“Vertrouwen is goed, maar controleren noodzakelijk”

Volgens Molen zijn er drie belangrijke ontwikkelingen waardoor security zo’n enorme uitdaging vormt en staan CISO’s of verantwoordelijken voor de beveiliging voor een zware taak. “Ten eerste heeft de gehele business transformatie er voor gezorgd dat alle assets die vroeger on premise ondergebracht waren nu onderdeel uitmaken van het netwerk en dus binnen het IT-domein vallen. Denk aan gebruik van cloud gebaseerde omgevingen en industriële automatisering. Het is van groot belang dat in cloud omgevingen de policies worden gevolgd en gecontroleerd. Daarnaast worden OT-systemen steeds vaker ontsloten via het netwerk. Vroeger was dit een gesloten domein waar hackers bijna geen toegang tot konden krijgen. Operationele automatisering is dus onderdeel geworden van IT. Maar hoe houd je als organisatie inzicht in wat er op al die netwerken gebeurt?”, legt Molen uit.

Professionele business

Helaas is er nog een tweede grote uitdaging. Molen: “De hacker community is uitgegroeid tot zo’n professioneel business ecosysteem. Binnen het darkweb is er een complete marketplace ontstaan waar verschillende communities elkaar ondersteunen en verschillende schakels elkaar aanvullen. Er zijn zelfs professionele helpdesks waar je zeer vriendelijk wordt geholpen, maar wel met criminele zaken. Bij sommige bedrijven die geransomed zijn verschijnt een telefoonnummer op het scherm. Dan kunnen ze bellen en worden vaak heel aardig geholpen, maar wel alleen als ze betalen.”

Ten derde zijn de aanvalstechnieken dusdanig complex en tooling zo geavanceerd dat hackers geautomatiseerde, op maat gemaakte aanvallen kunnen doen. Dat is de belangrijkste reden dat de mindset rondom beveiliging moet veranderen, vindt Molen. “Je moet er vanuit gaan dat je gecompromitteerd wordt. En het is een utopie te denken dat je met een firewall veilig bent. Een firewall detecteert verkeer, maar legitieme tooling die wordt ingezet door hackers is heel moeilijk te detecteren als gevaar. Command & control traffic wordt bijvoorbeeld niet gedetecteerd. Door context te geven aan de telemetrie: data en metagegevens van wat er gebeurt, is alles in één groot data lake samen te brengen. De uitdaging van IT-security verantwoordelijken is dus om alle data te verzamelen en daar een analyse op te doen of om te detecteren of er een aanval actief of in bouw is”

Maturiteitsniveau

Maar om dit handmatig te doen is ondoenlijk. Buiten de complexiteit van de aanvallen en het inzicht krijgen over de infrastructuur speelt namelijk ook de hoeveelheid aan data en informatie mee. Molen: “Het draait allemaal om inzicht krijgen in en op tijd reageren. Het maturiteitsniveau moet dus omhoog. Geautomatiseerde tooling is daarom essentieel. Daar is Trend Micro Vision One voor ontwikkeld. Een detectie- en response platform van waaruit je security-functionaliteit consumeert. Nu alles samenkomt op het netwerk en het niet meer stopt met IoT en cloud-omgevingen, is het nog belangrijker om snel te reageren. Bovendien is je beveiligingsniveau direct in gevaar wanneer de samenhang ontbreekt, want je hoeft maar één element te missen om te laat te zijn. Dit zien we helaas nog vaak gebeuren. Met geautomatiseerde tooling zorg je voor die samenhang op zo’n manier dat security geen disabler wordt, maar juist een enabler. En dat is waar CISO’s het verschil kunnen maken voor de organisatie.”