Met de verdwijnende network perimeter en gegevens die in rap tempo verwerkt en verspreid worden, vinden bedrijven het steeds moeilijker om kritieke middelen en data te beveiligen en beschermen. Of verkeersstromen nu via het datacenter of een mobiel apparaat van een gebruiker lopen, cyberaanvallen zijn steeds geavanceerder. Hierdoor is het moeilijker om aanvallen te detecteren en te beperken. Daarnaast zijn het aantal op zichzelf staande incidenten beter georganiseerd en grondiger geworden.
Attack-as-a-service diensten die verkocht worden, die regelmatig gepaard gaan met post sales support, 'guaranteed success', of 'niet-goed-geld-terug' opties, vormen een ontmoedigende taak voor organisaties die zich hiertegen proberen te verdedigen. Kortom: Het leven van een CISO is nog nooit zo uitdagend geweest.
Is het hebben van één next generation beveiligingsoplossing het antwoord op deze uitdagingen?
Gartner-onderzoek suggereert dat tot 2020 zo’n 99 procent van de firewall-inbreuken niet veroorzaakt wordt door gebreken, maar door verkeerde firewall configuraties.
Er is dan ook een allesoverheersende behoefte aan een raamwerk om best-class beveiligingsoplossingen te implementeren die cyberaanvallen en -inbreuken sneller detecteren en beperken. Gelijktijdig is specifieke expertise nodig om periodiek de doeltreffendheid van een dergelijke cyber security oplossing te testen, meten, ontwerpen en implementeren.
Welke keuze zou jij maken - Sanering nadat een beveiligingsinbreuk heeft plaatsgevonden of voortdurende inspectie uitvoeren om de veerkracht van de cyberdefensie van jouw bedrijf vast te stellen? In deze blog observeer ik deze aspecten om te kijken of ik die vraag kan beantwoorden.
Het zero-trust cyber security framework opzetten
Het 'Zero Digital Trust' principe is een van de meest integrale security frameworks van dit moment. De kern ligt in eenvoud - een standaard 'deny' voor alle flows en een concept dat uit gaat van minimal access. In onderstaande vereenvoudige weergave houdt het realiseren van 'Zero Digital Trust' binnen jouw ecosysteem het volgende in:
Volledige zichtbaarheid in de perimeter, het netwerk, endpoint, data center, cloud en SAAS-omgeving
Meer dan 60 procent van het verkeer binnen bedrijven is webgebaseerd en gecodeerd. Dit verkeer dient gelijktijdig als de 'dragers' van anomalies zoals malware, ransomware, Trojans, spywares etc.
Het implementeren van SSL-inspectie voor uitgaand internetverkeer (bijvoorbeeld voor gebruikers die het internet gebruiken) en inkomend verkeer richting servers die kritieke applicatieservices hosten, is dan ook de sleutel tot het krijgen van volledige controle over applicatiestromen. Dit wordt mogelijk gemaakt door'direct view' op application traffic onder de encrypted layer.
Verklein het 'attack surface'- Dit heeft de meest brede scope en garandeert een strikte veiligheidsdiscipline
Reduceer het 'aanvalsoppervlak' met een beveiligingsmodel dat goed zorgt voor concrete antwoorden op de vraag: "Wie heeft toegang nodig. tot welk middel, op welke manier en wat mag iemand dan precies gebruiken?" Blokkeer alle bekende schadelijke ('malicious') activiteiten. Het uitschakelen van IPS-handtekeningen om firewallprestaties te vergroten bijvoorbeeld, kan op latere termijn een kostbare oplossing blijken te zijn. Vermijd impliciet vertrouwen tussen alle hosts in een TRUST- of DMZ-zone.
Omdat de naam van de logische zone TRUST is, betekent dit nog niet dat alle hosts die hieronder vallen ook echt betrouwbaar zijn. Eén getroffen host in een netwerk kan in zo'n geval de rest in korte tijd infecteren. Als het gaat om interne segmentatie, zonder networksegmentatie, dan is lateral movement voor de anomalies vrij rechtdoorzee- het gebeurt ongehinderd en ongedetecteerd, zowel voor aanvallers met toegang op afstand in je netwerk alswel voor geautomatiseerde aanvallen (zoals NotPetya, BadRabbit).
Combineer handhaving van firewall beveiliging policies met op Identity based firewalling, multi-factor authenticatie, File Blocking en URL Categorization. Dit kan met behulp van een cloud based engine. Dit alles draagt bij aan het effectief verminderen van het aanvalsoppervlak. Automatisering is de enige manier om het volume en de complexiteit van de aanvallen bij te houden en een tekort aan goede vaardigheden te overwinnen.
