Securitymanagement.nl

Hét platform voor de security professional

Nieuws

Shadow-IT

De blinde vlek van IT-security: Shadow-IT

Velen maken zich zorgen over de term Shadow-IT. Medewerkers downloaden apps, gebruiken privé-apparaten voor hun werk of delen bedrijfskritische informatie via WhatsApp. Deze schijnbaar onbelangrijke IT-diensten zijn onzichtbaar, vandaar de term Shadow IT, maar dat betekent niet dat er geen actie nodig is. Want hoewel de beveiligingsrisico’s die eruit voortkomen, misschien al worden herkend en aangepakt, is het belangrijk te weten dat erachter een subtieler en moeilijker te herkennen gevaar kan zitten.

Door Berry de Jong / Beeld: Shutterstock

Wat dit verborgen gevaar is? Netwerkcomplexiteit. Als netwerken steeds meer met elkaar verweven en onoverzichtelijker worden, leidt dit vaak tot nieuwe Shadow-IT problemen: verborgen kwetsbaarheden, verkeerd geconfigureerde tools en beveiligingshiaten die niemand in de gaten heeft of monitort. Als IT-teams geen 360 graden overzicht, transparantie en volledige grip op de netwerkinfrastructuur hebben, is het een kwestie van tijd voordat hackers door de kieren naar binnen glippen. Net zoals een ongeautoriseerde app de smartphone van een werknemer aan allerhande cyberrisico’s kan blootstellen, kan een complex, meervoudig gelaagd netwerk de deuren wijd openzetten voor cybercriminelen.

> LEES OOK: Vers van de pers: Security Management 3: Cybersecurity

Donkere kant

Onder Shadow-IT verstaan we ongeautoriseerde applicaties en diensten die buiten de officiële controle om worden gebruikt. De complexiteit van Shadow-IT kan dus worden gezien als een probleem dat het gevolg is van een opeenstapeling van meerdere infrastructuurlagen, verkeerd geconfigureerde beveiligingstools, overtollige beleidsregels en hiaten in de compliance – en niemand heeft het overzicht.

Naarmate het aantal gebruikte beveiligingsoplossingen groeit, wordt het steeds lastiger om deze security stack te beheren. Dit maakt het probleem er alleen nog maar erger op. IT- en securityteams denken misschien dat zij volledige grip op zaken hebben, maar hebben geen oog voor de blinde vlekken in de beveiliging die in de loop der tijd zijn ontstaan. Anders gezegd: ze realiseren zich niet meer wat zij niet weten. Door de wirwar van beleidsregels, tools en configuraties blijven kwetsbaarheden verborgen. Deze gaten in de beveiliging kunnen maanden- of zelfs jarenlang onopgemerkt blijven. En dat zet de deur open voor beveiligingsincidenten.

Overlappende en conflicterende regels

Veel grote organisaties maken gebruik van diverse security- en monitoringtools, van firewalls en oplossingen voor endpoint-beveiliging tot SIEM-tools en RMM-systemen en meer. En dat is op zich natuurlijk geen probleem.
Het wordt echter problematisch wanneer overlappende beleidsregels van verschillende beveiligingsplatforms voor inconsistentie zorgen. Sommige IT-omgevingen staan mogelijk onder al te streng toezicht, terwijl andere aspecten aan risico’s blijven blootgesteld. Maar wie heeft het overzicht? Neem bijvoorbeeld het Legacy-systeem dat uit de roulatie had moeten worden genomen maar nog in bedrijf blijft, vanwege zorgen over mogelijke afhankelijkheden.

IT-teams zijn bang dat het verwijderen van verouderde servers of applicaties, bedrijfsprocessen kan verstoren. Deze systemen blijven daarom vaak operationeel, zonder dat ze met beveiligingsupdates (kunnen) worden bijgewerkt. De redenatie is ongeveer als volgt: het is een oud systeem of een oude back-up waaraan geen gevaren zijn verbonden. Dit gebrek aan overzicht kan echter al snel uitgroeien tot
een aanzienlijk beveiligingsrisico.

Een voorbeeld: in maart 2020 werd data gelekt van Britse treinreizigers die gebruik hadden gemaakt van gratis wifi in door Network Rail beheerde treinstations. Dit datalek was het gevolg van een foutieve configuratie in AWS Cloud Storage. De database werd zonder wachtwoordbeveiliging op het internet aangetroffen. De wifi-provider was ervan uitgegaan dat de toegang tot de storage-omgeving beperkt was tot medewerkers en had er geen erg in dat al deze persoonlijke informatie voor iedereen toegankelijk was. De provider claimde later dat de database simpelweg een back-up was. Dit incident laat zien hoe simpele configuratiefouten kunnen resulteren in fatale beveiligingslekken en hoe belangrijk het is om alle bestanden, data en apparaten te beveiligen, of ze nu in gebruik zijn of niet.

> LEES OOK: Schaduw-AI: een onderbelichte kant van schaduw-SaaS

Compliance-gebreken

Veel bedrijven moeten voldoen aan compliance-regelgeving zoals GDPR, DORA, ISO 27001, Cyber Essentials en NIS2. En het lijkt wel alsof er elk jaar regelgeving voor cybersecurity of databescherming bijkomt. Complexiteit binnen je systemen maakt het lastig om te bepalen wat er wel of niet aan de regelgeving voldoet.

