Het gevaar van het groeiende aanvalsoppervlak van IT-security door teveel complexiteit

De verandering van IT-omgevingen is een continu gegeven. De IT-infrastructuur groeit voortdurend en past zich aan de laatste technologische ontwikkelingen aan. Voor je het weet, ontstaat overlap. Nieuwe systemen worden vaak toegevoegd voordat oude systemen volledig uit de roulatie zijn genomen. Ook het aantal koppelingen met oplossingen van externe partijen groeit exponentieel. En op de achtergrond komt er steeds meer schaduw IT bij. Hierdoor ontstaat een onsamenhangende en continu groeiende kluwen van IT-activa, gebruikers en toegangspunten.

Wat ooit een duidelijk omlijnde edge was, wordt daarmee helaas een voortdurend veranderende verzameling van beveiligingslekken die organisaties slechts met grote moeite kunnen spotten, laat staan dichten. Het probleem is niet zozeer de schaalomvang als wel de ongecontroleerde wildgroei. De opeenstapelende risico’s hebben niet alleen betrekking op endpoints of identiteiten, maar vloeien ook voort uit de complexiteit van het beveiligingsbeleid: een factor die veel bedrijven over het hoofd zien.

Elke tool die wordt ingezet om de productiviteit op te voeren, elke endpoint die wordt toegevoegd om het gebruiksgemak te vergroten en elk toegangsrecht dat in alle haast wordt verleend is onderdeel van het aanvalsoppervlak dat cybercriminelen kunnen onderzoeken, in kaart brengen en misbruiken. Niet omdat er geen beveiligingsmechanismen aanwezig zijn, maar omdat de omgeving simpelweg te complex en onbeheersbaar is geworden om er uitgebreide bescherming voor te bieden. Er zijn maar weinig organisaties die deze onzichtbare risicolaag actief meten of beheren.

Hoe kunnen cybersecurity-medewerkers hier het beste met deze risico’s omgaan? De complexiteit van het beveiligingsbeleid is een lastige kwestie, maar het beheer van het beleid hoeft dat naar mijn mening niet te zijn.

Het in kaart brengen van het aanvalsoppervlak is niet voldoende

Gelukkig hebben de meeste organisaties voldoende oog voor het belang van overzicht. Ze investeren in asset discovery-tools en houden een inventaris bij van alle IT-activa bij en genereren rapporten. Maar jammer genoeg staat overzicht niet gelijk aan risicoreductie; met het in kaart brengen van alle onderdelen van je IT-omgeving reduceer je immers nog niet alle risico’s.

Het is goed te weten dat het gemiddelde aanvalsoppervlak bestaat uit een combinatie van bekende en onbekende componenten. Op de achtergrond draaien nog altijd legacy applicaties. Daarnaast zijn er onbenutte gebruikersaccounts met speciale toegangsrechten in omloop. Lang vergeten API’s houden koppelingen met systemen van externe partijen in stand. Voor sommige IoT-apparaten valt er geen duidelijke verantwoordelijke aan te wijzen. En met elk van deze zaken groeit het aanvalsoppervlak, vaak zonder dat er alarmbellen gaan rinkelen.

Risico’s aan de rand van het netwerk

Het grootste gevaar van de groei van het aanvalsoppervlak is het subtiele karakter ervan. In plaats van zich kenbaar te maken in de vorm van kwetsbaarheden, schept het de voorwaarden voor het aan de aandacht ontsnappen van kleine details met ingrijpende gevolgen.

In een complexe omgeving kunnen de kleinste beveiligingslekken de deur wijd openzetten voor cybercriminelen, zeker als die speciaal hun pijlen richten op organisaties met een uitdijend aanvalsoppervlak.

Monitoring-tools kunnen weliswaar potentiële signaleren, maar het probleem is dat security-teams vaak worden overweldigd door een overdaad aan meldingen. Het op prioriteit indelen van meldingen krijgt daarmee een reactief karakter en responstijden hebben eronder te lijden.

Reductie als beveiligingsstrategie

Het verkleinen van het aanvalsoppervlak laat zich niet in een functie of tool vangen; er is een strategische benadering voor het verkrijgen van grip op de complexiteit nodig. CISO’s en security managers moeten zich deze mentaliteit eigen maken en ervoor zorgen dat de structuur en verantwoordelijkheden hersteld worden, in IT-omgevingen waarin complexiteit de blootstelling aan risico’s aan het zicht onttrekt.