Uitgebreide logboekregistratie en niet alleen blokkeren is eveneens belangrijk. Alle logs moeten opgeslagen worden. Dit is cruciaal voor het reageren op incidenten, het opsporen van bedreigingen, het vergaren van relevante bedreigingsinformatie, eventueel machine learning en andere activiteiten. Data wordt over het algemeen beschouwd als een zeer waardevol bezit. Er zijn grote hoeveelheden data nodig om Machine Learning- en Artificial Intelligence-modellen te maken die kwaadwillende activiteiten kunnen detecteren. Het opslaan en analyseren van gegevens is alleen niet voldoende. Met grote hoeveelheden hoge kwaliteit data en Machine Learning dat toegepast wordt voor bijvoorbeeld gedragsanalyses, kan je tegenstanders bijbenen.
Voorkom bekende aanvallen
Bijna alle next-generation beveiligingsleveranciers onderhouden gezamenlijk een enorme gedeelde pool van bedreigingsinformatie. Deze bevat hashes en samples van aanvallen die actief zijn en gerapporteerd zijn door onder andere klanten. Dit stelt de security vendors in staat om hun verdediging te consolideren en tijdig signatures te maken die anomalies detecteren en blokkeren, kort nadat deze gerapporteerd zijn.
Het hebben van naadloze connectiviteit tussen signature distribution points en alle sensoren binnen je ecosysteem, zoals de netwerkfirewall, endpoint beveiliging clients, SaaS- en Cloud security-sensoren, is de sleutel tot het snel detecteren of reageren op deze bekende anomalies.
Aanvallers richten zich vaak op de bekende kwetsbaarheden binnen endpoint systemen. Zelfs met de beste netwerkbeveiliging is het onmogelijk om alle aanvallen op endpoints af te vangen. Het kan altijd zijn dat iemand bijvoorbeeld een USB key gebruikt welke geïnfecteerd is met malware. Het is daarom van groot belang om ook de endpoints te voorzien van de juiste beveiliging, iets wat veel verder gaat dan simpelweg antivirus.
Naast het technische aspect is het van groot belang een strikt IT Security Framework uit te rollen en is een grote mate van cyber security awareness onmisbaar.
Voorkom onbekende aanvallen
Voor dit uitdagende probleem bieden detectie, mitigatie en distributie van Zero Day bescherming voor volledig nieuwe dreigingen een oplossing. Om de Zero Day-exploits aan te pakken, zoals malware en andere vormen van bedreigingen, worden sandbox-omgevingen in verschillende vormen on premise, cloud based of gehost als een SaaS-service benut.
Gevorderde persistente dreigingen ('Advanced Persistent Threats') rechtvaardigen het gebruik van een gedragsdetectiemethode, ook wel bekend als behavioral detection methodology. In plaats van malware te identificeren op basis van eigenschappen (bijvoorbeeld op basis van de vingerafdruk van een applicatie), vertrouwt behavioral malware detection op het 'gedrag' dat malwares vertonen, of waarvoor de malwares gemaakt zijn. Sandboxes voeren deze afwijkende programma's uit, observeren het gedrag en analyseren het vervolgens op een geautomatiseerde manier.
Endpoint security, Sandboxes en door Machine Learning aangedreven modellen
De sandbox blokkeert kwaadaardige samples gebaseerd op vertoont gedrag, nor voordat het bij een endpoint terecht komt. De sandboxes maken gebruik van meerdere detectiemethoden, waaronder gedragsgestuurde detectie, in-memory introspection en extrapolatiemodellen die aangedreven worden door machine learning.
Deze aanpak is robuuster en efficiënter dan het vergelijken van de signatures van bestanden. Sandboxing inspecteert nauwlettend wat een bestand precies doet of wat voor 'gedrag' het vertoon. Daarom is het veel overtuigender om vast te stellen of het bestand kwaadaardig is, dan op signature based detection technieken te vertrouwen. Goed gemaakte malwares zijn vaak ontwikkeld om zichzelf te beschermen tegen detonatie binnen een virtuele sandbox-omgeving.
Daarom is een sandbox-omgeving vereist die ook dynamische gedragsanalyse en dynamisch uitpakken toepast, om verdachte bestanden uit te voeren binnen een verscheidenheid aan software en bare metal-omgevingen.
Zodra de malware gedetecteerd is wordt de signature aangemaakt en verspreidt naar alle geregistreerde punten in het ecosysteem van de klant: firewalls en endpoint systemen.
Het selecteren van next-generation cybersecurity products
Het binnenhalen van de beste 'off-the-shelf', standalone beveiligingsproducten kan contraproductief zijn. De focus moet liggen op een oplossingsgerichte aanpak, waarin meerdere beveiligingssensoren binnen het netwerk, inclusief endpoints, cloud-, SaaS-omgevingen samen met SIEM en Machine Learning samengevoegd kunnen worden om een volledig veilige opzet voor jouw organisatie te creëren.