Bedreigingen treden snel op. Ze zijn wendbaar en zullen de tactiek verschuiven naarmate de kansen zich aandienen. Naarmate de COVID-pandemie veranderde, is ook de manier waarop we moesten werken en onze gebruikers en omgevingen moesten beheren veranderd. Bedreigingen hebben zich heel snel aangepast aan deze nieuwe kans. ZScaler bracht in april een verslag uit waarin ze een toename van 30.000% van de COVID-aanvallen tussen januari en maart van dit jaar laten zien. In slechts een paar maanden tijd maakten de bedreigingen een grote wijziging in de tactiek om te profiteren van een grote kans. Dat is zakelijke wendbaarheid waar velen van ons alleen maar jaloers op kunnen zijn.

Volgens een onderzoek van RAND kan een bedreiging een kwetsbaarheid in gemiddeld 22 dagen uitbuiten en de meeste daden blijven 7 jaar actief. In het jaarlijks rapport van Recorded Futures met de meest uitgebuite kwetsbaarheden uit 2019, wordt dit bevestigd. De meeste zijn kwetsbaarheden die al langer bestaan.                   

Hoe kunnen we dit niveau van wendbaarheid en aanpassingsvermogen van bedreigende actoren tegengaan? Door ons aan te passen. We moeten naar een strategie van zelfbescherming toe. Ja, bedreigingsactoren worden steeds geavanceerder, maar aan de basis  ligt dezelfde tactische uitvoering die ze al jaren doen. Verkennen, kwetsbaarheden uitbuiten, doorzetten, zijdelings bewegen, gegevens exfiltreren\beveiligen. Dezelfde activiteiten,  maar tegenwoordig met meer geautomatiseerde en verbeterde mogelijkheden.                     

Wat bedoelen we met zelfbescherming? Door het analyseren van de methodes die aanvallers hanteren en het gebruik van automatisering en machinaal leren, kunnen we sneller reageren op echte bedreigingen. Deze adaptieve beveiligingsaanpak bestaat uit drie delen. Aanvoelen, prioriteiten stellen en verbeteren.

Aanvoelen

Ontdekken wat er zich afspeelt in uw omgeving. Detecteer draaiende software en configuratie en analyseer deze op kwetsbaarheden. Voortdurend veranderingenin de gaten houden; nieuwe apparaten die worden geïntroduceerd en veranderingen van apparaten in de omgeving.          

Prioriteiten stellen

Risicogebaseerde prioriteitstelling om te identificeren wat er actief wordt uitgebuit om snel te kunnen reageren op de hoogste risico's. Voorspellende algoritmes om te anticiperen op veranderingen en dreigingen en om een voorschrijvende leidraad te geven over wat er nu moet gebeuren. Met zoveel gegevens die beschermd moeten worden en zoveel potentiële bedreigingen is het juist essentieel om ruis weg te nemen om de juiste stappen te kunnen nemen die het meeste risico snel zullen beperken.

Verbeteren

Optreden is het belangrijkste van heel het proces. Het identificeren van duizenden of tienduizenden bedreigingen heeft geen zin als er geen actie wordt ondernomen om die bedreigingen te elimineren.

  • Proactief: zoals we al eerder hebben besproken, ontwikkelen bedreigingen zich snel. We moeten proactief reageren.   De risico’s met de hoogste prioritiet moeten als eerste  worden aangepakt. Als je weetwat er actief wordt uitgebuit, kun je werkwijze van optreden verder  optimaliseren.
  • Adaptief: onze verbetermogelijkheden (evenals beoordeling) moeten zich kunnen aanpassen aan de omgeving en omstandigheden. De COVID-pandemie is een goed voorbeeld van waarom dit nodig is. Omdat we snel zijn overgestapt op de hulp van een externe organisatie is het van belang dat onze beveiligingscapaciteiten kunnen volgen. Openbare of privé clouds, op locatie of daarbuiten, bedrijfsapparatuur of BYOD, we moeten ervoor zorgen dat we de bedreigingen voor onze IT omgeving kunnen beheren en er op kunnen reageren.
  • Automatisering: Cybercriminelen automatiseren steeds meer onderdelen van de aanval. Dit betekent dat ze snel op grote schaal aanvallen kunnen inzetten. Daarom moeten  we onze reactie ook automatiseren. Het automatiseren van de stappen, het verkorten van de tijd tussen de stappen en het verwijderen van menselijke handelingen waar mogelijk, verhoogt de reactietijd en minimaliseert de kans op fouten.            

Zelfbescherming betekent niet dat de gebruiker geen rol meer heeft. Zelfbescherming biedt een focus op het automatiseren van activiteiten die kunnen worden geautomatiseerd, het genereren van de analytische gegevens die nodig zijn om snel beslissingen te nemen en het stellen van prioriteiten van acties om snel te kunnen goedkeuren en tijdig te reageren op urgente bedreigingen.