Informatiebeveiliging: de speerpunten voor 2016

Informatiebeveiliging: de speerpunten voor 2016

DearBytesBlogInformatiebeveiliging: de speerpunten voor 2016

dinsdag 8 december 2015

We gaan inmiddels richting het einde van het jaar: een mooi moment om te bedenken wat de security-wereld volgend jaar gaat brengen. Als ik kijk naar het Nederlandse bedrijfsleven en de ontwikkelingen, dan zijn er een aantal punten te noemen waarvan ik denk dat deze in 2016 bij veel organisaties in beeld komen.

Cloud-beveiliging

De afgelopen jaren is de inzet van SaaS, PaaS en IaaS bij organisaties hard gegaan. Zeker cloud-applicaties zoals Office 365, Google Apps for Work en Salesforce komen steeds meer in beeld bij organisaties, en in 2016 zal dit alleen maar toenemen. Als we ook zaken als BYOD (Bring Your Own Device) en flexwerken erin meenemen, zien we dat de vroegere grens van het netwerk geheel verdwenen is. Hiermee verschuift ook een stuk van de beveiliging van on-site naar de cloud. Hoe kunnen we in die omstandigheden bewaken en beheren wat er met onze data gebeurt en wie deze benadert? Eind 2015/begin 2016 zal Microsoft met een nieuwe Management API komen voor Azure en Office 365, die monitoring eenvoudiger maakt. Ook oplossingen voor cloud-beveiliging zullen meer in beeld komen. Uw firewall of web-gateway draait niet meer on-site maar in de cloud en dient als een proxy voor uw cloud-applicaties. Hierdoor kunt u gebruikers via elk type device, vanaf de locaties die u wilt, toegang verlenen en kunt u controleren en beheren wat uw gebruikers vervolgens doen. Denk bijvoorbeeld aan het weigeren van toegang tot apps en data als gebruikers via een open wifi-netwerk verbinding maken, het blokkeren van toegang tot een geïnfecteerd BYOD-systeem of het voorkomen dat bedrijfsinformatie op Facebook wordt geplaatst.

Security Intelligence sharing

Het dreigingslandschap evolueert voortdurend. De fases van een aanval zijn beschreven in de cyber kill chain, maar nog steeds hebben organisaties moeite om informatie in verschillende fases tussen technologieën te delen. Als een systeem wordt geëxploiteerd en dit wordt gedetecteerd, zou deze kennis eigenlijk meteen moeten worden gedeeld tussen technologieën, zodat blokkades kunnen worden opgezet en toekomstige aanvallen eerder kunnen worden gedetecteerd en geblokkeerd. In 2016 zal dit soort intelligence sharing een hoge vlucht nemen. Intel Security toont mooie integratie met DXL en TIE maar ook gebruik van open standaarden zoals TAXII, STIX en Cybox zal toenemen. In 2016 zal meer energie worden gestoken in het creëren en delen van intelligence: hoe komen we aan intelligence, hoe filteren we het? En nog belangrijker: hoe delen we het (zowel intern als extern) en hoe werken we ermee?

2016

Next Gen AV

“Antivirus is dood” is een kreet die al regelmatig klinkt in de security-community. Voor een gedeelte is dit waar, maar het is vooral verkeerd verwoord. De huidige manier van AV is inderdaad dood. Het gebruik van signatures om virussen te detecteren (blacklisting) is achterhaald. Een stuk malware verandert tegenwoordig zo snel dat detectie op deze manier niet is bij te houden. Er is dan ook een verandering gaande; de volgende generatie AV kijkt naar gedrag op een systeem en reageert vervolgens op dit gedrag. Deze methodiek heeft de naam Endpoint Detection and Response. Stel dat er een executable wordt gedownload die door geen enkele virusscanner wordt gedetecteerd. Deze executable plaatst zichzelf in de map C:temp en gaat vervolgens alle shares en mappen af om bestanden te versleutelen. EDR-software ziet dat de executable wordt uitgevoerd en monitort het gedrag. De software ziet onbekend en mogelijk verdacht gedrag en maakt voor de zekerheid een back-up van het geheugen en geladen bestanden. Als de executable zich vervolgens daadwerkelijk verdacht gaat gedragen (bestanden worden versleuteld), zal EDR de executable stoppen en blokkeren en de getroffen bestanden en processen herstellen.

