Organisaties willen zichzelf goed beschermen tegen cyberdreigingen, maar leggen de focus nog te vaak op bescherming. Andere essentiële stappen verdwijnen op de achtergrond. Een geïntegreerde SecOps-aanpak dringt zich op.
Een goede beveiliging bereik je niet met één goede firewall, of één fenomenale endpoint-oplossing. Het CyberFundamentals Framework van het CCB omschrijft een goede beveiliging ongeveer op dezelfde manier als het NIST in de VS. Een veilig huis staat op vijf pijlers: Identify, Protect, Detect, Respond en Recover.
“De focus ligt te vaak op de bescherming alleen”, zegt Patrick Commers, Cybersecurity Evangelist bij Fortinet België. “En dan beroepen organisaties zich nog vaak op point solutions. Ze zadelen zichzelf op met veel logs, alerts en data. Ze zijn beveiligd, maar de IT-teams worden overspoeld en kunnen geen gevolg geven aan de meldingen van de beveiligingsoplossingen.”
SecOps: meer dan bescherming alleen
De oplossing ligt volgens hem bij Security Operations of kortweg SecOps. “SecOps omvat de eerste vier pijlers van het framework en dus niet alleen de bescherming”, weet Commers. De aanpak is bovendien geïntegreerd. Een goede bescherming is gekoppeld aan detectiecapaciteiten en de mogelijkheid om efficiënt te handelen wanneer er iets gedetecteerd wordt. Commers ziet drie grote uitdagingen die organisaties richting een SecOps-aanpak duwen:
- Aanvallen worden steeds gesofisticeerder. 74procent heeft een menselijk element volgens het Verizon 2023 Data Breach Investigations Report, onder andere mogelijk gemaakt door onze hybride manier van werken. Er is minder sociale controle. Bovendien duurt het volgens het recentste Cost of a Data Breach-rapport vandaag wel 204 dagen totdat een organisatie doorheeft dat er een aanvaller in het systeem zit. Het steeds evoluerende aanvalslandschap zorgt er bovendien voor dat je beveiligingsstrategie moet blijven evolueren.
- Ook het aanvalsoppervlak is veranderd. Gebruikers zitten overal, consumeren van overal applicaties die op hun beurt verspreid zitten tussen eigen infrastructuur en de cloud. Het netwerk zoals we dat kenden is veranderd en nieuwe technologie heeft tal van bijkomende toegangspunten geïntroduceerd.
- Tot slot zijn er gewoon te veel meldingen. IT-teams verzuipen onder de toevloed van meldingen. Bovendien ontbreekt het hen vaak aan IT-kennis om door de bomen het bos te zien en prioriteiten te stellen. Oplossingen met logs en meldingen bieden in theorie zichtbaarheid, maar je moet de data kunnen interpreteren en er acties aan kunnen koppelen.
Combineren tot een totaalaanpak
Om het hoofd boven water te houden, dringt SecOps zich op. Commers wijst naar het nut van een totale suite. “Identificeren doe je door naar het externe aanvalsoppervlak te kijken. Wat leeft er op het dark web? Registreren criminelen valse domeinnamen? Zo krijg je proactief een idee van wat er komen gaat.”
Beschermen is de meest gekende pijler. “Hier vind je bijvoorbeeld de endpointbescherming, firewalls en sandboxing”, zegt Commers. “Ook een secure mail gateway hoort hierbij.” Deze oplossingen zijn erop gericht om bedreigingen aan de voordeur tegen te houden.
“Wanneer we naar het netwerk kijken, komen NDR-oplossingen in het vizier. Aansluitend zijn er ook de EDR-tools. Hier verschuiven we van louter bescherming naar detectie en respons”, legt Commers uit. De afkortingen staan voor respectievelijk Network en Endpoint Detection and Response.
“Het komt eropaan om een coherent geheel te bouwen met oplossingen die verschillende aspecten van de totale beveiliging op zich nemen”, veralgemeent Commers. “Idealiter communiceren die oplossingen over hun domeinen heen met elkaar”. Dat is bij Fortinet het geval: “Ze werken allemaal samen en delen ze data over bedreigingen. Daar bovenop heb je dan een single pane of glass nodig, dat via één dashboard zichtbaarheid biedt.”
Opgepast voor de kerstboom
Commers heeft dubbele gevoelens bij de rol van SIEM (Security Information en Event Management) en SOAR (Security Orchestration Automation en Response). “Die oplossingen hebben zeker hun waarde”, zegt hij. “Maar als het IT-team te klein is, dan is SIEM een pleister op een houten been.” De meldingen van die oplossingen zijn dan te talrijk, met dashboards opgelicht als kerstbomen als resultaat.