De eerste stap is continue asset discovery. Het in kaart brengen van alle IT-activa moet verder gaan dan een periodieke inventarisatie en moet een real-time proces worden dat in de beveiligingsactiviteiten is ingebouwd. Organisaties veranderen voortdurend, en zonder een real-time overzicht van alle nieuwe gebruikers, systemen en applicaties die worden geïntroduceerd, zal het aanvalsoppervlak ongezien blijven groeien.

De volgende stap is dat IT-activa en toegangsrechten niet alleen op risico’s worden beoordeeld, maar ook op relevantie. Alle systemen, beleidsregels en integraties die de onderneming niet actief vooruit helpen, vertegenwoordigen een potentieel risico. Het zijn niet alleen legacy software, onbeheerde applicaties en verouderde endpoints die het aanvalsoppervlak vergroten. Dat geldt ook voor verouderde beleidsregels, overtollige controlemechanismen en definities van rollen die het werkelijke gedrag van gebruikers niet langer weerspiegelen.

Benchmarking en continu toezicht vormen dan ook de sleutels tot succes. Het is niet alleen zaak om te documenteren wat er in de omgeving aanwezig is, maar ook om kwetsbaarheden op prioriteit in te delen en die vervolgens te verhelpen. Volwassen beveiligingsprogramma’s zijn gebaseerd op het inzicht dat kennis van de risico’s slechts het begin is. Meetbare verbetering vraagt om het vermogen om het zowel het aanvalsoppervlak als het beleidsoppervlak op consistente en verantwoorde wijze te verkleinen.

Mechanismen voor toegangsbeheer moeten niet alleen het beleid, maar ook de dagelijkse realiteit weerspiegelen. Op rollen gebaseerde toegangsrechten die regelmatig worden geëvalueerd en bijgewerkt kunnen voorkomen dat indringers zich door het netwerk kunnen verplaatsen. Als werknemers de organisatie verlaten of een nieuwe functie krijgen, moeten hun aanmeldingsgegevens worden ingetrokken.

Hetzelfde zou moeten gelden voor authenticatieprotocollen. Meerstapsverificatie, VPN-toegang en veilig wachtwoordbeheer zijn basis-vereisten voor effectieve beveiliging. Toch worden deze maatregelen nog altijd niet op consistente wijze toegepast, laat staan op legacy systemen en koppelingen met oplossingen van externe partijen.

Het versterken van de beveiliging van systemen moet hand in hand gaan met het terugdringen van het aantal IT-activa en beleidsregels. Het vraagt om het patchen van bekende kwetsbaarheden, het sluiten van ongebruikte poorten en het opheffen van standaardconfiguraties die lang na de implementatie in stand blijven. En het vraagt daarnaast om een investering in een oplossing voor endpoint-beveiliging die met de omgeving mee kan groeien.

Aan de basis van dit alles staat de menselijke factor. Cybercriminelen blijven succes boeken met digitale babbeltrucs/social engineering-technieken omdat die misbruik maken van gedrag in plaats van programmatuur. Training, voorlichting en de juiste rapportagecultuur zijn essentiële ingrediënten voor een langetermijn-strategie voor risicoreductie.

Minder om te inspecteren en meer om op te vertrouwen

Het verkleinen van het aanvalsoppervlak levert een aaneenschakeling van verbeteringen op, die elkaar versterken. Naarmate organisaties meer grip op zaken krijgen ze minder onder onzekerheid te lijden. Minder onzekerheid resulteert in duidelijkere verantwoordelijkheden. En duidelijkere verantwoordelijkheden leiden tot snellere en daadkrachtigere actie. Elke verbetering versterkt de volgende in de schakel, waarmee een responsiever en gedisciplineerder beveiligingsmodel ontstaat.

Voor CISO’s is het verkleinen van het aanvalsoppervlak geen kwestie van minder doen. Het gaat erom te doen wat ertoe doet, en dat zo goed mogelijk te doen. Hoe groter de complexiteit en omvang van de omgeving, hoe urgenter de noodzaak om de beperkte middelen in te zetten voor het reduceren in plaats van in kaart brengen van de blootstelling aan beveiligingsrisico’s.

David Brown, SVP International Business, FireMon