De verdediging tegen de huidige dreigingen vereist een actieve aanpak die in staat is om te evolueren met de steeds veranderende tactieken van aanvallers. Organisaties moeten voortdurend de effectiviteit van hun beveiligingscontroles evalueren en potentiële zwakheden, kwetsbaarheden en compliance-issues identificeren.
Het bepalen van de effectiviteit van deze tools is echter niet altijd eenvoudig. Bovendien zijn business leaders over het algemeen geïnteresseerd in meer dan alleen hoe beveiligingsoplossingen omgaan met dreigingen. Ze willen de waarde van de beveiligingstools begrijpen en achterhalen of deze voldoende ROI genereren om hun gebruik te rechtvaardigen. Dit is meestal moeilijk uit te drukken in kwantificeerbare termen. Organisaties die de prestaties van hun beveiligingsmaatregelen beter willen begrijpen, moeten zich op een paar belangrijke gebieden concentreren.
1. Bewustzijn van het attack surface meten
Een muur bouwen om aanvallers op afstand te houden, is niet voldoende in het huidige dreigingslandschap. Uiteindelijk zullen er een of meer aanvallers binnendringen. Het is simpelweg niet mogelijk om 100% van de dreigingen te stoppen, wat betekent dat de beveiliging moet verschuiven van een focus op perimeterbeveiliging naar detectie in het netwerk. Om succesvol te zijn, moeten organisaties zich bewust zijn van zaken als blootgestelde inloggegevens, verkeerde configuraties, potentiële aanvalspaden en andere kwetsbaarheden die aanvallers kunnen misbruiken.
Er is een breed scala aan tools beschikbaar die kunnen helpen. Endpoint Detection and Response (EDR)-tools bieden inzicht in aanvallen op endpoints, terwijl Extended Detection and Response (XDR)-tools deze mogelijkheden uitbreiden door te integreren met andere oplossingen. Aanvallers zullen bijna altijd proberen om Active Directory (de service die authenticatie voor de hele onderneming afhandelt) te compromitteren, wat moeilijk te beveiligen is. Detectietools die in staat zijn verdachte AD-query’s en andere potentiële aanvalsactiviteiten te identificeren, kunnen het nachtmerriescenario van een gecompromitteerde AD helpen voorkomen.
Identiteitsbeveiliging wordt ook steeds belangrijker. Hoewel traditionele EDR-tools en AD-beveiligingsoplossingen niet de identiteitsbescherming bieden die nodig is in de huidige omgevingen, zijn Identity Threat Detection and Response (ITDR)-oplossingen ontwikkeld om die leemte op te vullen.
2. Onderzoek naar machtigingen en rechten
IT-teams willen zich over het algemeen niet bemoeien met de bedrijfsvoering. Het is gemakkelijker om gebruikers en andere identiteiten meer rechten te geven dan ze nodig hebben, in plaats van het risico te lopen iemand in zijn of haar werk te belemmeren. Dit heeft vaak tot gevolg dat medewerkers online rechten krijgen die veel verder gaan dan wat ze eigenlijk nodig hebben om hun werk te doen. Als aanvallers die identiteiten compromitteren, hebben ze dus ook toegang tot veel meer gegevens dan ze anders zouden hebben.
Het implementeren van een Zero Trust Architecture (ZTA) is een manier om met deze uitdaging om te gaan. Door identiteiten alleen het minimale toegangsniveau te bieden dat ze nodig hebben om te functioneren en voortdurend te valideren dat ze zijn wie of wat ze zeggen te zijn. Daarbij hebben organisaties tools nodig om buitensporige machtigingen en andere potentiële kwetsbaarheden in het hele netwerk te identificeren. Organisaties moeten deze machtigingen regelmatig controleren en bijwerken om ervoor te zorgen dat ze relevant blijven en dat iemand die audits kan onderzoeken. Een goed bewustzijn in het hele netwerk kan IT-teams helpen meten hoe effectief ze hun machtigingen beheren.
3. Detectienauwkeurigheid meten en verbeteren
Beveiligingswaarschuwingen zijn goed – ogenschijnlijk geven ze aan dat beveiligingshulpmiddelen correct werken en ze detecteren dreigingen. Verdachte activiteiten blijken echter vaak ongevaarlijk, wat resulteert in een vals alarm waardoor het beveiligingsteam tijd verspilt met nutteloos onderzoek. Deze valse waarschuwingen kunnen leiden tot alert-moeheid, waarbij buitensporig veel valse alarmen de werkelijke dreigingen overstemmen.
Het uitvoeren van een zogenoemd false positive reporting rate (FPRR) kan beveiligingspersoneel helpen de kwaliteit van hun waarschuwingen te begrijpen. Als de FPRR te hoog is, is het wellicht tijd om naar nieuwere, nauwkeurigere tools te kijken. De huidige detectietechnologie is vaak gewapend met kunstmatige intelligentie en machine learning (AI en ML), waarmee ze in de loop van de tijd kunnen leren en waarschuwingen kunnen onderbouwen voordat ze doorgestuurd worden naar het beveiligingsteam. Hierdoor vermindert het totale volume aan alerts en kunnen netwerkverdedigers zich concentreren op daadwerkelijke dreigingen.
4. De effectiviteit van automatisering begrijpen
Automatisering is nuttig voor meerdere doeleinden naast het verminderen van valse alarmen. Het is niet altijd haalbaar om alle dreigingen handmatig te herstellen bij de huidige aanvalvolumes. Gelukkig kunnen de tools van vandaag automatisch aanvalinformatie uit verschillende bronnen met elkaar in verband brengen en deze ter beoordeling op één dashboard weergeven. Door playbooks te maken voor bepaalde soorten aanvalactiviteiten, kunnen deze tools automatisch specifieke dreigingen herstellen voordat ze zelfs maar onder de aandacht van een verdediger worden gebracht. Deze automatisering versnelt en vereenvoudigt de respons op incidenten, waarbij dreigingen worden aangepakt zodra ze worden gedetecteerd en worden gestopt voordat ze kunnen escaleren en zich door het netwerk verspreiden.
Conclusie
Organisaties, groot en klein, moeten over passende security beschikken en over de kennis en middelen die nodig zijn om de doeltreffendheid ervan te meten. Gelukkig kan het beoordelen van zaken als netwerkzichtbaarheid, beheer van rechten en rapportage van incidenten en valse alarmen organisaties helpen hun algehele netwerkstatus te bepalen en meten hoe goed hun verdediging werkt.
Dit kan beveiligingsteams ook helpen bij het genereren van extra steun van CISO’s en directies bij het verbeteren en uitbreiden van hun verdedigingscapaciteiten. Het is essentieel om te begrijpen welke stappen nodig zijn om de cybercriminelen een stap voor te blijven. Aangezien de gemiddelde kosten van een datalek in 2021 stegen tot $4,24 miljoen, zijn effectieve beveiligingsoplossingen nog nooit zo belangrijk geweest.
Lees ook:
- Top 5 trends die cyberbeveiligingsrisicos vergroten
- De onderneming verdedigen tegen digitale risico’s in de supply chain
