5 vragen aan Microsoft Nederland
Dit is een gastblog door Martin Vliem, National Security Officer bij Microsoft.
Martin Vliem werkt als National Security Officer voor Microsoft. In die rol vertegenwoordigt hij Microsoft Nederland naar diverse publieke en private organisaties op de thema’s security, privacy en compliance. We stellen hem vijf vragen over cyberdreigingen en de juiste maatregelen om je er tegen te wapenen.
Wat is de belangrijkste security-bedreiging die we scherp in de gaten moeten houden de komende tijd?
Een vraag die we vaker horen en ook heel begrijpelijk is; “waar moeten we ons op richten, wat zijn de nieuwste dreigingen, help ons onze mensen en middelen te richten op de juiste uitdagingen”. Natuurlijk zien we het dreigingslandschap evolueren. Waar brede (willekeurige) aanvallen die gebruik maken van het inzetten van grootschalige inzet van kwaadaardige software (malware) nog altijd voorkomen, zien we een toename van meer gerichte campagnes, die steeds meer ‘ontwijkings’ mechanismes gebruiken zodat dergelijke aanvallen (initieel) minder makkelijk gedetecteerd kunnen worden. Denk daarbij aan gijzelingssoftware (ransomware) gericht op specifieke organisaties, maar ook cryptominers; malware die systeemcapaciteit misbruikt voor het genereren (minen) van cryptocurrencies.
Meer recent zien we een toename van aanvallen die in het geheel geen malware gebruiken, maar zich vooral richten op het verkrijgen van bijvoorbeeld accountgegevens waarmee toegang verkregen kan worden tot systemen. Wat daarbij opvalt, is dat de snelheid waarmee nieuwe verschijningsvormen van aanvallen ontstaan enorm toeneemt en dat het voor kwaadwillenden steeds gemakkelijker wordt aan aanvalsmiddelen te komen. Ransomware is gewoon te koop, of zelfs te huur tegen bijvoorbeeld 30% van de daadwerkelijke opbrengst. Er ontstaan dan ook nieuwe businessmodellen in de malware-wereld.
Een ander belangrijk aandachtspunt is dat naast de evolutie van aanvalsvormen, steeds meer organisaties aan het transformeren zijn waarbij de inzet van digitale technologie een grote rol speelt. Adoptie van nieuwe technologie vraagt echter ook om aandacht voor databeveiliging; wanneer dat niet integraal wordt meegenomen, kunnen nieuwe dreigingen ontstaan die uiteindelijk de beoogde innovatie en slagkracht door de adoptie van nieuwe technologie kunnen hinderen.
Hoe kunnen we ons hier het beste tegen wapenen?
We geloven erg in de adoptie van wat we wel “Cyber weerbaarheid” of “Cyber resilience” noemen. Dat betekent bovenal het integreren van cybersecurity met de business strategie, processen en initiatieven. Daaronder zien we drie concrete aandachtspunten:
1. Verandering van de mindset naar “assume compromise”.
Ofwel, focus niet alleen op bescherming. Ga er vanuit dat je organisatie continu onder aanval staat en zorg dat de kosten voor een aanvaller zo hoog mogelijk worden. Dat doe je door je fundament op orde te hebben, maar tegelijk ook zorg te dragen dat als er iets mis mocht gaan, je dat zo snel mogelijk detecteert en je processen op orde hebt om een aanval te stoppen. Security wordt daarmee ook minder negatief en blokkerend, immers, het zorgt juist voor continuïteit en stelt de organisatie in staat wanneer het eventueel toch mis gaat, de schade zo veel mogelijk te beperken.
2. Adopteer cloud en online diensten.
Door cloud computing te adopteren, deel je als organisatie mee in de kennis en ervaring van de cloud provider. De cloud provider heeft een gedeeltelijke verantwoordelijkheid om met name de basis infrastructuur te beveiligen, wat je organisatie de mogelijkheid biedt om meer aandacht te richten op de specifieke of onderscheidende elementen van informatiebeveiliging.