Stel je een bedrijf voor dat gebruikmaakt van meerdere cloud-omgevingen, elk met hun eigen securityregels en compliance-normen. Zonder een geünificeerde strategie, realiseren securityteams zich misschien niet dat zij niet voldoen aan de compliance, totdat bij een audit de kritieke problemen aan het licht komen. Erger nog: deze compliance-gebreken kunnen leiden tot boetes van toezichthouders en reputatieschade.

Veelgebruikte strategieën en waarom deze kunnen falen

Securitytools die in geïsoleerde systemen werken, verliezen hun effectiviteit. Het kan daarom op het eerste gezicht solide en verleidelijk lijken om meerdere beveiligingstools en -frameworks op elkaar te stapelen. Maar zonder een snel inzetbaar, gecentraliseerd en schaalbaar overzicht in realtime, zal deze complexiteit in beveiligingslekken resulteren.

Het is simpelweg onmogelijk om hier met handmatige processen grip op te krijgen. IT-teams worden nu immers al overstelpt met meldingen, beleidsregels en voortdurend veranderende aanvalstechnieken. Kleine configuratiefouten blijven onopgemerkt, en cybercriminelen gaan actief op zoek naar onbewaakte systemen die kwetsbaarheden bevatten.

Ransomware-bendes maken vaak misbruik van deze blinde vlekken, en krijgen toegang via ongepatchte of anderszins gebrekkig beveiligde systemen. De complexiteit van moderne IT-omgevingen creëert een perfect speelveld voor deze aanvallen en stelt cybercriminelen in staat om kwetsbaarheden uit te buiten, voordat deze worden ontdekt.

Aan het licht brengen

In een complexe en dynamische IT-omgeving wordt het steeds moeilijker om een compleet beeld te krijgen van beveiligingsrisico’s en -vereisten. Om deze uitdaging het hoofd te bieden, is het nodig om rekening te houden met de volgende punten:

• Ken prioriteit toe aan het verkrijgen van overzicht:

Zonder duidelijk overzicht van de hybride infrastructuur, aanvalsoppervlakken en compliance-status en ontbrekende patches is het bijna onmogelijk om beveiligingsrisico’s goed in te schatten. Zonder een geconsolideerd monitoringsysteem is de kans groot dat je beveiligingsinfrastructuur veel wegheeft van een bouwpakket van de bekende Zweedse interieurketen waarvan de handleiding en juiste schroeven ontbreken.
Je hebt simpelweg geen weet van hoe alles in elkaar past. Het is daarom van cruciaal belang om gebruik te maken van een centraal beveiligingsplatform dat assetmanagement, compliance-tracking en monitoring consolideert.

• Automatiseer zoveel mogelijk:

Zodra je duidelijk overzicht hebt (en eindelijk hebt uitgevogeld hoe je die kast in elkaar zet), kan automatisering je helpen om het beveiligingsbeleid up-to-date te houden en te zorgen voor consistentie tussen cloud- en on-premise-omgevingen. Geautomatiseerd patchbeheer en compliance-rapportage verminderen menselijke fouten in beveiligingsprocessen, zodat risico’s vroegtijdig kunnen worden herkend en verholpen voordat ze escaleren.

• Vereenvoudig je security stack:

Overbodige beveiligingstools moeten worden geïdentificeerd en verwijderd. Een te complex systeem maakt het werk moeilijker, belast budgetten en creëert nieuwe gaten in de beveiliging. Minder overbodige componenten betekent minder potentiële kwetsbaarheden, die gecontroleerd en beveiligd moeten worden.

Tot slot is een regelmatige review van het beveiligingsbeleid en de beveiligingstools cruciaal om de effectiviteit van de beveiligingsarchitectuur te waarborgen. Ook voorkom je daarmee een verwarrende structuur die meer risico’s creëert dan voorkomt.

Te complexe beveiliging creëert extra kwetsbaarheden

Conclusie

Complexiteit is een bedreiging voor security en moet als zodanig worden behandeld. Bedrijven zijn snel geneigd om aanzienlijke bedragen te investeren in firewalls, dreigingsanalyses en compliance-programma’s, maar zien vaak de verborgen risico’s van hun eigen infrastructuur over het hoofd. Een onoverzichtelijke en te complexe beveiligingsarchitectuur creëert alleen maar extra kwetsbaarheden.

Zonder een proactieve benadering voor het vereenvoudigen en beveiligen van netwerken, lopen organisaties het risico op beveiligingslekken, compliance-fouten en operationele inefficiëntie. Net zoals Shadow-IT moet worden beheerd, moet Shadow-complexiteit ook aan het licht worden gebracht. Want zelfs wat onzichtbaar is, kan grote schade aanrichten.

Berry de Jong is Regional Sales Director Europe bij FireMon

Dit artikel is ook gepubliceerd in het Vaktijdschrift Security Management. Klik hier voor een abonnement op Security Management.

Volg Security Management op LinkedIn


Gerelateerde berichten

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.
Cookies
Om u beter van dienst te kunnen zijn, maakt Securitymanagement gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
Instellingen