Moderne cyberbedreigingen vragen om continuous response

Brussel - 24 april 2019 - Het bedreigingslandschap verandert voortdurend. Dat heeft gevolgen voor de manier waarop bedrijven hun organisatie tegen cyberaanvallen beschermen. F-Secure, de specialist in cybersecurity, roept organisaties op tot grotere alertheid op beveiligingsincidenten, zodat ze die snel en effectief kunnen inperken met de juiste mix van mensen, processen en technologie.

“Beveiligingsincidenten zijn voor veel bedrijven uitgegroeid tot een vanzelfsprekendheid. Het is niet langer de vraag of ze worden gehackt, maar wanneer. Dit vraagt om een nieuwe benadering van diverse aspecten van hun beveiliging”, zegt Rob Vissers, Country Sales Manager Benelux bij F-Secure.

Uit onderzoek blijkt dat de beveiliging van organisaties mank loopt doordat ze onvoldoende investeren in effectieve strategieën voor incidentrespons. 44 procent van de respondenten die deelnamen aan een recente enquête door het in 2018 door F-Secure overgenomen MWR Infosecurity zegt minder te investeren in incidentrespons dan in het voorspellen, voorkomen of detecteren van bedreigingen. Slechts 12 procent zei meer prioriteit toe te kennen aan incidentrespons dan andere beveiligingsaspecten.

Continuous response is een nieuw concept op het gebied van cybersecurity dat van cruciaal is voor het verbeteren van de incidentrespons. Het gaat om de kunst en wetenschap om de juiste mensen op het juiste moment op de juiste plek in te zetten en hen te wapenen met alle informatie die ze nodig hebben op grip op de situatie te krijgen. Het doel is om samenwerking, contextuele informatie en controlemechanismen tot een soepel proces te combineren. In de praktijk kan dit betekenen dat één team van bedreigingsanalisten, first responders, beheerders en andere medewerkers hun krachten bundelen om proactief potentiële bedreigingen te identificeren en die te neutraliseren voordat ze verdere schade kunnen aanrichten.

“Als je beschikt over tools en technieken waarmee je snel aanvallen kunt detecteren, inperken en dwarsbomen, win je tijd. Je krijgt ook de gelegenheid om een compleet beeld te vormen van de manier waarop cybercriminelen misbruik maken van kwetsbaarheden in je infrastructuur en zich binnen je netwerk verplaatsen. Deze tools en technieken moeten geavanceerd genoeg zijn om te voorkomen dat aanvallers er erg in krijgen dat je hen in de gaten houdt. Ze moeten je ook de mogelijkheid bieden om ze met één gecoördineerde actie uit je netwerk te verwijderen”, zegt Vissers. “Verder is het belangrijk om deze tools en technieken in handen te geven van het juiste team. Dit is nodig als je wilt dat ze effect sorteren.” ​ 

Een combinatie van samenwerking, contextuele informatie en controlemechanismen

Volgens het rapport ‘Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises’ van Gartner (Bron: Gartner, Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises, James Browning, 25 februari 2019) draait Managed Detection & Response (MDR) om “‘het inhuren van getrainde ogen’ waarover je zelf niet beschikt of die je zelf niet kunt aantrekken, ten behoeve van detectie van incidenten die onopgemerkt blijven… Het draait om het vinden van 10% van alle bedreigingen die erin slagen om traditionele firewalls en oplossingen voor endpoint bescherming te omzeilen.”

MDR-oplossingen omvatten vaak 24/7 diensten voor bewaking op bedreigingen, detectie en incidentrespons. Aanbieders van deze oplossingen maken vaak gebruik van sensoren (zoals een endpoint-agent of een netwerksonde) om data over systemen van klanten te verzamelen. Deze data wordt vervolgens doorzocht op tekenen van beveiligingsincidenten. De klant wordt vervolgens op de hoogte gesteld van de detectie van potentiële incidenten.

Bij de detectie van cyberbedreigingen kunnen klanten ofwel zelf actie ondernemen of dit overlaten aan externe incidentresponsteams. Dit kan gaan om onderzoek en forensische IT op locatie of op afstand, evenals advies over mogelijke gecoördineerde technische tegenmaatregelen. Idealiter houden de activiteiten op het gebied van incidentrespons echter op bij het isoleren van hosts met behulp van Endpoint Detection and Response(EDR)-agents of afscherming door firewalls.

Effectieve MDR-oplossingen hebben echter veel meer te bieden. Als incidentrespons als een continu proces wordt benaderd, betekent dit dat teamleden voortdurend met elkaar communiceren en samenwerken en in staat zijn om verdachte gebeurtenissen te bespreken die op om het even welk punt binnen hun infrastructuur plaatsvinden. MDR-oplossingen maken dit mogelijk door beveiligingsmedewerkers de voorsprong te bieden die zij nodig hebben om cybercriminelen te dwarsbomen, in een hoek te drijven en uiteindelijk uit het netwerk te weren.

“Het is van cruciaal om een evenwichtige interne of uitbestede MDR-oplossing te vinden. Onze aanpak is om klanten ervan uit te laten gaan dat er reeds hackers in hun netwerk zijn binnengedrongen. Dit is naar onze mening de essentie van continuous response”, zegt Vissers. “Door hier op juiste wijze invulling aan te geven kunnen beveiligingsmedewerkers hackers al tijdens hun eerste indringingspoging uit het netwerk verwijderen en voorkomen dat ze opnieuw aanvallen.”