Als het IT-team te klein is, dan is SIEM een pleister op een houten been
Patrick Commers, Cybersecurity Evangelist Fortinet
De oplossing moet je niet altijd binnen je eigen IT-team zoeken. “Sinds enkele jaren kijken organisaties naar de uitbesteding van hun SOC (Security Operations Center)”, weet Commers. “Dat is echt een enorme trend. Vaak is het de rol van zo’n externe SOC om aan triage van de meldingen te doen. Professionals kijken naar de logs en de alerts, en koppelen terug naar het interne IT-team wanneer iets aandacht vereist.”
Een rol voor AI
Zo’n aanpak kan de tijd tot detectie van een cyberaanval drastisch doen dalen. “Daar willen organisaties sterk op inzetten”, aldus Commers. “Automatisatie, AI en machine learning kunnen bovendien sterk helpen om problemen te detecteren aan de hand van alle logs. AI zit niet voor niets steeds meer in beveiligingsoplossingen. Detectie en respons kan in sommige gevallen aan de snelheid van een algoritme gebeuren.”
“Over het algemeen is het belangrijk om de detectietijd in te korten”, duidt Commers. “We moeten zoveel mogelijk vermijden dat er gewacht moet worden op menselijke tussenkomst. Met SOAR-technologie kan je bijvoorbeeld repetitieve acties automatiseren.” In de SecOps-suite van Fortinet kan detectie, respons en remediëring dankzij automatisering en AI voor een stuk automatisch verlopen.
Fortinet zelf introduceerde pas nog generatieve AI in z’n SecOps-oplossing met de Fortinet Advisor. Die tool helpt om incidenten te interpreteren en oorzaken te identificeren. Net als vele tools is de Advisor erop gericht om IT-teams te helpen om met hun beperkte capaciteit toch tijdig actie te ondernemen. De Fortinet Advisor zit inbegrepen in de SIEM en SOAR-oplossingen van de fabrikant, wat de interpretatie van logs en meldingen via die tools moet vereenvoudigen.
Van dagen naar uren
Dat een geïntegreerde SecOps-aanpak nut heeft, bewijzen de cijfers. Fortinet onderzocht zelf de impact van die aanpak met de implementatie van verschillende componenten van zijn eigen suite bij klanten. Voor de implementatie van SecOps duurde het voor de Fortinet-klanten zo’n 168 uur om een bedreiging te detecteren, twaalf uur om ze in te dijken, zes uur om ze te onderzoeken en nog eens twaalf uur om te remediëren. Dat is al een stuk minder als wat het Cost of a Data Breach-rapport aangeeft als gemiddelde, maar nog steeds meer dan lang genoeg voor een aanvaller om serieuze schade aan te richten.
Na de implementatie van oplossingen uit de SecOps-suite daalde de detectietijd naar minder dan één uur. “Daar zit veruit de grootste winst”, beaamd Commers. Ook onderzoeken en remediëren gaat een stuk sneller. Commers: “Die stappen samen duurden voordien zo’n achttien uur, maar nemen nu tien minuten in beslag. Dat is een gigantisch verschil.”
Wandelen, dan lopen
Moeten we dan met z’n allen naar een SecOps-aanpak gaan? Ja en nee. “De implementatie van SecOps is een reis, geen big bang”, verduidelijkt Commers. “Je moet niet lopen voor je kan wandelen.” Commers pleit voor een opeenvolging van stappen:
- Begin inderdaad met bescherming, via onder andere een firewall, applicatie en mailbescherming;
- Dan kan je geavanceerde aanvallen identificeren via machine learning en sandboxing;
- Vervolgens moet je kijken naar endpointbescherming. In dat verhaal neem je SASE mee;
- EDR, NDR en XDR heeft een luik detectie, maar ook al response. Hier kan je automatiseren;
- Nu kan je over domeinen heen gaan werken en naar gedrag kijken. SIEM en SOAR komen op de proppen en verregaande automatisering met AI en ML is mogelijk;
- Lukt dat niet allemaal zelf, dan kan je zaken gaan uitbesteden.
“SecOps is veel meer dan bescherming alleen”, vat Commers samen. “Alles komt samen, van identificatie over bescherming naar detectie en respons. SecOps is daarom ook meer dan gewoon je logs over de muur gooien naar een managed SOC. Alle oplossingen van alle domeinen moeten met elkaar samenwerken. Enkel zo kan je echt van AI en ML profiteren, snel problemen detecteren en snel oplossingen implementeren.”