De strijd aan tegen cyberdreiging met robotisering

12-02-2019 om 9:25 uur Blog

Veel organisaties hebben de afgelopen tijd ingezet op maatregelen die dreigingen buiten de deur houden. Denk hierbij aan firewalls en virusscanners. Desondanks lukt het lang niet altijd om datalekken te voorkomen. Bij een geslaagde hackaanval is een korte reactietijd van essentieel belang. De reactietijd en daarmee ook de schade van een cyberaanval kan nu drastisch verkort worden. Hoe? Het automatiseren van detectie en de daaropvolgende actie biedt uitkomst.

Inbraaksensoren voor alarmmeldingen

Stap één is het werken met slimme inbraaksensoren. Deze sensoren scannen voortdurend het netwerkverkeer. Worden er signalen ontdekt die wijzen op een cyberaanval, dan komt er een alarmmelding binnen. Er zijn echter steeds meer dreigingen en dus ook steeds meer alarmmeldingen. IT-afdelingen hebben vaak maar beperkte capaciteit en kunnen niet alle meldingen grondig bestuderen. Prioritering is belangrijk, maar erg complex en foutgevoelig. Eén foute keuze zorgt er al voor dat een cybercrimineel ongehinderd lange tijd zijn gang kan gaan op het bedrijfsnetwerk. Veel organisaties schakelen daarom een extern Security Operations Center in. Een SOC monitort continu waardoor cyberinbraken of datalekken snel worden gedetecteerd en onderzocht, zodat je snel kunt ingrijpen. Dit gebeurt vaak door de eigen IT-afdeling op basis van de bevindingen van het SOC. Hierdoor gaat er kostbare tijd verloren.

Automatiseren met robots

Ik verwacht dat we in 2019 een stap verder gaan. Het onderzoek dat uitgevoerd wordt door de IT-afdeling of het SOC kan namelijk ook geautomatiseerd worden. Dit gebeurt aan de hand van zogenoemde playbooks. Hierin staan allerlei indicatoren die een aanval voorspellen. Deze playbooks bevatten bijvoorbeeld ook de meldingen van het Nationaal Cyber Security Centrum (NCSC) met de indicators of compromise. Hierdoor wordt er continu gezocht naar de meest actieve bedreigingen. Daarnaast kan hiermee de beveiliging preventief worden opgehoogd. Denk hierbij aan het updaten van een firewall of het aanzetten van een inbraakbeveiligingssysteem. Ook een DDoS-aanval kan hiermee worden afgeslagen. Je moet je voorstellen dat een aanval niet zomaar tot stand komt. Een hacker voert eerst een uitgebreid onderzoek uit. Dit onderzoek laat indicatoren achter die een robot oppikt.

De laatste stap het ingrijpen kan ook nog geautomatiseerd worden. De reactietijd wordt dan gereduceerd tot nagenoeg nul en daarmee wordt de schade ook kleiner. Denk bijvoorbeeld aan een melding dat er verdachte activiteiten plaatsvinden op een device van een medewerker. Het SOC kan dan automatisch deze gebruiker tijdelijk blokkeren. Vervolgens kan de IT-afdeling of een medewerker van het SOC beoordelen of de dreiging hiermee is afgewend en de gebruiker weer geactiveerd kan worden. Er is dan al ingegrepen voor het echt fout kan gaan. Eén ding staat vast: met automatisering wordt de digitale wereld een stuk veiliger.

Mail

Blog

Deel: