Waarom overzicht geen garantie voor effectieve security beveiliging is

Hoe ontstaan beveiligingsincidenten? Meestal niet omdat cybercriminelen zo vindingrijk zijn. Het gaat mis omdat organisaties niet zien wat er zich recht voor hun neus afspeelt zoals een lang vergeten account dat nog altijd actief is of firewall-regels die lange tijd niet gecheckt worden. Als security-teams klagen over een gebrek aan overzicht, hebben ze het over dit soort blinde vlekken waardoor risico’s zich opstapelen totdat het te laat is om er nog iets aan te doen.

Het probleem is dat ‘overzicht’ als het ultieme doel wordt bestempeld. Dat betekent dat er meer dashboards moeten worden beheerd, meer kpi’s moeten worden bewaakt en langere rapporten moeten worden doorgeploegd. Daarmee wordt het overzicht verbeterd, maar geen oplossing geboden voor de onderliggende kwetsbaarheden. Want meer zicht op zaken, vertaalt zich niet automatisch in meer grip op zaken.

Overzicht is zeker niet onbelangrijk, maar al evenmin de gewenste eindsituatie. Overzicht creëren is slechts het begin. Wat er daarna gebeurt, is wat er werkelijk toe doet.

Wanneer blinde vlekken uitgroeien tot bedrijfsrisico’s

Het is verleidelijk om overzicht als doel op zich te zien, maar in de praktijk werkt dit anders. Er worden geen budgetten beschikbaar gesteld omdat het security-team over duidelijker dashboards wil beschikken. Dat gebeurt pas zodra blinde vlekken problemen opleveren waaraan niemand voorbij kan gaan: cyberaanvallen die hadden moeten worden ingedamd, audits die mislukken vanwege ontbrekend bewijsmateriaal of projecten die spaak lopen als gevolg van trage besluitvorming over beveiliging.

Zonder een helder overzicht van beleidsregels en configuraties kunnen kleine missers de complete omgeving in gevaar brengen. Accounts met speciale toegangsrechten blijven maanden of jaren na hun nuttige levensduur actief en zetten daarmee de deur wijd open voor hackers. Regels voor toegangsbeheer die met elkaar in strijd zijn of elkaar overlappen creëren onzekerheid over wat er wel en niet is toegestaan. Dit zijn voorbeelden van lacunes in de beveiliging waarvan cybercriminelen grif gebruik maken.

Dit gebrek aan duidelijkheid ondermijnt ook de compliance. Neem bijvoorbeeld PCI DSS v4.0, dat in 2025 van kracht ging. Deze beveiligingsstandaard verplicht organisaties die creditcardgegevens verwerken om actief beheer van hun beveiligingsbeleid. Ze moeten niet alleen aantonen dat zij beveiligingsregels hanteren, maar ook dat zij die bewaken, handhaven en bijwerken in aansluiting op de aanwezige risico’s. Dat betekent onder meer dat zij moeten bewijzen dat zij gebruikers alleen de toegangsrechten toekennen die zij strikt gezien voor hun werk nodig hebben, dat ze hun firewall- en segmentatieregels regelmatig onder de loep nemen en dat zij alle wijzigingen documenteren en valideren. Zonder betrouwbaar overzicht op wat regels toestaan, wie ze heeft goedgekeurd en of ze nog altijd geldig zijn, is het onmogelijk om al deze bewijslast aan te dragen.

Wat misschien nog wel het vaakst over het hoofd wordt gezien, zijn de gevolgen die dit heeft voor de slagkracht van het security-team. Elke uitrol van een nieuwe applicatie, elke upgrade van de infrastructuur en elke spoedeisende fix vraagt om snelle en trefzekere besluitvorming. Als blinde vlekken ellenlange risicobeoordelingen vereisen, lopen projecten spaak. De beveiliging groeit in dat geval uit van een bron van gemoedsrust tot een rem op de vooruitgang. Bedrijven die actief zijn in sectoren waarin de time-to-market bepalend is voor hun concurrentievermogen kunnen zich dat niet lang veroorloven.

Statische regels in dynamische omgevingen

Deze problemen worden versterkt door het snelle tempo van ontwikkelingen binnen moderne infrastructuren. Binnen netwerken is verandering de enige constante. Workloads bewegen zich van de ene naar de andere cloud, en containers kunnen in een kwestie van seconden opduiken om vervolgens weer te verdwijnen. Een kwartaal-evaluatie of eenmalige audit biedt slechts een momentopname van een omgeving die ondertussen al lang en breed is veranderd.

Statische regels kunnen deze sneltrein van veranderingen met geen mogelijkheid bijhouden. Naarmate omgevingen zich verder ontwikkelen ontstaat er een wildgroei aan beleidsregels. Access control lists voor de cloud, beveiligingsregels voor firewalls en beleidsregels voor netwerksegmentatie worden in verschillende domeinen aangemaakt, vaak als een quick fix voor prangende problemen of om ruimte te bieden voor legacy systemen. Na verloop van tijd stapelen de regels zich op, totdat een punt wordt bereikt waarop niemand nog met zekerheid kan zeggen welke regels relevant zijn en welke verouderd. Tegen die tijd is het probleem niet langer het ontbreken van een dashboard, maar het uitblijven van samenhangende governance.

Deze lacunes in de beveiliging leveren kansen op voor cybercriminelen. Eén verouderde beleidsregel of vergeten service-account kan hen al een ingangspunt bieden. Conflicterende beleidsregels kunnen grijze gebieden in het leven roepen waar niemand wijs uit kan worden. Het probleem zit hem niet alleen in wat je niet kunt zien, maar ook in de snelheid waarmee blinde vlekken kunnen uitgroeien tot kwetsbaarheden die hackers kunnen misbruiken.

Overzicht omzetten in actie

De werkelijke waarde van overzicht schuilt in wat het mogelijk maakt. Het blootleggen van een configuratiefout doet er alleen toe als die fout kan worden verholpen voordat die de hele omgeving in gevaar brengt. Het detecteren van accounts met te veel toegangsrechten heeft pas zin als die direct kunnen worden verwijderd. En het verwerven van inzicht in de impact van een wijziging zal pas een verschil maken als bedrijfsprocessen ongestoord kunnen doorgaan.

Dat betekent dat beleidsregels niet als statische, maar als dynamische grootheden moeten worden behandeld. Ze moeten voortdurend worden gemonitord, gelijkgetrokken voor de verschillende domeinen en aangepast aan de manier waarop de organisatie werkelijk opereert. Overzicht dient als de basis, maar de volwassenheid van de beveiliging staat of valt in het vermogen om daar snel genoeg actie op te ondernemen.

“Het ontbreekt ons aan overzicht” is tegenwoordig de standaardkreet zodra het misgaat met de beveiliging. Die woorden zijn van weinig betekenis. Ze zeggen niets over de reden waarom een hacker zich onopgemerkt door het netwerk kon verplaatsen, waarom er tijdens een audit geen bewijsmateriaal kon worden aangedragen of waarom het tempo van wijzigingen achterbleef bij de behoeften van de organisatie. Het is veel te gemakkelijk om dit soort problemen te wijten aan een gebrek aan overzicht. Erger nog: het geeft blijk van het ontbreken van een duidelijke strategie.

De werkelijke vraag is wat er gebeurt zodra blinde vlekken in kaart zijn gebracht. Een ongecheckte regel kan het complete beveiligingsbeleid ondermijnen door onzekerheid te creëren over wat er zonder problemen kan worden veranderd, en wat absoluut ongewijzigd moet blijven. Teams beginnen daardoor te aarzelen. Niet omdat het hen aan kennis en kunde ontbreekt, maar simpelweg omdat zij geen vertrouwen hebben in het beeld dat hen wordt geschetst. Na verloop van tijd zal die aarzeling de bedrijfsvoering harder kunnen remmen dan een cybercrimineel ooit zou kunnen doen.

Kortom, met overzicht ben je er nog niet. De werkelijke vraag is of je organisatie in staat is om daar trefzeker actie op te ondernemen. Het komt niet aan op het aantal dashboards dat je kunt raadplegen, maar op het vermogen om die op juiste wijze te gebruiken om verouderde en overtollige beleidsregels aan te pakken, het beveiligingsbeleid te handhaven zoals het bedoeld is en de bedrijfsvoering draaiende te houden.

David Brown is senior vice president International Business bij FireMon