Heeft u ook last van blinde vlekken of heeft u volledig zicht?

Slecht of geen inzicht belemmert het vermogen om - letterlijk – het doel te bereiken. Of het vereist omwegen om daar te komen. De parallellen van de bekende blinde vlek in relatie met cyberbeveiliging en IT-activiteiten zijn onmogelijk te negeren. Organisaties moeten duidelijk weten welke middelen ze in beheer hebben, waar gegevens heen stromen en waar er reden tot zorg is.

Helaas worstelen veel IT-teams met verschillende blinde vlekken. Dit creëert onnodige cyberrisico's waar kwaadaardige activiteiten prettig in gedijen. Het corrigeren van deze tekortkomingen zou een prioriteit moeten zijn voor elke IT-manager.

Wat loopt er gevaar?

Bedrijven groeien in een razend tempo. Zelfs nu de macro-economische stormwolken zich samenpakken, blijft de noodzaak om duurzame groei te stimuleren onverminderd groot. Dat betekent een verdubbeling van de inzet op digitaal. Het resultaat is dat de meeste organisaties nu een complexe, gedistribueerde IT-omgeving moeten beheren. Met daarin oudere en moderne technologieën die naast elkaar staan. Het verkrijgen van een goed inzicht in deze omgeving is om twee redenen van cruciaal belang: om verspillende uitgaven aan onderbenutte bronnen en overtollige licenties te voorkomen en om potentiële beveiligingsrisico's te detecteren, in te perken en te herstellen.

Wat zijn de belangrijkste uitdagingen op het gebied van IT-zichtbaarheid?

De analogie met het menselijk zicht is treffend. Laten we eens kijken welke vormen van slecht zicht een negatieve invloed kunnen hebben op onze beveiliging.

Tunnelvisie: Teams zijn zo gefocust op hun eigen producten, diensten of gegevens dat alles wat daar niet direct bij hoort vaak niet wordt gezien, laat staan dat het aan bod komt. Dit betekent dat ze niet genoeg aandacht besteden aan wat er stroomopwaarts gebeurt en hoe dit van invloed kan zijn op hun huidige activiteiten en zichtbaarheid. Of hoe onnauwkeurigheden in het hier en nu van invloed zijn op de status van stroomafwaartse systemen. Dit soort tunnelvisie is vaak het gevolg van meerdere silo’s van IT-managementtools, waarbij elk team vanuit zijn eigen set gegevens werkt, bijna als een schaduw IT-afdeling. Eén enkele bron van de waarheid, gegenereerd vanuit een gecentraliseerd platform, is essentieel om dit te corrigeren.

Gespleten zicht: Dit lijkt op tunnelvisie, maar heeft waarschijnlijk meer invloed op senior besluitvormers in een organisatie. Het probleem ontstaat omdat ze concurrerende prioriteiten beheren die voortkomen uit verschillende gegevenssets die niet op elkaar zijn afgestemd. Er is geen duidelijkheid over hoe en soms zelfs of deze prioriteiten deel uitmaken van hetzelfde doel.

Dubbel zicht: Dit is vaak het gevolg van een gebrek aan uniforme, samenhangende gegevens voor de IT- en beveiligingsfuncties. Heb je ooit geprobeerd te rijden met twee GPS-systemen die tegelijkertijd zijn ingeschakeld? Ze proberen je in verschillende richtingen te sturen en voegen chaos en onzekerheid toe waar rust en duidelijkheid nodig is. Nauwkeurige, gecentraliseerde informatie is de enige manier om zelfverzekerde beslissingen te nemen.

Wazig zicht: Wanneer er te veel gegevens circuleren onder IT- en beveiligingsteams, kan bruikbare informatie verloren gaan in de ruis. We kunnen hier verder gaan met de analogie. Myopie (bijziendheid) verklaart de uitdaging van IT-teams die zo gefocust zijn op de details dat ze door de bomen het bos niet meer zien. Er wordt geen rekening gehouden met downstream systemen of huidige doelstellingen. Aan de andere kant beschrijft hypermetropie (verziendheid) de aanpak van teams die het grotere geheel weliswaar begrijpen (hun algemene bedrijfsdoelen), maar niet de details van dichtbij zien om daar een bijdrage aan te leveren.

Presbyopie (ouderdomsverziendheid): Zoals de naam al doet vermoeden, is dit een aandoening die voortkomt uit ouderdom. Oude gegevens zijn gegevens die onscherp zijn. Hoewel historische informatie juist kan helpen om trends te vinden, hebben taken als incident response en threat hunting actuele, accurate gegevens nodig. Hoe langer het duurt om gegevens over uw IT-omgeving terug te krijgen, hoe minder waardevol ze zullen zijn.

Astigmatisme: Tot slot deze oorzaak van wazig zicht, die vaak optreedt door een mismatch tussen de krommingen van de lens in het oog. In IT en cyberbeveiliging is er ook vaak sprake van een mismatch tussen een gekozen hulpmiddel en de taak waarvoor deze tool wordt gebruikt. Denk bijvoorbeeld aan het misbruik van EDR-oplossingen (Endpoint Detection and Response) voor het inventariseren van bedrijfsmiddelen. Omdat verschillende teams vaak hun eigen voorkeurstooling hebben, leidt dit opnieuw tot meerdere versies van de waarheid. De waarheid is echter geen gemiddelde.

Zien en weten wat je moet doen

Het komt erop neer dat organisaties wat ze niet goed kunnen zien, ook niet goed kunnen beheren, beschermen of beveiligen. In het meest extreme geval kunnen er grote blinde vlekken in hun omgeving ontstaan waardoor IT-middelen onbeheerd en onbeschermd blijven. Maar simpelweg alles ‘zien’ is niet genoeg. Dit geeft misschien wel kennis van de IT-omgeving, maar het leidt nog niet naar wijsheid. Tenzij teams natuurlijk over de context beschikken die ze nodig hebben om besluitvaardig te handelen. Ze zien misschien iets verdachts, maar is die beheerder die toegang probeert te krijgen tot die specifieke database een echt bedrijfsrisico dat moet worden beheerd? Alleen de juiste context kan dat uitwijzen.

Dit soort effectieve besluitvorming vereist bekwame IT'ers, maar is ook afhankelijk van de juiste tools. Dat betekent een enkele, gecentraliseerde bron van waarheid voor het beheer van de endpoints. Dat biedt allereerst een bijna-real time zichtbaarheid, ongeacht de omvang van de IT-omgeving. Bovendien heeft u hiermee ook nog eens de controle om snel corrigerende maatregelen te nemen. Hoe meer u weet, hoe beter de beslissingen die u neemt. Dat zal u echter alleen lukken als u beschikt over nauwkeurige, tijdige en uitgebreide gegevens.

Omdat Tanium zo begaan is met zichtbaarheid, waren we ook sponsor van het event Cyber-certainty through visibility op woensdag 27 september in Amsterdam.

Auteur: Wytze Rijkmans