We verwachten te veel van beveiligingsproducten
Beveiliging is niet eenvoudig, ook al beloven leveranciers van middelen dat dat wel zo is. Er worden stappen gemaakt met AI in zulke software, maar momenteel is het edele handwerk de beste optie.
Bedrijven hebben soms te veel vertrouwen in bepaalde beveiligingsproducten, terwijl ze te weinig investeren in andere. Een categorie die standaard overschat wordt in de zin wat het voor een bedrijf kan betekenen is encryptie. Implementaties hiervan bevatten nogal eens fouten, bijvoorbeeld het beruchte Heartbleed-gat in OpenSSL.
Sommige zijn heel effectief maar hebben een beperkte bruikbaarheid - negeer deze niet. Producten die een heleboel features hebben maar minder goed bedreigingen weergeven zijn er debet aan dat bedrijven bepaalde dreigingen niet kunnen zien.
VPN versleutelt het dataverkeer tussen laptop en netwerk, maar als de laptop al besmet is en in handen is van een aanvaller, is die VPN-tunnel nu een aanvalstool geworden om bedrijfsnetwerken te grazen te nemen, stelt Andrew Ginter, bestuurslid van een werkgroep die een nieuwe cybersecurity ISA-standaard ontwerpt.
Het is vaak niet alleen het soort tool, maar de hoeveelheid tools voor monitoring en rapportages waardoor bedrijven een mentaal vinkje zetten bij 'beveiligd'. "Mensen verkeren in de illusie dat ze beveiligd zijn, omdat een tool duizenden SQL-injecties test, waardoor ze zich veilig wanen. Maar dit zijn vaak varianten op tests die er al 10 of 20 jaar zijn", legt O'Brien uit. Gedateerde tests zeggen niets over kwetsbaarheden op nieuwe code.
Het beste wapen is maar zo effectief als de strijder die hem hanteert. Maar andersom geldt ook dat de beste strijder weinig kan doen als het wapen niet effectief kan worden gebruikt. "De persoon die meldingen monitort moet ook bij machte zijn om direct te reageren, een afdeling te vergrendelen, rechten van mensen in te trekken of om de autoriteiten te waarschuwen. Als hij alleen maar een melding kan maken, is het nutteloos", aldus O'Brien.
Bedreigingen niet opgemerkt
Organisaties moeten meer kijken naar kwetsbaarheden waarmee aanvallers daadwerkelijk zijn binnengekomen binnen de eigen omgeving of bij andere in de sector. Aanvallers maken gebruik van bedrijven die hun oren te veel laten hangen naar een verkeerd geïmplementeerd beveiligingspakket en het is vaak beter om te kijken naar een goede combinatie van tools.Sommige zijn heel effectief maar hebben een beperkte bruikbaarheid - negeer deze niet. Producten die een heleboel features hebben maar minder goed bedreigingen weergeven zijn er debet aan dat bedrijven bepaalde dreigingen niet kunnen zien.
Versleuteltunnelvisie
We hebben vaak te hoge verwachtingen van producten die ons in de steek laten dankzij tekortkomingen of zelfs kwetsbaarheden in het product zelf. Neem de kwetsbaarheid in OpenSSL, de backdoor in een encryptieprotocol van Britse geheime dienst GCHQ of de volgens Canadese en Nederlandse autoriteiten te omzeilen BlackBerry-versleuteling.VPN versleutelt het dataverkeer tussen laptop en netwerk, maar als de laptop al besmet is en in handen is van een aanvaller, is die VPN-tunnel nu een aanvalstool geworden om bedrijfsnetwerken te grazen te nemen, stelt Andrew Ginter, bestuurslid van een werkgroep die een nieuwe cybersecurity ISA-standaard ontwerpt.
Belangrijke aspecten genegeerd
"Mensen hebben een geavanceerde firewall aangeschaft en denken dan dat ze veilig zijn", zegt Walter O'Brien, ook bekend als hacker Scorpion, beveiligingsdeskundige en CEO van Scorpion Computer Services (en ook de persoon waar de tv-serie Scorpion op is gebaseerd). "Dan ontdekken ze dat applicatiebeveiliging, databasebeveiliging en broncodebeveiliging compleet zijn genegeerd."Het is vaak niet alleen het soort tool, maar de hoeveelheid tools voor monitoring en rapportages waardoor bedrijven een mentaal vinkje zetten bij 'beveiligd'. "Mensen verkeren in de illusie dat ze beveiligd zijn, omdat een tool duizenden SQL-injecties test, waardoor ze zich veilig wanen. Maar dit zijn vaak varianten op tests die er al 10 of 20 jaar zijn", legt O'Brien uit. Gedateerde tests zeggen niets over kwetsbaarheden op nieuwe code.
Geef personeel macht
De informatiebeveiligingstools moeten worden ingezet om de belangrijkste data te beschermen: identificeer de inventory, locaties, mogelijke locaties (cloud, devices), paden (data, verkeer), kwetsbaarheden en punten waarop aanvallers mogelijk binnenkomen of data exfiltreren.Het beste wapen is maar zo effectief als de strijder die hem hanteert. Maar andersom geldt ook dat de beste strijder weinig kan doen als het wapen niet effectief kan worden gebruikt. "De persoon die meldingen monitort moet ook bij machte zijn om direct te reageren, een afdeling te vergrendelen, rechten van mensen in te trekken of om de autoriteiten te waarschuwen. Als hij alleen maar een melding kan maken, is het nutteloos", aldus O'Brien.
No comments:
Post a Comment