3. Pas Cyber Hygiëne toe.
Identificeer de meest voorkomende risico’s en kwetsbaarheden en neem de tijd om die te adresseren. Werk op die manier de achterstand (of ‘cyberschuld’) weg, die in de praktijk zo vaak de oorzaak blijkt van zoveel ‘succesvolle’ aanvallen. Het is als een pak kaarten, waarin elke kaart een maatregel is die nog ingevoerd moet worden maar waar de organisatie nog geen tijd voor had. Elke keer als zich een nieuwe dreiging voordoet, verlegt de aandacht zich naar een andere kaart die naar boven wordt gehaald. De meeste aanvallen misbruiken kaarten die allang ‘gespeeld’ hadden moeten worden. Klassieke ransomware aanpakken betekent aandacht voor onder meer een goede back-up, voorkomen van rapid-destruction malware (zoals Non-Petya en WannaCry) vereisen een goed patchbeleid, CryptoMiners vereisen goede Web Applicatie hardening. Allemaal moderne aanvallen, die echter te voorkomen zijn met zeer ‘traditionele’ maatregelen…
Tenslotte is het belangrijk het succes van security op een andere manier te meten. Bijvoorbeeld de “cost of attack” die een aanvaller zou moeten opbrengen om succesvol binnen te dringen. Nog concreter is het meten op “mean time to remediation”, hoe snel is een organisatie in staat na detectie de aanvaller uit de omgeving te weren.
Hoe zien we dat terug in het portfolio van Microsoft?
Microsoft richt zich op het ondersteunen van bovengenoemde principes door de focus te leggen op security technologie welke is ingebouwd in het platform, gebruik maakt van AI en Automation en integreert in devices, applicaties, data en digitale identiteit. Daarmee is security iets wat zo min mogelijk interfereert met business doelstellingen, detectie en respons faciliteert door security personeel zo veel mogelijk te ondersteunen en een transformatie naar moderne cloud, edge en mobile gebaseerde architectuur – gebaseerd op “zero-trust” principes- te faciliteren.
Daarbij gaat het er niet om om bestaande security technologie uit te faseren of om alleen maar meer security oplossingen (een gemiddelde organisatie werkt al met veel te veel verschillende tools) in te zetten. Het gaat er meer om een gewogen, risico gebaseerde, keuze te maken hoe security technologie daadwerkelijk kan bijdragen aan business doelstellingen en daarbij efficiënt de security functie van een organisatie kan ondersteunen, op een geïntegreerde wijze en zonder dubbeling in functionaliteit. Onze security reference architecture kan bijvoorbeeld helpen om gestructureerd het bestaande security landschap te evalueren, waar mogelijk te ontdubbelen of missende delen aan te vullen, indien het risicoprofiel dat onderschrijft.
Hoeveel complexer is security geworden als we het vergelijken met 5 jaar geleden?
Organisaties worden meer afhankelijk van technologie terwijl die technologie complexer wordt juist om invulling te geven aan de vraag tot digitalisering, nieuwe businessmodellen en innovatie. Tegelijk zijn aanvalstools, malware en hackservices een serieuze criminele business geworden. Dat vraagt om een security aanpak die mee gaat met nieuwe concepten en moderne IT-architectuur, hoewel veel oplossingen de snelheid waarmee IT verandert en de nieuwe eisen aan security die dat stelt vaak niet kunnen bijhouden. Daarnaast is er een toenemend tekort van miljoenen security professionals wereldwijd, waardoor het steeds lastiger wordt effectief de security doelstellingen in te kunnen vullen. Tenslotte zien we een enorme groei van de druk op security door toename van vereisten vanuit wet- en regelgeving; compliance.
Wat is jouw beste security-tip voor onze lezers?
Ik denk dat ik al wat suggesties heb gegeven. Assume compromise als mindset, de inzet van cloud, maar bovenal Cyber Hygiëne. En hoewel er veel nieuwe aanvallen zijn, in zeer geavanceerde vormen, is de ontluisterende realiteit helaas dat een focus op cyber hygiëne de meest positieve impact zal hebben op een betere security. Kijk bijvoorbeeld naar de 5 principes van het Digital Trust Center van het ministerie van EZK. Maak in elk geval een cyber hygiëne plan, met concrete doelen. Bijvoorbeeld ingedeeld in acties die je gaat ondernemen binnen de eerste 30 dagen, binnen 90 dagen en vanaf het volgende kwartaal; een voorbeeld hebben we gepubliceerd op: https://aka.ms/cyberhygiene.
Dit blog is eerder verschenen in ons Security Magazine editie zomer 2020. Geïnteresseerd in dit magazine? Vraag het magazine dan hier aan!