Bedreigingen die impact hebben op de it-omgeving in de breedste zin van het woord, worden al snel een cyberaanval genoemd. Door het begrip cyberaanvallen te generaliseren, worden wij bewuster en voelen wij ons kwetsbaar – wat een goede ontwikkeling is in het kader van bewustwording. Als het stof dat een cyberaanval veroorzaakt, neergedaald is, is het belangrijk nuchter en pragmatisch te kijken naar de realiteit.
Wat is er nu echt gebeurd en wat voor risico was er?
Bedreigingen zijn in drie (soms vier) categorieën te verdelen. Namelijk activistische aanvallers, criminelen en landen of overheden. Een vierde categorie wordt soms genoemd, namelijk de bedreiging binnen een organisatie (de insider threat).
Cybercrime is momenteel de grootste bedreiging waar personen en organisaties last van hebben. Binnen elke categorie zijn meerdere partijen (actors) met meerdere aanvallen (campagnes) actief. Hier is verschil in te zien door de mate van professionaliteit en creativiteit waarop aanvallen in campagnes uitgevoerd worden. Met deze informatie en de context waarin deze informatie geplaatst moet worden, zijn relaties te leggen tussen incidenten waardoor de big picture zichtbaar wordt, maar vooral de relevant picture voor een organisatie. Dat helpt bij het inschatten van de situatie en het bepalen waar geld en energie aan besteed moet worden.
Prevent
Het eerste wat men wilt doen is beschermen. Zorgen dat iets niet voor kan komen door de juiste awareness te hebben, alle processen afgestemd te hebben en de juiste techniek geïmplementeerd te hebben. Traditionele oplossingen werken niet meer omdat steeds geavanceerdere methoden en technieken gebruikt worden. Simpelweg een check in the box bij antivirus of een intrusion prevention-systeem is niet meer genoeg.
Detect
Het is een illusie te denken dat beschermende maatregelen alles oplossen. Honderd procent beveiliging bestaat niet. Het doel moet zijn zo effectief mogelijk met middelen om te gaan door naast beschermingsmaatregelen ook detectiemaatregelen te treffen. Zodat mócht er een schending plaatsvinden, deze zo snel mogelijk gevonden wordt.
Respond
Op het moment dat er iets gevonden is, moet bepaald worden wat de reactie is in de breedste zin van het woord. Meteen een systeem wissen en opnieuw installeren, is gevoelsmatige de beste actie, maar dit kan mogelijk bewijs en informatie over de actor en de campaign onbruikbaar maken. Vanuit de techniek zijn wij gewend op een bepaalde manier te denken, maar bij een grote cyberaanval of een zwaar cybersecurity-incident is media en pers minstens zo belangrijk.
Tot slot
Als informatie de koning is, is context de keizer. Zorg dat alle informatie, niet alleen uit de it-omgeving, maar ook vanuit de media in de juist context geplaatst wordt. Kijk naar de drie pijlers: prevent, detect en respond en zoek hier een juiste balans in en zorg dat deze zaken in place onder controle zijn in de breedste zin van het woord: people, process én technology.
