Werkt je huidige cybersecurity-aanpak niet? Dat komt door deze vijf obstakels

  1. 25 aug 2017
  2. 0 reacties
Rob_Pronk_062016

We bevinden ons momenteel in een fatale situatie. Enerzijds worden cybercriminelen en hun acties steeds geavanceerder, waardoor ze steeds vaker slagen in hun pogingen. Het Internet of Things en de cloud zijn steeds vaker het doelwit, terwijl cybercriminaliteit bovendien steeds beter georganiseerd is en er steeds meer geld in omgaat. Anderzijds heerst er in de securitybranche een nijpend tekort aan talent en technologie.

Het gevolg is dat cyberaanvallen lang niet altijd meer te voorkomen zijn. We zien dan ook een verschuiving in strategie: waar preventiestrategieën voorheen nog volstonden, richten bedrijven zich nu op het detecteren van en reageren op incidenten. Snel handelen is key in het tegengaan van moderne dreigingen. Het is dan ook essentieel om de mean time to detect (MTTD) en mean time to respond (MTTR) te verlagen: de tijd die het kost om problemen te ontdekken en er vervolgens op te reageren. Hierbij komen IT-teams doorgaans de volgende obstakels tegen.

Obstakel 1: alarmmoeheid

IT-teams hebben dagelijks te maken met duizenden notificaties. Dat kost heel veel tijd, en maakt het ingewikkeld om te bepalen waar ze hun aandacht op moeten richten. En wat nog erger is: IT’ers zijn hierdoor niet altijd meer in staat om echte problemen te onderscheiden van valse alarmen.

Obstakel 2: draaistoelanalyse

IT-teams gebruiken meerdere technieken, waardoor IT’ers continu van het ene scherm naar het andere gaan. Dat kan behoorlijk wat verwarring veroorzaken over hun huidige staat van security.

Obstakel 3: datasilo’s

Door een veelvoud aan verschillende technieken, hebben IT-teams ook te maken met meerdere datasets. Ze doen hun best om die informatie op de een of andere manier handmatig te consolideren en te correleren, maar dat proces is foutgevoelig, niet effectief en inefficiënt.

Obstakel 4: gefragmenteerde workflow

Wanneer zich calamiteiten voordoen, maken IT-teams vaak gebruik van informele processen en tools als e-mail, spreadsheets, Google Docs en andere samenwerkingstools om de problemen te onderzoeken. Het ontbreekt hen dus vaak aan een gecentraliseerde workflow en casemanagementsysteem, waardoor dreigingen er weleens doorheen kunnen glippen of vergeten worden.

Obstakel 5: gebrek aan automatisering

Veel IT-teams beschikken dus niet over de juiste middelen, en vaak zijn de gebruikte middelen en processen ook niet geautomatiseerd. Daardoor moeten ze alles handmatig aanpakken. Bedrijven hebben vaak te weinig budget om hiervoor extra werknemers in de arm te nemen, kunnen geen getraind securitypersoneel vinden, of beide. Daardoor houden IT-teams amper het hoofd boven water.

Kortom, IT-teams hebben te maken met (te) veel notificaties, verschillende technieken en datasets, en er is tegelijkertijd sprake van een gebrek aan centralisatie en automatisering. Dat lijken een hoop uitdagingen, maar met effectief Threat Lifecycle Management (TLM) kan de impact van cyberaanvallen aanzienlijk verkleind worden. TLM is een gestroomlijnd intern proces van slimme monitoring, geautomatiseerde actie en snel herstel.  De aanpak gaat uit van zes fases in monitoring en analyse van cyberdreigingen. De eerste is het verzamelen van gegevens uit bijvoorbeeld beveiligingssoftware voor het creëren van een grondig inzicht in de IT-omgeving. Het liefst zelfs 360-gradeninzicht om blinde vlekken in het netwerk te voorkomen. Vervolgens dient de omgeving gemonitord te worden om eventuele calamiteiten direct te ontdekken. Daarna is kwalificatie en onderzoek essentieel, zodat IT-teams weten of en hoe zij hier actie op moeten ondernemen. Ten slotte kunnen de bedreigingen worden geneutraliseerd en eventuele schade hersteld.

Door TLM (deels) te automatiseren, krijgen IT-teams automatisch bericht van bedreigingen waar zij ‘iets’ mee zouden moeten doen, zodat ze sneller kunnen anticiperen op incidenten. Zo brengen zij de MTTD en MTTR omlaag en blijft er meer tijd over om te doen waar ze goed in zijn. En dat zonder dat hiervoor een 24x7 security operations center (SOC) of extra personeel nodig is.

Rob Pronk, Regional Director Central and Northern Europe bij LogRhythm

Dossiers