CISO’s, CIO’s en securityteams hebben tegenwoordig steeds meer moeite hun cybersecurity naar wens in te zetten. Onder meer door het gebrek aan inzicht in het huidige zeer verspreide IT- en applicatielandschap, de talloze alerts uit de verschillende securitysilo’s en veel handmatige werkzaamheden. Een overkoepelend inzicht en vooral automatisering helpen deze complexe situatie beter te beheersen, geeft Managing Director Chantal ’t Gilde van securityspecialist Qualys aan.
Het inrichten en uitvoeren van een goede security voor hun IT-omgeving wordt voor veel CISO’s en CIO’s en hun securityteams een steeds complexere opdracht. Zeker als het gaat om de beheersbaarheid van de zakelijke IT-omgevingen die aan hen zijn toevertrouwd.
Waar vroeger (security)beheerders alleen te maken hadden met bijvoorbeeld on-premises-omgevingen aan infrastructuur en een ‘vloot’ van devices als desktops en laptops, zijn daar vandaag de dag onder meer container-, IoT-, OT-, private, hybride en public cloudomgevingen bijgekomen. Hierdoor wordt de complexiteit van de IT-omgevingen dus veel groter.
Bovendien gaat ook de digitale transitie die bedrijven nu sneller doormaken verder door, zodat de bedrijven steeds afhankelijker van hun IT-omgevingen worden. Dit maakt de uiteindelijke security van de zakelijke IT-omgevingen nog complexer.
Overkoepelend inzicht noodzakelijk
Bedrijven missen echter een compleet overzicht van deze omgevingen en alle ‘assets’ die zich daarin bevinden. Dit maakt zakelijke IT-omgevingen uiteindelijk kwetsbaarder en moeilijk te beheren, geeft Managing Director Chantal ’t Gilde van securitybedrijf Qualys aan.
Volgens hem is dit gebrek aan een totaalinzicht een zeer belangrijk punt voor het opzetten van een goed securitybeleid dat aan de huidige securityuitdagingen kan beantwoorden “Een volledig inzicht is echt noodzakelijk. Als securityspecialisten van bedrijven zich alleen richten op een deel van de IT-omgeving en het andere deel niet continu in de gaten houden of waarvan het overzicht wellicht helemaal ontbreekt, vergroot dat de kans op kwetsbaarheden. Op deze manier wordt een gevoel van schijnveiligheid gecreëerd.”
“Met overkoepelend inzicht of inventarisatie van alle systemen, omgevingen, assets, applicaties, maar ook de specifieke eisen die aan security worden gesteld, hebben securityspecialisten de mogelijkheid te bepalen waar zij precies hun aandacht op gaan richten. Beheerders kunnen dan beslissen en prioriteren welke onderdelen zij gaan bekijken, gaan scannen en waarop zij securityoplossingen en/of -toepassingen toepassen. Kortom, de basis begint bij het inventariseren van hoe IT-omgevingen er compleet uitzien. Op basis daarvan kan dan het securitybeleid worden vastgesteld.”
’t Gilde geeft aan dat dit inzicht securityspecialisten een grote schok kan bezorgen. “Zij moeten onder ogen zien dat het groeiende aantal systemen, dat zij door deze inzichten duidelijk voor ogen krijgen, gevolgen voor de business-omgeving heeft. En de business moet hiervoor dan ook de juiste beslissingen nemen. Het inzichtelijk maken, filteren en prioriteren van deze belangrijkste kwetsbaarheden is echt cruciaal.”
Meldingsmoeheid en gebrek aan nazorg
De schijnveiligheid wordt ook versterkt door de stortvloed aan securitymeldingen die securityteams vanuit hun diverse oplossingen krijgen. “Door deze stortvloed aan meldingen verliezen zij het overzicht en kunnen niet prioriteren wat echt belangrijk is om op te reageren. Je kan dus spreken van een echte meldingsmoeheid.”
