Securityteams die gebruikmaken van automatisering kunnen snel meldingen beoordelen, incidenten onderzoeken en bedreigingen tegengaan. Op deze manier kunnen zij het bedrijf en zijn klanten beter dan ooit beschermen.
Eind vorig jaar publiceerde Forrester het rapport ‘Top 10 Technology Trends To Watch: 2018 to 2020’. In dit rapport wordt security automation als een belangrijke opkomende trend genoemd. Forrester schaart het in hetzelfde rijtje als IoT en blockchain. Maar is security automation dan net zo belangrijk? Ja! En het wordt tijd dat er aandacht aan wordt besteed.
Security automation zal een grote vlucht nemen in 2018 en bedrijven helpen zich te wapenen in hun strijd tegen bedreigingen. Drie redenen hiervoor:
1. Organisaties worden bedolven onder security alerts. Bedrijven gebruiken vaak veel verschillende securityoplossingen voor het beschermen tegen en detecteren van dreigingen. Deze oplossingen zorgen ervoor dat securityteams te maken krijgen met een groeiend aantal alerts en notificaties. Een meerderheid van de bedrijven gebruikt nog altijd spreadsheets en e-mail voor het reageren op deze alerts. Als een it-afdeling het aantal meldingen niet kan bijhouden, is de gebruikelijke reactie om meer mensen aan te nemen. Deze oplossing is echter niet opgewassen tegen de groei van het aantal alerts. Als resultaat hiervan lopen bedrijven hopeloos achter bij het adresseren en aanpakken van securityproblemen. Daarnaast lopen ze het risico om een kritieke alert over het hoofd te zien.
2. Breach containment wordt vertraagd door handmatige processen. 93 procent van de cybersecurityprofessionals geeft aan dat ze minder efficiënt zijn door handmatige processen. Het overgrote deel hiervan bestaat uit het beoordelen van security-incidenten. Elke keer als er een alert binnenkomt, moeten securityprofessionals interne en externe systemen onderzoeken voor context, dreigingsniveau en wie er getroffen is. In sommige gevallen is een alert binnen enkele minuten afgehandeld, maar het kan ook zomaar uren duren. Vermenigvuldig dat met duizend alerts per dag en je weet waarom beveiligingsteams tijd tekort komen om alle alerts af te kunnen handelen. Er is een betere manier nodig voor het verwerken van alerts, omdat knelpunten in het proces ervoor zorgen dat bedrijven hun security respons niet kunnen opschalen.
3. Bedrijven kunnen de vulnerability backlog niet bijhouden. De digitale transformatie zet zich onverminderd voort en bedrijven vertrouwen steeds vaker op technologie. Deze systemen moeten gepatcht worden. In de loop der tijd ontwikkelen bedrijven een uitgebreide vulnerability backlog en is er weinig inzicht in welke vulnerabilities de hoogste prioriteit hebben. De realiteit is dat vulnerabilities ervoor zorgen dat bedrijfskritische systemen een verhoogd risico lopen om gebruikt te worden bij potentiële aanvallen. Slechts 61 procent van de vulnerabilities wordt binnen een maand opgelost. De rest volgt pas later, wordt uitgesteld of zelfs nooit verholpen. Hierdoor stapelt zich bij veel bedrijven de hoeveelheid vulnerabilities op die nooit wordt opgelost. Automatisering zorgt ervoor dat er snel wordt gereageerd op vulnerabilities en systemen automatisch worden gepatcht. Hierdoor slinkt de backlog aanzienlijk, totdat er uiteindelijk geen achterstand meer is.
Bestrijdt vuur met vuur
Securityteams maken veel gebruik van spreadsheets, e-mails, telefoongesprekken en besprekingen voor het verwerken van alerts. Deze aanpak is echter niet schaalbaar en beperkt de reactiesnelheid. Vaak wordt gedacht dat dit de beste aanpak van het probleem is, simpelweg omdat er geen andere aanpak bekend is. Dit is echter geen oplossing van het probleem. Het is slechts een onderdeel ervan.
Wanneer minuten of uren het verschil betekenen tussen een aanval die wordt afgeslagen of een beveiligingslek, dan brengen inefficiënte en tijdrovende responsemethoden organisaties onnodig in gevaar. Als de reactie op een beveiligingsincident begint met een overleg of conference call, dan loopt u al hopeloos achter de feiten aan.
Michael Maas, area vice president Noord-Europa bij Servicenow
Security automation, je kon er op wachten.
En devsecops, in iteraties naar een steeds veiligere oplossing of juist by design, security by design. Dan is het meteen als secure ofzoiets. Hoef je er ook niet iteratief naar toe.
Dan het management ervan, de tools. Die moeten pro-active en outsourced, insourced, hyperconverged, digaggregated, door CTO, CIO, CDO, community, of juist specialist, met/zonder security driver license, opensourced, of juist governanced, on-prem, cloud, hybrid, uitbesteden, zelf aan roer, met/zonder brancheorganinisatie, dev, ops, devops, devsecops …
Ik kruip vandaag lekker onder de wol. Diep onder de dekens. Daar is het veilig.