Een organisatie die zich richt op doorlopende beveiliging - een populair wordend model waarbij je niet uitgaat van een specifieke beveiligingsconfiguratie, maar blijft meten waar je staat en welke nieuwe risico's zich ontwikkelen - kijkt niet zozeer naar specifieke tools, maar zorgt ervoor dat er een goede beveiligingshygiëne wordt toegepast. Kortom: zorg ervoor dat mensen zich aan de juiste processen houden en deze beveiligingshouding toepassen in alles wat ze doen. Dat geldt niet alleen voor de eindgebruiker, maar voor de IT-organisatie als geheel, inclusief bestuur en IT.
Een van de issues is dat de aanbesteding van beveiligingsproducten niet altijd uitgaat van de daadwerkelijke bedrijfsbehoefte. Een organisatie met afdelingen in verschillende regio's met een online business, heeft een heel ander eisenpakket dan een middelgroot bedrijf op één locatie dat qua digitalisering nog in een heel andere fase verkeert. Bij het aanschaffen van tooling is het zaak om te kijken naar de strategie die je voert: wat wordt beschermd, wat zijn de kritieke use-cases, enzovoorts?
Wat heb je eigenlijk nodig?
Te vaak wordt er ingezet op de aanschaf van software en niet naar hoe die uiteindelijk wordt ingezet, vindt Ashish Khanna, hoofd Security Consulting & Architecture bij Verizon. Deals op de golfbaan en verkooppraatjes van leveranciers leiden niet tot een betere beveiligingsaanpak "Klanten kopen tools en gaan later pas bedenken wat ze ermee willen doen." Het moet precies andersom: ga uit van wat je wilt bereiken en zoek daar de tools bij.
"Kijk ten eerste naar de zakelijke noodzaak", zegt hij. "Wat is je bedrijfsvoering precies en welke elementen daarin zijn relevant qua beveiliging? Wat is het bestaande referentiemodel voor beveiliging?" Daarmee doelt hij op wat je nu gebruikt, bijvoorbeeld statische tools versus dynamische software, zoals producten die gedragsanalyse toepassen. "Kies voor tools die zich richten op de hele levenscyclus van de bedrijfsvoering." Met andere woorden: waar krijgen eindgebruikers allemaal mee te maken tijdens hun werk?
Drempels om overheen te worstelen
Het gaat daarbij vooral om het vergemakkelijken van die werkzaamheden, niet om hogere drempels op te werpen waar personeel zich overheen moet worstelen, waarschuwt hij. Gemak versus beveiliging is altijd de grote afweging geweest waar informatiebeveiligers zich over hebben moeten buigen, maar steeds meer maken leveranciers die afweging ook al en richten tools zich op een flexibelere aanpak die het voor eindgebruikers minder ingewikkeld en efficiënter maakt.
Neem software die zich meer richt op zwaardere beveiliging als wordt afgeweken van de geijkte paden, wat traditioneel een indicator kan zijn dat er wat aan de hand is. Gebruikers krijgen bijvoorbeeld minder lastige beveiligingsvragen op het moment dat ze op reguliere kantoortijden, op hun vertrouwde systeem en binnen het eigen netwerk een bron aanspreken, maar de drempels worden verhoogd op het moment dat IP-adres, locatie, of tijd afwijkt.
Voeg daar een laag gedragsanalyse aan toe - de persoon die normaal gesproken A, B en C doet, vraagt nu opeens B, C en D: is dat wel in orde? - Kijk je naar dit soort afwijkingen, dan heb je een veel dynamischere beveiligingsaanpak. Zo'n aanpak richt zich vooral op de back-end en vraagt de eindgebruiker niet constant om sleutels en authenticatiecodes, maar alleen op momenten dat er wordt afgeweken van de baseline.
Automatiseer de tools
Vervolgens moeten operaties van deze beveiligingsprocedures waar het kan worden geautomatiseerd. "Iedere beveiligingsprofessional krijgt te maken met melding-overload", weet Khanna. IT'ers worden overspoeld met logs en waarschuwingen, en in die ruis kan regelmatig een kritieke waarschuwing verloren gaan. Daarom wordt er steeds meer machine learning toegepast op bijvoorbeeld informatie van SIEM's om een schifting te maken van wat relevant is en wat niet.
Denken als een aanvaller is een goede aanpak om de eigen systemen te beoordelen, maar de Verizon security-deskundige wijst erop dat de gemiddelde IT-beveiliger niet zoveel tijd heeft voor zulke analyse van de eigen middelen en dagelijks meer bezig is met beslommeringen als het patchen van systemen, analyseren van logs, reageren op openstaande tickets en plannen voor aankomende wijzigingen. "Het is daarom belangrijk om bestaande operationele zaken zoveel mogelijk te automatiseren", zegt hij. "Zo kun je de focus behouden op wat er toe doet."
Reageer
Preview