Overal in de wereld hebben organisaties te maken met geavanceerde cyberaanvallen op hun informatiesystemen. Deze bedreigingen komen van alle kanten: overheden die op zoek zijn naar zwakke punten van rivaliserende landen of gewoon bedrijfsspionage uitvoeren, professionele cybercriminelen die uit zijn op geldelijk gewin, of jeugdige hackers die vooral willen laten zien wat ze kunnen. Maar ongeacht de daders en hun motieven is duidelijk dat cyber security hoog op de agenda van iedere organisatie hoort. Daarbij zijn traditionele benaderingen niet langer voldoende om aanvallers buiten de deur te houden.
Rob Pronk
Nieuwe benaderingen zijn nodig, maar organisaties blijven vooralsnog moeite houden om hun bestaande maatregelen goed uit te voeren. Daar zijn verschillende oorzaken voor:
– Een overvloed aan data
Veel beveiligingsoplossingen registreren alles op dezelfde manier. Zij maken geen onderscheid tussen soorten bedreigen, waardoor een IT-afdeling bedolven raakt onder de alerts. Dat leidt gemakkelijk tot het missen van belangrijke meldingen.
– Een gebrek aan inzicht in gecentraliseerde data
Veel organisaties hebben geïnvesteerd in logmanagement en eerste-generatie SIEM-tools. Toch zijn ze met deze hulpmiddelen niet in staat om voldoende context te bieden voor het groeiende aantal machinedatatypes, vooral vanuit de cloud en de infrastructuur.
– Geen goede analysemogelijkheden
Organisaties hebben vooral geïnvesteerd in veel verschillende punt- of deeloplossingen, waardoor het voor teams nodig is om dreigingen via veel verschillende interfaces te analyseren om op die manier veelal zonder succes een algemeen beeld te creëren.
– Geen effectieve holistische bedreigingsdetectie
Bestaande, eerste-generatie SIEM-tools en andere analytische oplossingen zijn niet in staat om een holistisch en samenhangend beeld te creëren van de actuele securitysituatie. Ook kunnen ze geen samenhangende analyses maken van verschillende aanvalsvlakken. Doordat ze zich richten op één specifiek aanvalsvlak, is het risico op false negatives hoog.
– Een gefragmenteerde workflow
Effectieve security vraagt om optimale communicatie tussen teams die zich bezighouden met de verschillende aspecten van beveiliging. Dat is lastig wanneer een organisatie verschillende systemen gebruikt, zoals IT-ticketingsystemen, e-mail, spreadsheets en online documenten.
– Een gebrek aan automatisering
Een gebrek aan automatisering – Bij het vastleggen en verwerken van securitymeldingen spelen veel routinematige zaken een rol. Hoe meer deze geautomatiseerd zijn, hoe meer tijd securityteams hebben om echte problemen aan te pakken. Maar slimme, geautomatiseerde workflows creëren is lastig wanneer een organisatie met veel verschillende oplossingen werkt. Toch is dat nodig om de mean time to detect en mean time to repair te verkleinen.
Een holistische aanpak is nodig
Security Operations Maturity Model (SOMM)
Om aan al deze beperkingen een eind te maken, is een holistische aanpak nodig. Organisaties zullen in dat verband moeten werken aan meer volwassenheid op het gebied van cyber security. Om organisaties daarbij te helpen, is er het Security Operations Maturity Model (SOMM). Het model is gebaseerd op het Threat Lifecycle Management Framework (TLMF) en biedt organisaties de mogelijkheid om hun actuele mate van volwassenheid voor wat betreft cyber security te bepalen, en de stappen te adviseren die nodig zijn om verder te groeien.
Vijf niveaus van volwassenheid
Het SOMM kent vijf niveaus van volwassenheid. Elk niveau bouwt voort op het voorgaande. Hoe hoger het niveau, hoe meer technologische en procesverbeteringen zijn doorgevoerd. En hoe verder een bedrijf is, hoe beter het in staat is om detectie en herstel te optimaliseren.
De vijf niveaus zien er samengevat als volgt uit:
- Niveau 0 – De organisatie heeft geen enkele voorziening op het gebied van TLM en de beveiliging is vooral gebaseerd op preventie door middel van firewalls en antivirussoftware. Er is geen enkel zicht op interne en externe bedreigingen en/of potentiële diefstal van intellectuele eigendommen. Op niveau 0 is de organisatie blind voor iedere bedreiging.
- Niveau 1 – De organisatie verzamelt logdata en doet aan een bepaalde vorm van monitoring, vooral met het oog op compliance. Er is nog geen formeel proces voor incident response. De compliance-risico’s zijn lager dan bij niveau 0, maar voor de rest is het dreigingsniveau hoog. Er is net als bij niveau 0 geen enkel zicht op interne en externe bedreigingen en/of potentiële diefstal van intellectuele eigendommen. Op dit niveau is er sprake van minimale security-compliancy.
- Niveau 2 – Op het gebied van TLM is er al sprake van verschillende middelen, waaronder gerichte verzameling van logdata, gerichte server- en endpoint forensics en basisprocessen voor monitoring en incident response. De organisatie zoekt naar meer efficiency door formele processen in te richten. Verder is er beter inzicht in interne en externe dreigingen, maar blijft de kwetsbaarheid voor zeer geavanceerde aanvallen hoog. De security-compliancy is redelijk.
- Niveau 3 – De organisatie is goed weerbaar tegen dreigingen door de inzet van verschillende TLM-mogelijkheden, waaronder gerichte, gecentraliseerde verzameling van data, goede analytics-voorzieningen en volwassen monitoring. Er is een professioneel SOC ingericht dat een goed beeld heeft van bedreigingen. De organisatie blijft kwetsbaar voor aanvallen door landen.
- Niveau 4 – De organisatie gaat strategisch om met haar security door een groot aantal TLM-voorzieningen, waaronder de mogelijkheid om analysescenario’s te ontwikkelen met behulp van Indicators of Compromise (IoC’s) en Tactics, Techniques & Procedures (TTP). De organisatie is goed bestand tegen Advanced Persistent Threats. Toch blijft er altijd sprake van blinde vlekken, vooral wat betreft aanvallen door staten. De organisatie is echter wel in staat om deze in de meeste gevallen vroegtijdig te ontdekken, zodat maatregelen te nemen zijn.
Iedere organisatie moet zelf op zoek naar antwoorden: het SOMM helpt daarbij
Als het gaat om cyber security is er geen ei van Columbus. Iedere organisatie moet zelf een antwoord vinden op alle dreigingen. Het SOMM biedt daartoe een goede route door het voorzien in een gestructureerde benadering, waarbij een organisatie de volwassenheid stapsgewijs kan verbeteren. Die benadering is gezien de toenemende dreigingen en de daaraan verbonden risico’s meer nodig dan ooit.
Rob Pronk is Regional Director Continental Europe voor LogRhythm
>> In het artikel ‘Vroegtijdige detectie cyberdreigingen met TLM’ beschrijft Rob Pronk het Threat Lifecycle Management Framework.
– Alles over cyber security
– Cyberdreigingen en beveiligingskansen in 2019
– Is er maatschappelijk draagvlak voor sensing?
Abonneer je nu op de gratis nieuwsbrief van Security en ontvang elke donderdagochtend relevante berichten en artikelen eenvoudig in je mailbox. Mis dit niet!
Volg Security Management op LinkedIn