbare preventieve maatregelen in de vorm van technologie en diensten is het optimaal gebruik maken van next generation firewall functionaliteit één van de maatregelen waarmee op netwerk gebied de meeste winst geboekt kan worden. Denk slim na op het gebied van zonering, zorg dat de policies goed ingericht zijn en maak gebruik van alle tools en diensten die beschikbaar zijn om next generation firewalls zo goed mogelijk te gebruiken. Waar wij steeds vaker achter komen is dat de inrichting van een firewall zeer complex is als het gaat om security policies en andere geavanceerde configuratie op het gebied van IDS/IPS, malware scanning, URL filtering en sandboxing. Deze complexiteit zorgt ervoor dat na verloop van tijd de effectiviteit van deze maatregel verslapt, doordat niet meer duidelijk is wat precies waarvoor ingericht is. Vanuit SecureLink zien wij vraag naar dienstverlening waar wij maandelijks kijken naar de security policies, of best practises gehanteerd worden en waar wij gebruik makend van cyber threat intelligence (CTI) dynamische policies kunnen maken. Dit soort stappen zorgen voor een optimaal functionerende firewall.

Next Generation Endpoint Security

Naast firewalls zijn de endpoints waar gebruikers mee werken actueel als het gaat om preventie (maar ook detectie en response). Ik zie verschillende redenen hiervoor, in eerste plaats is het endpoint de plaats waar veel van de dreigingen binnenkomen of zich manifesteren door gebruikers interactie. Daarnaast wordt steeds meer versleuteling toegepast op datastromen wat de effectiviteit van de hiervoor genoemde netwerk gebaseerde preventieve maatregelen minder effectief maakt (of we moeten decryptie toepassen wat niet altijd mogelijk is en behoorlijk wat nadelen heeft). Het endpoint is de plek waar de code uitgevoerd of leesbaar wordt op wat voor manier dan ook dus het endpoint is een uitgelezen plek om preventieve maatregelen te nemen in de vorm van next generation endpoint security oplossingen.

Vulnerability Management

Een derde maatregel die belangrijk is, helemaal met de bekende ransomware aanvallen in 2017, is het inzichtelijk maken van kwetsbaarheden aan de binnen- en buitenkant van de infrastructuur. Door kwetsbaarheden te vinden kan patch management optimaal toegepast worden wat preventie tegen incidenten biedt. De uitdaging die hier veel gezien wordt, is het volume aan kwetsbaarheden dat in een gemiddelde scan boven water komt. Hier moeten prioriteiten gesteld worden door gebruik makend van threat intelligence te bepalen welke kwetsbaarheden het eerst aangepakt moeten worden.

Middelen maximaal toepassen

Het toepassen van preventieve maatregelen heeft als doel zoveel mogelijk dreigingen tegen te houden door het aanvalsoppervlak dat gebruikt kan worden door een aanvaller zo klein mogelijk te maken. De gebruikte maatregelen moeten van het juiste niveau zijn en op de juiste manier ingericht zijn. Het op een juiste manier beheren is key om de effectiviteit optimaal te houden. Alles willen tegenhouden is een doel dat niet te realiseren valt maar middelen maximaal toepassen is belangrijk. Voor hetgeen dat hier toch doorkomt bestaan dan de detectie maatregelen en vervolgens het onderdeel response.