Security ontwikkelingen anno 2022

Onlangs heb ik mij weer eens laten bijpraten op ‘Security Leadership 2022’. Als enterprise architect probeer ik ontwikkelingen op het gebied van cybercrime en security oplossingen te volgen. ‘Security & privacy by design’ is het credo en dat betekent dat je deze aspecten bij het opstellen van een architectuur vanaf het begin meeneemt.

Security verbeteren kent verschillende, vaak al bekende, stappen. Ik noem ze toch maar even.

1. Creëren van ‘awareness’. Risico’s aan het voetlicht brengen en streven naar een intrinsieke motivatie om veilig te willen zijn. Dus niet alleen iets doen als er een audit op handen is of, als de audit al geweest is, de bevindingen daaruit oplossen. Security is een continu aandachtspunt en bovendien een verantwoordelijkheid van iedere medewerker, niet alleen van de CISO of CIO.
2. Invoeren van protectie maatregelen. Denk aan wachtwoordbeleid, two factor authenticatie, conditional access (afhankelijk van bijvoorbeeld locatie, device, tijdstip), firewalls, hardening van werkplekken en mobile device management. Ook een ontkoppelde back-up om bij een ransomware aanval de back-up in tact te laten is een zinvolle maatregel.
   Zorgen dat alles up-to-date blijft. Aanvallers kennen de zwakheden van bepaalde versies van systeemsoftware en maken gebruik van hun kennis van verouderde detectietools en processen. Criminelen maken steeds vaker gebruik van de supply chain en hacken bijvoorbeeld standaard software dat door veel bedrijven wordt gebruikt. De SolarWinds hack en de Log4J kwetsbaarheid zijn recent voorbeelden hiervan. Zorg dus dat je tijdig systeemupdates doorvoert. Zorg ook dat je bij blijft met security software, zodat je de nieuwste manieren van hacken ook detecteert.
3. Invoeren van detectie maatregelen. Bijvoorbeeld actieve monitoring door Security Information and Event Management (SIEM), waarbij afwijkend gedrag op een website, portal of netwerk wordt gedetecteerd. AI-technieken helpen hierbij om het systeem in te leren.
4. Inregelen van autonome response op security incidenten. Endpoint Detectie and Response (EDR) en eXtended Detection and Response (XDR) oplossingen. Een ransomware aanval wil je bij voorkeur meteen stoppen en daarbij de beschadigde component isoleren.

Bij het nemen van security maatregelen is het van belang het voor de gebruiker niet te moeilijk te maken. Zet de security regels op 1 A4-tje, leg uit waarom een maatregel van belang is en informeer over wanneer dit ingevoerd wordt. Te complexe handelingen worden omzeild. Als de zakelijke e-mail-functionaliteit te lastig is gaat men de privé e-mail gebruiken voor zakelijke doeleinden.

Veilige e-mail producten kunnen de op zich niet erg veilige e-mail communicatie wat veiliger maken. Bijvoorbeeld controleren of een e-mailadres vaker wordt gebruikt voor bepaalde typen e-mails. Ook de dataclassificatie van e-mail bijlagen kan gecontroleerd worden. Dit soort ‘Advanced Threat Protection’ maatregelen voorkomen datalekken.

Een aardig thema van TNO is de zgn. self healing software. Hierbij draait de software in containers (Kubernetes). Als er iets mis is wordt een container opnieuw opgestart en ook worden containers na een bepaalde tijd automatisch opnieuw opgestart. Er draaien vele duizenden containers en bovendien decentraal. Hiermee maak je het hackers moeilijk om een heel systeem te compromitteren.

Geïnspireerd door de werking van het immuunsysteem en de corona-aanpak is het idee ontstaan om het systeem te ‘vaccineren’. Bij SIEM wordt het normale gedrag op een netwerk ingeleerd. Je kunt echter ook regelmatig het systeem aanvallen om zo de autonome response te trainen.