Ook ontbreekt het vaak aan nazorg. Hiermee wordt bedoeld dat veel bedrijven vaak weliswaar patches of andere securitywijzigingen doorvoeren, maar daarna verzuimen om zaken te doen die daarmee verband houden. Zo moeten soms het registry of configuratie-instellingen aangepast worden of is een herstart van het systeem nodig voordat de patch effectief is. Als dit over het hoofd wordt gezien, blijven bepaalde kwetsbaarheden bestaan en ontstaat daardoor ook weer een stukje van schijnveiligheid, zo geeft ’t Gilde aan. “Ook hierop zou controle moeten zijn. Een compleet inzicht kan dit leveren. Bovendien zouden deze uitvoeringswerkzaamheden geautomatiseerd moeten plaatsvinden. Want er zijn geen mensen en te weinig tijd beschikbaar om dat allemaal te controleren.”
Meer automatisering
Het geautomatiseerd oplossen van de meest kritieke kwetsbaarheden is daarom ook zeer belangrijk voor de securitystrategie en -regie die bedrijven willen volgen. “Het inzichtelijk maken van IT-omgevingen gebeurt eigenlijk al geheel automatisch, want dat is handmatig niet meer bij te houden. Maar ook als het gaat om het oplossen van kwetsbaarheden of problemen, is automatisering de norm. Bedrijven doen dit natuurlijk vaak al en hebben daarvoor de benodigde softwaretools, maar er blijft veel handmatig werk bestaan. Denk aan het vooraf testen, het invoeren van de updates en het doorvoeren van allerlei configuraties. Dit geautomatiseerd aanpakken, is echter het beste.”
Geven van context
Het geautomatiseerd updaten van (bekende) kwetsbaarheden met patches zijn vaak de ‘quick wins’ die kunnen worden behaald. Maar automatisering levert ook een stuk belangrijke ‘context’ voor de security van IT-omgevingen, gaat Chantal ’t Gilde verder.
“Patches voor ransomware vormen bijvoorbeeld context. Deze patches geven aan dat zij duidelijk prioriteit hebben. Een ander stukje context is onder andere of systemen vanaf het internet benaderbaar zijn. Deze te kennen is misschien wel belangrijker dan het hebben van patches. Dit zijn namelijk systemen die niet in zicht zijn. Anderszins is informatie over end-of-life-situaties ook context.”
“Er zijn zoveel voorbeelden van context te vinden, maar het meest belangrijke is dat al deze informatie op een centrale plek of platform bij elkaar komt. Deze informatie moet je als securityteam goed in zicht hebben om uiteindelijk beslissingen te nemen.”
Stabiliteit door inzicht
Volgens Chantal ‘t Gilde is uiteindelijk het brengen van stabiliteit voor de securityomgeving waar het uiteindelijk allemaal om draait. Hiermee zijn securityspecialisten het meest gebaat. “Het krijgen van een goed inzicht is uiteindelijk waarmee alles begint, zoals we al hebben betoogd. Immers, wat je niet kan zien, kan je niet goed beveiligen. Met alle gevolgen van dien. Dit laatste wordt in mijn ogen nog altijd onderschat.”
“Daarnaast is belangrijk dat bedrijven niet alleen tools moeten kopen die dit inzicht verzorgen, maar ook moeten nadenken over hoe ze worden ingezet. Veel bedrijven beseffen nog niet dat een platform slechts een begin is. Maar de processen daaromheen, het meedenken daarin en het ‘embedden’ van het platform in die processen zijn vele malen belangrijker.”
“Integraties via API’s met oplossingen en toepassingen van andere aanbieders kunnen hierbij helpen. In het geval van Qualys kan dat bijvoorbeeld met ServiceNow, waarbij twee niet-concurrerende platforms een goede aanvulling op elkaar vormen. Deze integraties kunnen naast een goede ROI voor bestaande oplossingen en toepassingen ook andere kostenbesparingen opleveren.”
‘Last, but not least, moeten bedrijven goed weten wat hun tools precies kunnen en daarbij niet afgaan op aannames. De tools die zij selecteren worden een belangrijk onderdeel van hun security- en risicostrategie. Deze moeten daarom technisch goed passen bij het bedrijf en diens IT-omgevingen, nog afgezien van de hele organisatie daaromheen. Dit moet vertrouwd aanvoelen”, zo besluit Chantal ’t Gilde.
Lees ook:
- Qualys stimuleert groei bij klanten met verbeterd partnerprogramma
- Zonder goed IT asset management is effectieve security nagenoeg onmogelijk
