Moderne beveiliging: workloads, identiteiten en data

Nieuws24 november 2022

Drie nieuwe pijlers voor moderne beveiliging: workloads, identiteiten en data

(Blog) Mensen, processen en technologie zijn een lange tijd de belangrijkste pijlers geweest voor de inrichting van cyberbeveiligingsprogramma's. Dat heeft een goede reden: organisaties moeten beschikken over goed opgeleid personeel, betrouwbare processen om zo inbreuken te voorkomen en adequaat te reageren als incidenten zich voordoen. Daarnaast is cruciaal om te beschikken over de nieuwste beveiligingstechnologieën om kwaadaardige activiteiten op te sporen en tegen te houden. Deze manier van beveiliging heeft organisaties jarenlang beschermd. Maar doordat cybercriminelen continu hun aanvalstechnieken blijven aanscherpen, is dit niet genoeg om organisaties veilig te houden in de toekomst.

Een nieuwe beveiligingsaanpak

Hoewel het principe ‘mensen, processen en technologie’ van cruciaal belang blijft, moeten IT- en beveiligingsteams nadenken over de invulling van hun verdedigingsstrategieën. Dit vanuit de gedachte dat workloads, identiteiten en gegevens het nieuwe epicentrum van beveiligingsrisico’s zijn geworden. Het is dus van belang om verdedigingsstrategieën op basis hiervan in te richten. Dit is de enige manier om tegenstanders voor te blijven.

Daarnaast wijst alles erop dat aanvallers de trend van cloudgebruik door ondernemingen volgen en nieuwe manieren van aanvallen ontwikkelen om door cloudworkloads te navigeren en deze te exploiteren. Hierdoor is identiteit een belangrijk onderdeel geworden van beveiligingsdreigingen. Daarnaast verhoogt de waarde van personeelsgegevens voor cybercriminelen. Eén set geldige referenties of een enkele verkeerde configuratie kan genoeg zijn voor een aanvaller om toegang te krijgen tot de steeds groter wordende verzameling van kritieke gegevens en activa die in de cloud worden gehost.

Workloads: endpoints en de cloud

Cybercriminelen zien de cloud als een mogelijkheid om onder meer intellectueel eigendom te stelen, gegevens af te persen en ransomwarecampagnes te voeren. Veel voorkomende vectoren voor cloudaanvallen zijn onder meer het misbruiken van kwetsbaarheden, diefstal van referenties, misbruik van clouddienstverleners, gebruik van clouddiensten voor het hosten van malware en command-and-control (C2) en exploitatie van verkeerd geconfigureerde imagecontainers. Natuurlijk zijn cloud-workloads niet de enige die moeten worden beschermd. Ook de bescherming van endpoints is belangrijk. Endpoints beschikken namelijk over een ander risicoprofiel. Bij endpoints is er geconstateerd dat cybercriminelen gebruikmaken van legitieme referenties en ingebouwde tools - een aanpak die bekend staat als "living off the land" - om detectie door bestaande antivirusproducten te omzeilen.

Naarmate organisaties groeien en meer endpoints, cloud-workloads en containers toevoegen, evenals nieuwe tools om dit allemaal te beschermen, kan beveiliging snel erg complex worden. Beveiligingsteams moeten daarom runtime-beveiliging inschakelen, real-time zichtbaarheid verkrijgen en configuratiefouten elimineren als onderdeel van hun best practices voor het beveiligen van hun bedrijfsmiddelen.

Identiteiten: gebruiker en machine

Maar liefst 80 procent van de cyberaanvallen is op identiteit gebaseerd. Een duidelijke motivator voor beveiligsteams om goed na te denken over hun verdedigingsstrategieën voor identiteitsbescherming. Want momenteel gebruiken cybercriminelen miljarden gestolen gebruikersnamen en wachtwoorden om langs de bestaande verdediging te glippen en zich voor te doen als legitieme gebruikers. Cybercriminelen hosten vaak valse verificatiepagina's om legitieme inloggegevens voor populaire clouddiensten te verzamelen en proberen daarmee vervolgens toegang te krijgen tot accounts van slachtoffers.

Als onderdeel van de verdedigingsstrategie is het noodzakelijk dat organisaties zorgen voor een volledige toepassing van multi-factor authenticatie (MFA), met name voor geprivilegieerde accounts; verificatieprotocollen die MFA niet ondersteunen uitschakelen; en privileges en credentials voor zowel gebruikers als beheerders van clouddiensten bijhouden en controleren. Hiermee maak je het cybercriminelen al een stuk lastiger om binnen te dringen.

Data: het belang van gegevensbescherming

Uiteindelijk richten cybercriminelen zich op gegevens. Het is dan ook een hele klus om al deze gegevens te beschermen en dit ziet er voor elke organisatie anders uit. Er zijn veel stappen die beveiligingsteams kunnen nemen om gegevens te beschermen zoals: het inschakelen van cloud-workload bescherming, het beschermen van alle identiteiten met een focus op moderne bedreigingen en kennis van wat moet worden beschermd. Een overzicht van bedrijfsdata, bedrijfsmiddelen, configuraties en activiteiten kan helpen verkeerde configuraties, kwetsbaarheden en bedreigingen voor de gegevensbeveiliging op te sporen en deze op tijd aan te pakken.

Groeiend aanvalsoppervlak vraagt om actie

Het is belangrijker dan ooit voor organisaties om na te denken over de beveiliging binnen elk onderdeel van de organisatie. Dit omdat het aanvalsoppervlak groeit door het toenemende cloudgebruik en het werken op afstand. Hierdoor is het noodzakelijk dat de beveiliging van ondernemingen alle workloads, identiteiten en gegevens omvatten. Elke CISO moet deze drie onderdelen bovenaan de agenda zetten. Alleen zo ben je in staat om cybercriminelen voor te blijven.

Amol Kulkarni,
chief product and engineering officer,
bij CrowdStrike