Fujitsu roundtable: ‘Zonder detectie is IT-security een ‘losing game’

De aandacht van securityspecialisten verschuift steeds meer van preventie naar detectie en vormt zo de digitale ‘brandweer’ in organisaties. Tijdens een door Fujitsu georganiseerde roundtable werd duidelijk dat bedrijven lering moeten trekken uit de vele geruchtmakende security-incidenten van de afgelopen tijd.

Als er één les valt te trekken uit de vele security-incidenten die de laatste maanden de internationale krantenkoppen haalden, dan is het wel dat bedrijven sneller moeten reageren op signalen die wijzen op mogelijke problemen. Dit is mede ingegeven door de constatering dat het 100 procent kunnen voorkomen van security-incidenten geen realistische doelstelling meer is. Veiligheidslekken in Intel-chips (bekend geworden onder de codenamen ‘Meltdown’ en ‘Spectre’) en het Petya-virus, dat in juni vorig jaar de containerterminal van Maersk in de Rotterdamse haven trof, zijn maar enkele incidenten waar elke veiligheidsbewuste organisatie lering uit zou moeten trekken. Als digitale ‘brandweer’ van een organisatie verschuift de aandacht van de IT-security steeds meer naar het tijdig detecteren en oplossen van incidenten, waar in het verleden inspanningen grotendeels gericht waren op het voorkomen ervan.

Wereld steeds onveiliger
Hoewel een verandering van preventie naar detectie een incident zoals Petya niet geheel zou kunnen voorkomen (er was zelfs al een patch uitgebracht), is er toch een duidelijke trend zichtbaar. Van ‘fire prevention’ naar ‘fire fighting’, dat is de toekomst van security. Tijdens een roundtable over dit onderwerp in het Rotterdamse Hotel New York kwamen IT-managers en securityspecialisten van gastheer Fujitsu, klanten en partnerbedrijven onlangs tot deze gezamenlijke conclusie. Volgens Rudolph Bos, hoofd Cyber Security Benelux bij Fujitsu, zijn Meltdown en Spectre typische voorbeelden van incidenten welke preventie niet kan voorkomen. “Ongetwijfeld gaan we dergelijke incidenten vaker meemaken. Logischerwijs moeten organisaties nadenken over hoe zij zich hier tegen gaan weren door actie te ondernemen op het moment dat een incident zich wel verspreid maar nog niet heeft geopenbaard. Met andere woorden: door te blussen nog voordat de eerste rookpluimen zichtbaar zijn.”

Preventie is een ‘losing game’
Volgens marktonderzoeker Gartner zal de helft van alle IT-budgetten de komende jaren opgaan aan detectietechnologieën, naast preventiemiddelen. Een voorspelling die op bijval kan rekenen onder securityspecialisten. “Of je het nu wel of niet eens bent met de hoogte van de voorspelling, dit is wel waar de markt zich naartoe beweegt”, aldus Rob Pronk van LogRhythm, leider in het SIEM segment van de Security markt en gespecialiseerd in vroege detectie en geautomatiseerde response oplossingen op basis van Cyber Analytics. Zijn stelling luidde dan ook dat aandacht voor alléén preventie een ‘losing game is’. Hij verwees onder meer naar de grote aantallen IoT-devices, waarvan er naar schatting binnen enkele jaren zo’n 10 miljard wereldwijd verbonden zijn met het internet, maar ook naar het vele gebruik van mobiele privédevices zonder volledige encryptie van bestanden die voor zakelijke doeleinden zijn bedoeld.

“Zeker als het gaat om mobiele apparaten zijn de aanvalsfactoren vaak onbekend”, zegt Peter Sandkuijl van cybersecuritybedrijf Check Point. Gebruikers kunnen hun device rooten, malafide applicaties installeren en schakelen constant tussen 4G en Wifi, vaak zonder het te beseffen maar met dezelfde gevoelige data. Ook kan iedereen een mobiele hotspot aanmaken, welke door aanvallers gebruikt kan worden als achterdeurtje om binnen te komen in het bedrijfsnetwerk. Met de komst van IoT-devices wordt het aanvalsoppervlak nog eens vele malen groter. Deze ontwikkeling verklaart volgens Sandkuijl de verschuiving van IT-security naar aanvalsdetectie. “Het is logisch dat security in een bredere zin noodzakelijk is. Aanvallen kunnen overal vandaan komen en kwetsbaarheden benutten waarvan organisaties het bestaan nu nog niet eens weten.”

Het spel verandert
Technologieën waarin bedrijven kunnen investeren om hun detectiecapaciteiten te verbeteren omvatten onder meer Intrusion Detection Systems (IDS) en ‘memory forensics’ door het uitlezen van RAM in devices. Tegelijkertijd valt aan de preventiekant aandacht voor Intrusion Prevention Systems (IPS) aan te raden om goed in staat te zijn om een respons te creëren bij detectie. Dit vergroot de mogelijkheden, maar tegelijkertijd wordt ook het dreigingslandschap een stuk complexer. Dit stelde ook David Markham, Technical Lead voor Fujitsu Cyber Threat & Intelligence. Een nieuw gevaar waar hij op wees is bijvoorbeeld het exploiteren van internetprotocollen zoals DNS door kwaadwillenden, welke gebruikt kunnen worden om bestanden gedistribueerd op te slaan. Tegelijkertijd blijkt er ook een klassieke factor in het spel, namelijk: de mens. Het beschermen van een netwerkomgeving heeft slechts beperkt effect als de bedreiging van binnenuit komt. Zo’n zestig procent van alle aanvallen wordt veroorzaakt door insider threats. Detectie is dé manier bij uitstek om deze incidenten tegen te gaan, doordat er doorgaans sprake is van een vaste volgorde van onderling samenhangende gebeurtenissen.

Bescherm de kroonjuwelen
Moet de brandweer telkens met al het materieel en loeiende sirenes uitrukken bij een melding? Juist niet, is een mening die door alle aanwezigen gedeeld wordt. Mede omdat securityspecialisten moeilijk zijn te vinden op de huidige arbeidsmarkt en budgetten zeker niet onuitputtelijk zijn, moeten organisaties deze assets inzetten wanneer het er echt om draait. Niet elke keer wanneer iemand ergens een lucifer afsteekt, wel wanneer een bos in brand staat. Maar dit is niet de enige kwestie waarop organisaties een eigen antwoord moeten zien te vinden. Naast weten wanneer de brandweer moet uitrukken, moeten zij ook weten waarvoor zij dit precies doen. Verschillende deelnemers in de roundtable onderschrijven het belang van het bepalen van de ‘kroonjuwelen’ van de organisatie en het doen van een sterkte-zwakteanalyse om potentiële risico’s te bepalen. Door deze focus te kiezen maakt een organisatie security ‘top of mind’ in plaats van een gedachte achteraf. Security mag nooit en te nimmer een afvinklijstje zijn van items die een organisatie moet nagaan om zich veilig te wanen; een grote uitdaging ligt juist in het zodanig integreren van security in processen dat een organisatie precies weet wat het moet doen in geval van nood.

Meer informatie: www.fujitsu.com