We zouden daar eigenlijk al decennia mee bezig moeten zijn, maar de toename van het belang en de afhankelijkheid van internet maakt het ieder jaar nog belangrijker. Bruce Scheiner stelde in mijn recent verschenen boek 'Hacking the Hacker' dat IoT voor een aardverschuiving zorgt op het gebied van security:
Het is één ding al een spreadsheet een kwetsbaarheid heeft en crasht of gebruikt wordt als ingang. Het is heel iets anders als het om je auto gaat. Zwakke beveiliging leidt tot doden. Dat verandert alles! Ik getuigde vorige maand in het congres over dit onderwerp. Nu is de tijd om serieus te worden. Het speelkwartier is voorbij. We moeten reguleren. Levens staan op het spel! We kunnen niet langer hetzelfde niveau van slechte software vol bugs accepteren. Maar de sector is niet bereid om dit serieus te nemen en dat moet nu wel. Hoe kunnen de mensen die werken aan de beveiliging van auto's dat doen als ze in het verleden niet in staat bleken aanvallers buiten te houden en kwetsbaarheden te dichten? Er moet iets veranderen. Er zal iets veranderen.Totdat we wettelijke requiremenents hebben gedefenieerd, zal er niet veel veranderen. We hebben al genoeg richtlijnen, best practices, beleidsregels en frameworks, maar geen substantiële harde regels. Wat kunnen we doen om beveiliging te verbeteren? De laatste jaren blijkt steeds dat we steken laten vallen met juist de simpele dingen. Doe de volgende zes dingen om security significant te verbeteren:
1. Neem beveiliging serieus
Ja, de meeste organisaties zeggen beveiliging serieus te nemen, maar dat is simpelweg onwaar in de meeste bedrijven. In de praktijk winnen operationele overwegingen het vrijwel altijd van beveiliging en security wordt gezien als noodzakelijk, maar kostbaar kwaad waarvan iedereen weet dat het uiteindelijk geen verschil maakt.Het is niet alsof beveiliging niet kan werken - dat kan wel. Maar als je hierin wilt slagen, moet je durven erkennen dat wat je nu doet niet werkt. Vervolgens kijk je naar waarom dat niet werkt en kun je beter zien welke dingen je écht nodig hebt om de IT te beveiligen.
2. Laat data de beslissingen sturen
Het is belangrijk om goed voor ogen te hebben wat de reële dreigingen voor jouw specifieke omgeving te zijn om te kunnen handelen. Daarom moet je weten waar je nu aan wordt blootgesteld. Kijk naar het type phisingmails dat wordt verstuurd, doe pentests op zoek naar kwetsbaarheden, kijk welke malware slechteriken proberen te injecteren, enzovoorts. Dit geeft je een helder beeld van de problemen waar je daadwerkelijk mee te maken krijgt.Kijk dus niet alleen naar het aantal incidenten, maar genereer data over het dreigingsbeeld waar je mee te maken hebt. Het bedrijf kan bijvoorbeeld een hoop pogingen om via de perimeter malware te introduceren hebben afgeslagen, maar kan bijvoorbeeld uiteindelijk geld verliezen door effectieve social engineering bij belangrijk personeel.
Bepaal wat de grootste oorzaak is dat slechte troep zijn weg vindt in je omgeving en gebruik dat probleem als beginpunt. Het mooie van een echte datadriven aanpak is dat het soms lijnrecht ingaat tegen je buikgevoel en persoonlijke overtuiging, maar soms ook tegen securitydogma's waarvan werkelijk iedereen gelooft dat ze waar zijn, maar dat niet blijken.
3. Gebruik whitelists
Het whitelisten van applicaties is uit de mode geraakt, omdat organisaties het idee kregen dat beveiliging de productiviteit van werknemers te veel frustreert. De luxe van die afweging hebben we niet meer. Met whitelisting worden alleen vooraf gedefinieerde en geverifieerde applicaties toegestaan. Dat is niet eenvoudig te implementeren: het kost tijd, resources en testen. Maar je moet door de zure appel heen bijten en dit aanpakken.Ik durf je te garanderen dat applicatiecontrole door whitelisting gemeengoed gaat worden in de nabije toekomst. Elke dag dat je dit initiatief voor je uitschuift, des te minder kun je zeggen dat je beveiliging serieus neemt. Gelukkig zijn al veel OS-leveranciers (inclusief Microsoft met AppLocker en Device Guard) overgestapt op het bijvoegen van applicatiecontrolemiddelen.
Daarnaast zijn er diverse programma's om applicaties te whitelisten, inclusief Lumension, McAfee en Carbon Black. Het whietlisten van software zal niet alle aanvallen tegenhouden, maar het is het beste wat je als organisatie kunt doen om het aantal succesvolle penetraties drastisch te verminderen.
4. Verbeter patchbeleid
Gedurende mijn hele carrière ben ik nog nooit een volledig gepatcht systeem tegengekomen. Er mist altijd wel ergens een kritieke update. Al drie decennia komen aanvallers het vaakst binnen dankzij een opgepatchte bug in software waardoor ze malware kunnen introduceren. Omdat dit al zo lang het geval is, is het verbazingwekkend dat ongepatchte software nog steeds zo'n probleem is.De ervaring leert dat als je denkt dat je patchen onder controle hebt, dat waarschijnlijk niet zo is. Je moet niet goed patchen; je moet perfect patchen. En de resultaten van je aanpak moeten blijken uit de data van pentests en praktijkaanvallen.
5. Richt meer op social engineering
Net als softwarekwetsbaarheden is social engineering een heel grote oorzaak dat aanvallers interne netwerken weten te betreden. Of het nu gaat om phishing-mails, verdachte websites, babbeltrucs of een andere oplichterstruc, hackers hebben de fijne kunst van het verleiden van gebruikers om onverantwoorde dingen te doen steeds beter in de vingers.Het is dus zaak dat werknemers zich hiervan terdege bewust zijn. Een té paranoïde gebruiker bestaat niet. Het is een groot risico en ga daar ook zo mee om in de lessen die je geeft, de trainingen die je verzint en de tests die je uitvoert onder het personeel.
Geen opmerkingen:
Een reactie posten