BLOG – Als effectieve cyberbeveiliging is garanderen door grote budgetten, dan waren organisaties vandaag de dag een stuk veiliger. Volgens een schatting stegen de beveiligingsuitgaven, kijkend naar het aandeel van het totale it-budget, gemiddeld met zeventig procent tussen 2019 en 2023. Tegelijkertijd steeg ook het aantal ransomware-incidenten van 34 procent in 2021 naar 65 in 2024.
Hoe kan dat? Zouden hogere investeringen organisaties niet veiliger moeten maken? Een groot deel van het probleem is de toename van de diversiteit van it-services en dus ook het aanvalsoppervlak van bedrijven. Met elke nieuwe digitale investering of supply chain partner die wordt toegevoegd, worden organisaties kwetsbaarder. Om deze uitdagingen effectief aan te pakken moeten organisaties prioriteit geven aan veerkracht, zero trust en continu risicobeheer. Budget blijft echter ook essentieel voor een goed inzicht in de risico’s zodat de juiste prioriteiten kunnen worden bepaald en het budget effectief wordt besteed.
Verdubbeld
Klanten verwachten vandaag de dag naadloze, gepersonaliseerde cross-channel-ervaringen, inclusief 24/7/365-toegang tot diensten. De it-modernisering is de laatste jaren verdubbeld om bedrijfsprocessen te stroomlijnen, de productiviteit te verhogen en de besluitvorming te verbeteren. Het IMF voorspelt bijvoorbeeld dat de financiële sector zijn investeringen in ai-software, hardware en -services tegen 2027 zal verdubbelen tot 97 miljard dollar.
Digitale transformatie stimuleert naast ai ook investeringen in cloudinfrastructuur, cloud-native app-ontwikkeling, iot-technologie en nog veel meer. Al deze digitale uitbreidingen en het aanhoudende succes van de ‘work from anywhere’-cultuur creëren een aanvalsoppervlak groter dan ooit tevoren.
Laptops
Kwetsbaarheden voor groeiende aanvalsoppervlakken variëren van ongepatchte en/of onbeveiligde laptops, mobiele apparaten en netwerken tot kwetsbare iot-systemen. Het kan ook cloud-accounts omvatten die verkeerd zijn geconfigureerd met geen of een gemakkelijk te raden wachtwoord, of onbeschermde api’s en webapplicaties.
De bron van een incident kan door de verschillende soorten kwetsbaarheden soms lastig te achterhalen zijn. Als de organisatie zelf niet de bron is, kan het ook een kwetsbaarheid bij een leverancier, cloudhoster of msp zijn. Hoe meer leveranciers er zijn, hoe waarschijnlijker het is dat er ergens iets mis kan gaan. Naarmate bedrijven deals sluiten met andere spelers en steeds meer vertrouwen op software en services van derden, neemt het aantal toegangspunten voor aanvallers ook toe.
Daarnaast hebben cybercriminelen toegang tot meer tools, kennis, kant-en-klare diensten, uitbestede arbeid en een markt om gestolen data te verhandelen. Generatieve ai heeft de drempel voor cybercrime ook voor beginnende aanvallers verder verlaagd door technologie te leveren die kwetsbare doelen kan selecteren en phishingcampagnes te maken waarin de lokale taal perfect wordt gebruikt.
Moeite
Zelfs ervaren beveiligingsteams hebben moeite deze risico’s te beheren. Een groot deel van het probleem is het gebrek aan inzicht in de it-middelen die zich in de gedistribueerde omgeving bevinden. Schaduw-it en thuis/op afstand werken vergroten de uitdaging. Daarnaast kunnen overlappende beveiligings- en point-oplossingen voor assetmanagement hiaten in de zichtbaarheid creëren. Een andere grote uitdaging is het snel toepassen van patches voordat cybercriminelen hier misbruik van kunnen maken. Dit geldt met name wanneer een organisatie nog afhankelijk is van verouderde it die niet langer door de fabrikant wordt ondersteund en/of niet compatibel is met moderne beveiligingsoplossingen.
Bovendien heeft de groeiende acceptatie van cloud- en mobiele technologieën de afhankelijkheid van api’s voor integraties met andere organisaties en externe cloudproviders vergroot. Api-beveiliging is echter achtergebleven op andere vormen van beveiliging, wat heeft geresulteerd in problemen zoals injectieaanvallen, authenticatie-omzeiling en datalekken.
Cyberrisicobeheer
Om deze uitdagingen te overwinnen is het goed om te beginnen bij de basis. Dit betekent continue, op risico’s gebaseerde os- en applicatiepatching, het onderhouden van anti-malware-updates, bewustwordingstraining geven en het gebruik van multi-factorauthenticatie. Bovendien is het, gezien de snel ontwikkelende aanvalsmethoden van cybercriminelen, essentieel om herhaalbare processen te ontwikkelen die werknemers zich makkelijk eigen kunnen maken, automatisering door te voeren en een cultuur te creëren waarin beveiliging op de eerste plaats staat.
Ook kan het voordelig zijn om een risicobeheerplatform te overwegen dat is ontworpen om automatisch en continu kwetsbaarheden en verkeerde configuraties te detecteren en oplossingen voor te stellen en/of direct door te voeren. Deze proactieve aanpak kan worden versterkt door uitgebreide detectie en respons die ervoor zorgt dat zelfs als een dreiging de verdedigingen omzeilt, ze snel wordt ingedamd. Door deze maatregelen door te voeren, start de overgang van een defensieve cultuur naar een cultuur van cyberveerkracht.
De snelheid en verfijning van moderne dreigingen vereisen verder een zero-trust-aanpak op basis van het ‘never trust, always verify’-principe. Dit omvat strikte toegangscontroles en continue authenticatie voor gebruikers en apparaten, evenals netwerksegmentatie om de impact van incidenten te verkleinen.
Naarmate bedrijven groeien, zullen hun aanvalsoppervlakken dat ook doen. Door consequent en adequate beveiligingsmaatregelen en -praktijken door te voeren, kunnen bedrijven voorkomen dat ook de cyberverliezen groeien.
Pieter Molen, country director Netherlands Trend Micro
Een groot deel van het probleem is het gebrek aan inzicht in de IT-middelen die niet gecontracteerd zijn in de gedistribueerde omgeving, de ‘Schaduw-IT’ van een verkeerde zuinigheid. Cijfers stellen dat 60% van de IT niet formeel gecontracteerd is bij grote organisaties. En onder niet-gecontracteerd valt ook alle IT die nog gebruikt wordt maar geen onderhoudscontract meer heeft. Dat is geen hiaat in het assetmanagement maar een laissez-faire beleid.
Een klassiek laissez-faire beleid is gebaseerd op het idee dat individuen of teams het beste weten wat ze nodig hebben en dat centrale bemoeienis innovatie belemmert. Fenomeen dat iedereen zijn eigen gereedschap kiest klinkt als een versnippering door ‘agile’ binnen de IT, vrijheid zonder veiligheid.