Blog Waarom drielaagse IT-beveiliging tegen ransomware?
Door Insight Editor / 9 Nov 2020 / Onderwerpen: Cybersecurity
Door Insight Editor / 9 Nov 2020 / Onderwerpen: Cybersecurity
Leestijd: 3 minuten
Tussen de start van een ransomware-aanval en de “echte” indringing zit gemiddeld 56 dagen tijd. De cybercrimineel gebruikt die tijd om vanuit een stil hoekje een verkenning uit te voeren om zo maximale impact te kunnen genereren. Maar hoe detecteer je dat? Hoe zorg je ervoor dat een cybercrimineel niet binnenkomt? Of als hij er al is, geen verdere schade kan aanrichten?
Het mag geen verrassing zijn dat zelfs met de meest geavanceerde beveiligingssystemen tegen cyberaanvallen, hackers erin slagen om beveiligingssysteem te omzeilen. Geen van de beveiligingstechnologieën kan volledige bescherming garanderen. Omdat organisaties zich hiervan bewust zijn, kiezen ze tegenwoordig steeds vaker voor de ‘assume breach-aanpak’. Een IT-beveiligingsstrategie, waarbij je de aanname doet dat er ‘ingebroken’ is in je IT-omgeving. Ofwel, niet uitgaan van het principe: “Dat overkomt ons niet”, maar vanuit het principe: “We zijn gecompromitteerd, en nu?!”
Zoals in de introductie aangegeven, de tijd tussen het indringen in de systemen en de daadwerkelijke actie van de hacker bedraagt gemiddeld 56 dagen. Dat betekent dat er in die periode een ongenode gast binnen uw IT-omgeving zit rond te snuffelen en informatie te verzamelen om uiteindelijk maximale impact te behalen. Dat is ook nodig, want als een aanval niet goed wordt uitgevoerd is de buit vaak nihil. Maar daar ga je als organisatie natuurlijk niet op zitten te wachten, toch?!
Vanuit het ‘assume breach-principe’ heeft Insight een nieuwe beveiligingsmodel opgesteld dat uitgaat van drie verschillende lagen. Dit model helpt om aanvallen te voorkomen. Maar het helpt tegelijk ook om al aanwezige ongenode gasten te ontdekken en spreekwoordelijk met pek en veren ingesmeerd buiten je verdedigingsmuren te zetten.
De eerste laag beveiliging gaat uit van het principe van ‘intrusion detection.’ Met andere woorden, het onderzoeken van inkomend digitaal verkeer en detectie van zaken die daar niet horen. Denk aan verdachte zaken als geïnfecteerde bestanden, e-mails met hyperlinks naar gevaarlijke (criminele) websites, en zo verder. Dat foute, gevaarlijke verkeer wil je reeds bij de voordeur kunnen blokkeren.
Helaas lukt het soms niet om het gevaar bij de voordeur te tackelen. Het kan zijn dat de blauwdruk van de malware (nog) niet bekend is, of omdat malware binnenkomt die niet als malware gedetecteerd kan worden. Dan treedt ‘attack surface’ in werking. Met gebruik van kunstmatige intelligentie en machine learning bestaat de tweede laag uit een zelflerend mechanisme dat verdacht gedrag detecteert. Een voorbeeld. Op een laptop is malware die een connectie naar buiten het eigen netwerk opzet. De malware is in de eerste laag niet gedetecteerd, maar het opzetten van zo’n netwerkconnectie naar buiten wel. Dat is namelijk afwijkend gedrag, laptops of gebruikers van laptops maken nooit zo’n verbinding. Met attack surface wordt die connectie dus gestopt voordat via die connectie schade kan ontstaan.
Als nu laag één én laag twee niet hebben gewerkt, is er nog een ultieme, derde beveiligingslaag genaamd: ‘lateral movement.’ Dit kun je ruim vertalen als ‘bewegingen op hetzelfde niveau,’ maar die afwijken van wat normaal is. Wanneer – wederom als voorbeeld – een besmet apparaat een bestand gaat kopiëren naar een andere nog niet besmet apparaat (zelfde niveau), kan dit gedetecteerd worden wanneer de regel is dat apparaten onderling geen bestanden kopiëren. Een gebruiker die een tweede (nieuw) account wil aanmaken, idem dito. Acties op hetzelfde niveau die normaal niet plaatsvinden.
Mocht je ook overtuigd zijn dat drie lagen beter beschermen dan één of twee en bent je benieuwd hoe je dat binnen jouw organisatie kunt inzetten om het risico’s tot het minimum te beperken? Neem dan contact op met Insight voor meer informatie, want ik doe ook graag de aanname dat je niet wilt behoren tot de categorie mensen die uitgaan van het principe: ‘Dat overkomt ons niet…’