Zelfbeveiligende IT: de toekomst van informatiebeveiliging

Cybercriminelen zijn uiterst creatief in hun aanpak en spelen razendsnel in op nieuwe kansen, ofwel:  zwakheden in de beveiliging van individuen en bedrijven. Wat kun je hier tegen doen zonder een vakkundig cybersecurity-team? Volgens mij is de enige manier een IT-omgeving te creëren die zichzelf kan beveiligen. 

De coronapandemie heeft meer dan ooit blootgelegd dat werknemers het belangrijkste veiligheidsrisico zijn voor organisaties. Op dit moment werkt een groot deel van het Nederlandse bedrijfsleven nog steeds thuis, waardoor werkgevers maar beperkt controle hebben over de apparatuur waar hun personeel mee werkt of zich toegang mee verschaft tot de bedrijfssystemen. Cybercriminelen maken daar gretig gebruik van, zo blijkt uit een verslag van ZScaler van april dit jaar.

Forse toename

Het security-bedrijf zag tussen afgelopen januari en maart een toename van maar liefst 30.000 procent van het aantal cyberaanvallen dat corona als thema gebruikte. Dat is een uitzonderlijk snelle en effectieve strategiewijziging van de cybercriminelen, waar het bedrijfsleven nog een puntje aan kan zuigen, laat staan dat het in staat is zijn security-strategie er op aan te passen. De enige manier waarop organisaties hun aanpassingsvermogen op het gebied van security kunnen vergroten is door in te zetten op een ‘self-securing’ strategie. Daarmee haal je veel handwerk uit informatiebeveiliging en ontstaat een IT-omgeving die zichzelf geautomatiseerd beveiligt. Laten we eens kijken aan welke eisen zo’n omgeving zou moeten voldoen.

Detecteren en herkennen

Om te beginnen moet een self-securing IT-omgeving in staat zijn om zelfstandig te detecteren welke software en configuraties precies gebruikt worden. Die moeten vervolgens op kwetsbaarheden geanalyseerd worden, zoals ontbrekende patches of configuratiefouten. Een self-securing omgeving moet verder gebruik kunnen maken van centrale intelligentie, onder andere gebaseerd op (machine learning)  analyses van de methodes die cybercriminelen en hackers hanteren. Hiermee kan de omgeving sneller reageren op nieuwe technieken of aanvalspatronen. Door de IT-omgeving verder continu te monitoren op veranderingen, zoals nieuwe apparaten of veranderende configuraties, ontstaat real-time inzicht in de status van de informatiebeveiliging. 

Prioriteiten stellen en filteren

De omgeving moet verder in staat zijn om op basis van risico’s prioriteiten te stellen, de belangrijkste beveiligingslekken te identificeren en inzicht te krijgen in welke systemen mogelijk kwetsbaar zijn. Hierbij is het gebruik van voorspellende algoritmes heel nuttig om te kunnen anticiperen op veranderingen en bedreigingen, inclusief suggesties over de te volgen maatregelen. Dit soort technologie is essentieel om de ruis weg te filteren in IT-omgevingen waarin steeds meer gegevens en systemen beschermd moeten worden. Alleen dan ben je in staat om tijdig te acteren op mogelijke bedreigingen en de risico’s en de mogelijke schade te beperken. 

Automatisch optreden en oplossen

Als het gaat om beveiliging, dan is optreden het belangrijkste onderdeel van het proces. Het identificeren van duizenden bedreigingen heeft immers geen enkele zin als je geen actie neemt om ze te elimineren. Naast het feit dat het vrijwel onmogelijk is om dit handmatig te doen, evolueren de bedreigingen bovendien zeer snel. Daarom is het noodzakelijk dat een self-securing IT-omgeving in staat is proactief, en deels geautomatiseerd, op te treden. Risico’s met de hoogste prioritiet moeten uiteraard als eerste worden aangepakt. Als daarbij bovendien gebruik wordt gemaakt van inzichten over welke zwakheden er wereldwijd actief worden uitgebuit, kun je deze werkwijze verder optimaliseren. 

Adaptieve beveiliging

Cybercriminaliteit neemt alleen maar toe en het einde is nog lang niet in zicht. Zeker gezien de huidige coronapandemie is er daarom meer dan ooit behoefte aan een IT-omgeving die zichzelf beveiligt. Moderne zakelijke beveiligingstools moeten zelfstandig kunnen monitoren, handelen en meewegen met het veranderende cybersecurity-landschap. En dit moet zowel in public als private clouds werken, op systemen die zich on-premises bevinden of daarbuiten, en op zowel officiële bedrijfsapparatuur als BYOD-apparaten. 

Aanvallen op grote schaal

Automatisering blijft verder een zeer belangrijk onderdeel van een self-securing IT-omgeving. Ook cybercriminelen automatiseren steeds meer onderdelen van hun aanvallen, waardoor ze op zeer grote schaal aanvallen kunnen uitvoeren. Alleen al daarom moeten wij onze beveiliging ook grotendeels automatiseren. Hiermee kunnen we de tijd tussen detectie en optreden verkorten en de vertraging en foutgevoeligheid van menselijk handelen zoveel mogelijk elimineren. 

Automatiseren van activiteiten

Self-securing IT betekent overigens niet dat de mens geen enkele rol meer heeft. Het betekent vooral dat de nadruk komt te liggen op het automatiseren van de activiteiten waarvoor dat mogelijk is. Daarmee worden vervolgens analytische gegevens gegenereerd die nodig zijn om prioriteiten te stellen, snel beslissingen te kunnen nemen en tijdig te reageren op urgente bedreigingen. Dat zal soms geautomatiseerd gebeuren en in andere gevallen door security-professionals.

Over de auteur: Mark-Peter Mansveld is area vice-president bij Ivanti.