Verhoogde focus op gebruikersactiviteit

Bij elke aanval moeten resources worden benaderd en bepaalde operaties worden uitgevoerd waarvoor verhoogde rechten nodig zijn. Dit geldt voor zowel een externe als een interne aanvaller. Het is dan ook logisch om de focus op de monitoring van gebruikersactiviteit en de toegang tot systemen te verhogen. Dit zal mede gebeuren met nieuwe technologieën zoals User Behavior Analyses-systemen die verdacht of onbekend gedrag detecteren door gedrag van een gebruiker te monitoren en te vergelijken met dat van peers. Dit gebeurt via een stuk Machine Learning dat op basis van input vanuit SIEM- en HR-systemen gebruikersactiviteit continu monitort, berekent en dat zo nodig waarschuwingen geeft. UBA is in 2015 op de kaart gezet, en in 2016 zullen meer organisaties zich op deze technologieën gaan richten om opsporing en analyse beter te faciliteren.

Internet of Things

Internet_of_ThingsOf we het nu leuk vinden of niet: IoT is iets om rekening mee te houden. Nu slaat men soms wel door met het idee om alles smart te maken (er is inmiddels een tandenborstel met Bluetooth en een smart kattenbak) maar IoT zal ook een impact hebben op organisaties. De kans dat smart devices uw organisatie binnenkomen, zal in 2016 groter worden, met de bijbehorende mogelijke risico’s. Helaas worden nog steeds dezelfde fouten gemaakt als vroeger; dit soort smart devices zijn niet (goed) beveiligd en vormen dus een risico. Zo zijn er inmiddels al op een smart waterkoker en smart koelkast kwetsbaarheden gevonden die kunnen worden misbruikt om toegang te krijgen tot netwerken of data. Voor de CISO en voor het risk management is het daarom belangrijk om ook de implementatie van smart devices op de agenda te zetten en risico’s in kaart te brengen en zoveel mogelijk af te dekken.

Ransomware

Malware die uw documenten kaapt (encrypt) en uw systeem gijzelt om vervolgens om losgeld te vragen. Als er één type malware is waar veel organisaties en particulieren last van hebben én zeer lucratief is voor aanvallers, dan is het wel ransomware. En zolang mensen blijven betalen zal ransomware blijven bestaan. Ook in 2016 zal ransomware veel stof doen opwaaien. Waar ransomware nu nog veelal op Windows machines voorkomt kunnen we in 2016 zeker verwachten dat aanvallers zich ook gaan focussen op Unix (webservers/contentservers), OSX en mobile devices. Ook zal ransomware slimmer worden. Waar nu nog vaak een backup uitkomst biedt zal toekomstige ransomware zich stil installeren op een systeem en, voor de gebruiker, onzichtbaar alle bestanden encrypten. Pas na weken of maanden zal de toegang tot alle bestanden worden geblokkeerd en blijken dus ook alle recente backups geencrypte bestanden te bevatten. Betalen wordt dan steeds aantrekkelijker voor het slachtoffer. Hierdoor zal nog meer de nadruk op preventie komen te liggen. Preventieve maatregelen zoals Next Gen AV, patch management, Authorization Management maar ook user awareness  zouden dus hoog op de agenda van de CISO en bestuur moeten staan. De concrete, kortetermijnoplossing die wij adviseren is McAfee TIE & ATD.

Security komt op de agenda van de directie

Doordat organisaties steeds afhankelijker worden van IT-systemen en zich steeds meer bewust worden van gevaar voor aanvallen, komt security steeds meer op de agenda van de directie. Informatiebeveiliging is niet alleen de verantwoordelijkheid van de IT-afdeling, maar van de gehele directie. Daarom zal deze beveiliging moeten aansluiten op de doelstellingen en kritische processen van de organisatie. Dan versterkt informatiebeveiliging de organisatie en is het niet een beperkende maatregel, zoals het nu vaak wel wordt gezien. De meldplicht datalekken wordt vanaf 1 januari 2016 actief en zal ervoor zorgen dat organisaties meer controle moeten krijgen over persoonlijke gegevens en beter kunnen detecteren wanneer deze gegevens naar buiten lekken. Ook dit vraagt sturing en verantwoordelijkheid op directieniveau.

2016 belooft dus een jaar van innovatie te worden. De tijd zal leren hoe dit alles zich precies zal ontwikkelen.