In het lijstje met dingen waarvan CIO’s nachts wakker liggen, staat cybersecurity vaak bovenaan. Het dreigingslandschap verandert en evolueert voortdurend. Cybercriminelen lanceren steeds nieuwe aanvallen en buiten kwetsbaarheden uit. Het verdedigen tegen dreigingen en het beschermen van bedrijfsgegevens lijkt soms een eindeloos spel dat je onmogelijk kunt winnen. Om hier een antwoord op te bieden, heeft de Zweedse netwerkcamerafabrikant Axis Communications de handen in elkaar geslagen met system integrators, beveiligingsexperts en eindgebruikers. Door verschillende processen toe te passen, kan het hoogst mogelijke niveau van cybersecurity voor bewakingssystemen worden gegarandeerd.
Een strategische aanpak van cybersecurity begint met een goed begrip van de meest voorkomende sectorspecifieke dreigingen waarmee een organisatie kan worden geconfronteerd, de bestaande kwetsbaarheden in hun beveiliging en de sectorregelgeving. Axis erkent dit en werkt proactief samen met partners en klanten om er zeker van te zijn dat ze over de juiste kennis en protocollen beschikken om aanvallen af te weren.
De dreigingen waarover organisaties zich het meest zorgen moeten maken, zijn veel vaker het gevolg van protocolfouten
Helaas zijn beveiligingsdreigingen niet in één vakje onder te brengen. Ze verschillen van elkaar qua complexiteit en impact. Zeer complexe aanvallen met de grootste impact op bedrijven en hun klanten krijgen vaak de meeste media-aandacht, maar deze zijn niet de meest voorkomende. De dreigingen waarover organisaties zich het meest zorgen moeten maken, zijn veel vaker het gevolg van protocolfouten en zogenaamd ‘opzettelijk of onopzettelijk misbruik van het systeem’.
Kwetsbaarheden in cybersecurity aanpakken
Kwetsbaarheden zijn zwaktes of kansen voor verschillende dreigingen om een negatieve impact te hebben op het systeem. En ze zitten in elk systeem: er bestaat geen oplossing die volledig vrij is van kwetsbaarheden. In plaats van te focussen op de kwetsbaarheid zelf is het belangrijk om de potentiële impact op de organisatie in te schatten als de kwetsbaarheid wordt uitgebuit. Op die manier kan worden bepaald welk risico ermee gepaard gaat en of het aanpakken van de kwetsbaarheid prioriteit heeft.
Axis streeft ernaar om best practices op het gebied van cybersecurity toe te passen bij het ontwerpen, ontwikkelen en testen van apparaten om het risico op het uitbuiten van zwaktes bij een aanval te beperken. Het beveiligen van een netwerk, netwerkapparatuur en de netwerkdiensten die het ondersteunt, vereist echter de actieve deelname van de volledige supply chain en van de eindgebruikersorganisatie. De Axis Hardening Guide beschrijft elke beveiligingsmaatregel die kan worden toegepast op apparatuur en raadt aan wanneer, waar en waarom deze moet worden gebruikt bij het beveiligen van het netwerk en zijn apparatuur en diensten.
Vanuit het oogpunt van de leverancier vereist het ontwikkelen van softwareproducten met ingebouwde beveiliging tijdens de volledige ontwikkelingslevenscyclus ervaring en volwassenheid in veilig softwareontwerp en -codering. Daarnaast moeten deze producten voldoen aan de geldende wetgeving (bijvoorbeeld GDPR, CCPA voor privacy en NDAA, DoD CCMC voor veilige supply chains, de Britse Secure by Default-wetgeving) en nog veel meer.
Communicatie en samenwerking
Ook al worden de beste processen toegepast om kritieke kwetsbaarheden in het productontwerp te voorkomen, het dreigingslandschap verandert voortdurend. Het is dan ook cruciaal om informatie over deze kwetsbaarheden te communiceren aan klanten en partners zodra ze worden ontdekt. Dit stelt hen in staat om risicobeoordelingen uit te voeren en actie te ondernemen, zoals patches.
Soms kiezen klanten ervoor om die beoordeling zelf uit te voeren en maken ze gebruik van onafhankelijke scansoftware die de huidige kwetsbaarheden in de oplossing blootlegt. Deze kan van onschatbare waarde zijn om een systeem veilig te houden, maar alleen in de juiste context en met een bijbehorende risicobeoordeling. Zo niet, dan bestaat de kans dat de verkeerde conclusies worden getrokken, met dure en onnodige maatregelen tot gevolg. Axis werkt nauw samen met klanten en partners om kwetsbaarheden te interpreteren, de prioriteit ervan te bepalen en een strategisch en doordacht actieplan te ontwikkelen.
Opleiding en training in cybersecurity best practices
Om organisaties bewust te maken van de nieuwste kwetsbaarheden, speelt opleiding een belangrijke rol in de ontwikkeling van een beveiligingsbeleid. Een van de grootste zwakheden in de cybersecurity van een organisatie kan het personeel zelf zijn. Denk aan beveiligingspersoneel, verantwoordelijk voor het beheer van de beveiligingsmaatregelen, zoals het up-to-date houden van alle apparaten, veilige uitrol, patches en accountbeheer. Het is cruciaal dat ze zich bewust worden van hoe aanvallen er kunnen uitzien en wat de potentiële impact is van het niet naleven van beveiligingsrichtlijnen.
Robuuste cybersecurity is teamwerk
Dreigingsactoren werken vaak samen en wisselen informatie uit over de nieuwste kwetsbaarheden, tactieken en bijbehorende beloningen. Om de strijd aan te gaan met zo’n vastberaden en vaak stevig gefinancierde vijand, moeten organisaties over de juiste wapens en ondersteuning beschikken. Omdat er steeds weer nieuwe dreigingen opduiken, is een gelaagde aanpak die berust op een gedegen cybersecurity-opleiding cruciaal voor de verdediging van een organisatie.
Nu de sector evolueert naar een ‘zero trust’ beveiligingsaanpak waarbij elke entiteit wordt geïdentificeerd en gedefinieerd op basis van haar risicoprofiel, is het belangrijk om te kiezen voor bewakingsproducten die zijn ontworpen met beveiliging in gedachten. Waar het om gaat, is dat je als bedrijf over de cruciale informatie en tools beschikt om veranderende dreigingen aan te pakken.
Dit artikel is gesponsord door Axis Communications