Beveiliging zou altijd het belangrijkste onderdeel moeten zijn binnen elk bedrijf, maar waarom? In dit artikel bespreken we de 4 belangrijkste trends rond cyber beveiliging.
Trend 1: Geavanceerde EDR (Endpoint Detection & Response)
Cyberaanvallen worden steeds geavanceerder. Het duurt veel langer voordat een inbreuk wordt gedetecteerd. In deze uitdagende context is uw belangrijkste prioriteit dat uw bedrijf blijft draaien. U moet daarom voorkomen dat uw apparaten door cybercriminelen met malware worden geïnfecteerd.
Klassieke proxy’s of firewalls vormen bijvoorbeeld een eerste verdedigingslinie. Maar als u uw bescherming tot deze oplossingen beperkt, geeft dit u een vals gevoel van veiligheid. Dergelijke software zullen immers veel aanvallen stoppen, maar de bescherming is nooit 100%. Deze oplossingen proberen inbreuken te voorkomen, maar ze missen de functionaliteit om te detecteren.
U moet ervan uitgaan dat uw IT-systemen op een bepaald moment worden gehackt. En wat doe je dan? Je hebt een tweede verdedigingslinie nodig om te detecteren wanneer een aanval door de eerste lijn breekt. Dat is Endpoint Detection & Response (EDR).
Voor EDR installeer je op elk apparaat (computer, telefoon, tablet) een agent om inbreuken op dat apparaat op te sporen. Dit proces gebeurt op een intelligente manier. De agent bewaakt het gedrag van de gebruiker en de programma’s op het apparaat. Als er iets abnormaals gebeurt, slaat de agent alarm.
Zodra malware of een cybercrimineel de eerste verdedigingslinie doorbreekt, begint het werk van de EDR. Doordat het continu alle handelingen op het toestel monitort, zijn er tijdens de doorbraak verschillende momenten waarop EDR alarm kan slaan. Bijvoorbeeld op het moment dat de malware voor het eerst wordt uitgevoerd, het moment waarop de malware zichzelf probeert op te slaan op het apparaat, of het moment waarop het meer rechten probeert te verwerven.
EDR gebruikt niet alleen Machine Learning om verdacht gedrag te herkennen. Ook kan de technologie terugvallen op Cyber Threat Intelligence: allerlei externe informatie over aanvallen bij andere organisaties. Op deze manier kan een agent op uw apparaat alarm slaan als hij gedrag detecteert dat ergens anders al als gevaarlijk is geclassificeerd.
Trend 2: NDR (Network Detection & Response)
Door COVID-19 is het thuiswerken drastisch toegenomen en daarmee ook de hoeveelheid netwerkverkeer. En we maken steeds meer gebruik van IoT-apparaten of SaaS-applicaties, waar we minder controle over hebben. U kunt hierop geen EDR-agent installeren.
Hiervoor biedt Network Detection & Response (NDR) een extra beschermingslaag, bijvoorbeeld bovenop een firewall. Met NDR bepaalt u wat er tussen apparaten wordt gecommuniceerd in plaats van wat er op die apparaten gebeurt. NDR analyseert het netwerkverkeer op verdachte patronen. Doordat de controle passief wordt uitgeoefend, is ook de impact van deze beschermingslaag op de business beperkt.
Ook als het netwerkverkeer versleuteld is, levert zo’n analyse bruikbare informatie op. Een plotselinge toename van versleuteld verkeer naar een onbekende server kan bijvoorbeeld wijzen op een malware-infectie.
Als NDR vervolgens verdacht netwerkverkeer detecteert, kan het een firewall opdracht geven om de communicatie met het apparaat of de server te blokkeren.
Trend 3: Merk intelligentie voor inzicht in de cyberonderwereld
Voor een goede bescherming volstaat het niet meer om te kijken naar wat er in uw eigen infrastructuur gebeurt. De cyberonderwereld breidt zich immers voortdurend uit. Je hebt niet de tijd om dat allemaal zelf te monitoren. Als je bijvoorbeeld al een ongemerkt cyberlek hebt gehad, is de kans groot dat de gestolen gegevens op het dark web worden aangeboden. Kun je dat monitoren?
Ook wilt u zo snel mogelijk weten of iemand een domeinnaam heeft geregistreerd die sterk lijkt op die van uw organisatie. De kans is immers groot dat de domeinnaam wordt gebruikt in een phishing-campagne om uw gebruikers of klanten te misleiden.
Hetzelfde geldt als er een valse mobiele app van uw organisatie in de Apple of Google app stores verschijnt. Hoe sneller u dit detecteert, hoe sneller u een aanval kunt voorkomen.
We noemen deze analyse van wat er buiten onze eigen infrastructuur gebeurt brand intelligence. Het is een essentiële aanvulling op EDR en NDR voor de bescherming van uw organisatie.
Trend 4: XDR voor een holistische en op maat gemaakte benadering van de beveiliging van uw organisatie
EDR, NDR en merkintelligentie lossen elk individuele problemen op, maar beveiliging is een multidimensionaal probleem. Met deeloplossingen, die elk op zichzelf staan, kun je dat nooit volledig oplossen. U hebt een holistische benadering van beveiliging nodig.
Een oplossing die de beveiliging als geheel afhandelt, is eXtended Detection and Response (XDR). Naast EDR, NDR en merkintelligentie maakt XDR gebruik van SIEM en SOAR:
SIEM (Security Information and Event Management) verzamelt logs van allerlei bronnen (servers, applicaties, netwerkapparaten etc.), correleert die gegevens en levert realtime analyse en meldingen van verdachte gebeurtenissen.
SOAR (Security Orchestration, Automation and Response) is een systeem dat automatisch reageert op incidenten die worden geïdentificeerd door EDR, NDR, brand intelligence en SIEM. Zo verbindt het flexibel de verschillende deeloplossingen tot een maatwerkoplossing voor de specifieke problemen van uw organisatie. Als u bijvoorbeeld merkinformatie krijgt over een phishingsite, kunt u automatisch alle communicatie naar die website blokkeren.
Met XDR verandert ook de taak van het SOC (Security Operations Center). Een modern SOC-team bestaat niet alleen uit analisten die bedreigingen voor uw IT-infrastructuur monitoren, maar ook uit SOC-engineers die uw beveiligingstaken automatiseren in SOAR-playbooks.
Conclusie
Uw organisatie zal nooit 100% beschermd zijn, en uw budgetten zijn niet bodemloos. Met een continu proces voor verbetering en een focus op Return On Security Investment wordt uw organisatie echter elke dag een stukje veiliger. We noemen dit cyberweerbaarheid. Wanneer je cyberweerbaar bent, geef je evenredige aandacht aan de vier onderdelen van het continue beveiligingsproces:
- Beoordelen: inzicht in uw risico’s.
- Voorkomen: Aanvallen zoveel mogelijk voorkomen.
- Detecteren & reageren: detecteren wanneer er, ondanks alle inspanningen, een inbreuk is, en hierop reageren.
- Herstel: snel en efficiënt herstellen van een inbreuk.