Vind de cybercrimineel in uw netwerk

Organisaties kunnen niet voor 100 procent voorkomen dat er datalekken plaatsvinden. Wel kunnen zij zich hier zo goed mogelijk op voorbereiden. Dit om de (financiële) schade zo beperkt mogelijk te houden. Hier zijn drie basiselementen voor nodig: visability, identiteit management en risicoanalyse.

De aanvalstechnieken van de cybercriminelen zijn in de afgelopen vijf jaar sterk veranderd: Vroeger kochten criminelen beveiligingssoftware en zochten hierin naar zwaktes. Daar werden dan aanvallen voor ontwikkeld. Deze werden op grote schaal verspreid naar veel mensen. Tegenwoordig zetten cybercriminelen in op microdistributie, ofwel single threats. Dat betekent dat een aanval specifiek op een organisatie wordt gericht. Negentig procent van de aanvallen bestaat uit zo’n microaanval.

Hedendaagse aanvalstechnieken

Hedendaagse aanvallen gaan daardoor een stuk langzamer dan voorheen. De crimineel analyseert eerst het bedrijf. Dat gebeurt grondig: van het netwerk tot de medewerkers en leveranciers. Daarna voert het een eerste aanvalspoging uit, zoals het versturen van een phishingmail. Met deze aanval wil de cybercrimineel het netwerk binnenkomen. Tegenwoordig wil de crimineel niet alleen het netwerk binnendringen, maar wil de crimineel vooral belangrijke informatie buit maken. Dat betekent dat hij pas na het binnendringen van het netwerk echt actie gaat ondernemen om data te verzamelen en te exploiteren. Dat doet hij bijvoorbeeld door malware op het netwerk te installeren.

Deze vorm van aanvallen betekent dat de basis-beveiligingstechnologieën, zoals een firewall of antivirus, niet meer voldoende bescherming tegen cybercriminelen bieden. Bedrijven moeten daarom nadenken over een geavanceerde bedreigingstrategie, welk bestaat uit drie onderdelen: visability, identiteit management en risicoanalyse.

Visability

Ook wel zichtbaarheid genoemd, is de basis om geavanceerde bedreigingen te beperken. Je kan niet beschermen wat je niet ziet. Bedrijven moeten hun netwerk door en door kennen: van de aanwezige apparaten tot de gebruikte technologieën. Ze moeten weten wat er gebeurt op gebied van IT, van de cloud tot de endpoints. Met de zichtbaarheid kunnen bedrijven ongewone activiteiten van cybercriminelen op het netwerk opsporen en hier vervolgens op reageren. Mensen vergeten vaak dat er een verschil zit tussen een inbreuk en een lek. Cybercriminelen vinden niet altijd direct wat ze zoeken. Dat duurt soms maanden. Via visability beperk je de tijd die criminelen op het netwerk kunnen doorbrengen en daarmee ook de kans dat ze daadwerkelijk data buit maken.

Identiteit management

Een ander sleutelelement in het beveiligingsbeleid is identiteit management. Via identiteit management regelen bedrijven dat de juiste mensen, de juiste toegang tot de juiste IT-assets hebben (authenticatie en governance). Hierbij moeten bedrijven de gehele lifecycle (levensduur) van iedere medewerker in kaart brengen: vanaf het moment dat ze toetreden tot de organisatie tot aan het moment dat ze de organisatie verlaten. In deze periode kan iemand bijvoorbeeld promotie maken. Daarvoor heeft hij onder andere meer rechten nodig.

risicoanalyse

Het derde onderdeel op het gebied van securitymaatregelen is een risicoanalyse. Organisaties hebben te maken met een tal van risico’s: van financiële en operationele risico’s tot wetgeving waaraan voldaan moet worden. Het is de taak van IT om het aantal beveiligingsrisico’s terug te brengen.

Een belangrijk onderdeel daarvan zijn de uitgaven in IT. Bedrijven geven 80 procent van hun IT-budget uit aan preventie (beveiligingstechnologieën zoals firewalls). Slechts 15 procent gaat naar monitoring (netwerkactiviteiten in kaart brengen) en de overige 5 procent wordt besteed aan response (verdachte netwerkactiviteiten onderzoeken). Deze verhoudingen kloppen niet. Er wordt teveel uitgegeven aan preventie terwijl een gelijkwaardige verdeling een betere oplossing is: 33 procent voor preventie, 33 procent voor monitoring en 33 procent voor response.