Het afgelopen jaar hebben we veel veranderingen gezien op het gebied van cybersecurity. Niet alleen in hoe cybercriminelen aanvallen, maar ook op welke manier cybercriminelen zichzelf ontwikkelen en versterken.
In onderstaand artikel geeft Greg Day, regional Chief Security Officer van Palo Alto Networks, een toelichting.
(1) In 2016 gaat men in de EU anders tegen beveiliging aankijken
De Europese richtlijnen voor netwerk- en informatiebeveiliging en de hervorming van de algemene databeschermingsrichtlijn zullen beiden grote gevolgen hebben voor cyberstrategieën in 2016. Ik verwacht dat ze allebei aan het eind van dit jaar op het punt zullen staan om in te gaan. Bedrijven zullen echter, of ze nu onderdeel zijn van de kritieke nationale infrastructuur of overweg moeten kunnen met de meer dan 5000 dossiers van EU-burgers, een beveiliging moeten hebben die in lijn is met de huidige ‘state-of-the-art’-mogelijkheden. Zeker omdat de laatstgenoemde richtlijn wordt gekoppeld aan hun risicoprofiel. Op dit moment is er een groot verschil tussen bedrijven die ‘state-of-the-art’ kunnen bieden en bedrijven die de oude gewoonten blijven volgen. Met potentiële audits en notificaties wanneer zich incidenten voordoen is er nóg meer druk om bij te blijven, zodat dergelijke problemen kunnen worden voorkomen. Dit alles vergroot op directieniveau het belang van een goede cybersecurity. 2016 wordt het jaar waarin bedrijven moeten gaan transformeren waar nodig.
(2) Cybercrime zal zich verplaatsen naar de smartphone
Eind jaren negentig is het aantal bedreigingen geëxplodeerd, doordat criminelen aanhaakten bij de groei in internetbankieren en online-winkelen. Op dit moment zien we qua betaalmogelijkheden de grootste transformatie in tijden, met mobiele betaalplatformen (waarvan het aantal gebruikers in de dubbele percentages loopt, wat gelijk staat aan miljoenen transacties), Venmo-overboekingen tussen vrienden en eWallets worden gemeengoed. Bedrijven als Braintree stellen miljoenen winkels in staat om betalingen te ontvangen via deze nieuwe technologieën, waardoor we erop voorbereid moeten zijn dat cybercriminelen deze geldstromen ook gaan volgen. De afgelopen maanden hebben we nieuwe lekken gezien in Apple iOS, samen met de reeds bestaande groei in het aantal Android-aanvallen. Zijn dit eerste speldenprikjes voor de complexe supply chain van mobiele betalingssystemen? Hoe dit in de toekomst gaat is nog niet duidelijk. Onze slimme apparaten worden steeds meer een digitale hub, en vooral in de auto komen er steeds meer media-, netwerk- en andere mogelijkheden. De afgelopen tijd hebben we gezien dat aanvallers zich richten op systemen in de auto, wat heeft geleid tot grootschalige patches. Nu de mogelijkheden nog groter worden, valt te verwachten dat de focus steeds meer hiernaar verschuift, zeker omdat cybercrime doorgaans het geld achterna is gegaan. Op dit moment is er nog erg weinig aandacht voor het voorkomen van incidenten op mobiele telefoons, maar dat gaat in 2016 waarschijnlijk veranderen.
(3) Europa, de supply chain en beveiliging
Hoewel veel organisaties zich hebben gefocust een nieuwe, state-of-the-art-cybersecurity technologie, blijven ze nog wel afhankelijk van de interne supply chain. We zijn zo sterk als onze zwakste schakel en de afgelopen 12 maanden hebben een aantal grote wereldwijde inbreuken dit aangetoond. In Europa is het gebruikelijk om zaken uit te besteden naar internationale supply chains. We kunnen een groeiende focus verwachten op de risico’s die deze samenwerkingen met zich meebrengen en hoe voorkomen kan worden dat zij de zwakke schakel worden. Dit kan betekenen dat er meer gedeelde middelen, toegangsmogelijkheden of services worden vrijgemaakt. Hiermee kan het risico op wijd openstaande verbindingen worden geminimaliseerd en de communicatie die binnenkomt gevalideerd.
Op nationaal niveau bestaat een groot deel van de kritieke nationale infrastructuur (‘critical national infrastructure’ of CNI) uit publieke en private samenwerkingen. Dit betekent dat veel bedrijven zich zorgen maken dat ze misschien verzeild raken in aanvallen op overheden. We hebben dit soort aanvallen in aantal zien toenemen, waardoor we ook enige verwarring kunnen verwachten over de benodigde beveiligingsmogelijkheden. Normaal gesproken zijn de risico’s, en daarmee de benodigde investeringen in cybersecurity, voor bedrijven lager dan voor de CNI. Als een bedrijf echter onderdeel is van de supply chain voor de CNI, kan er verwarring ontstaan over de vraag waar de grens ligt, welke aanvullende mogelijkheden er nodig zijn en hoe de betaalmodellen eruit zien. De aanvallen op overheden nemen in aantal toe, wat de focus op deze complexe en uitdagende kwestie alleen nog maar verder vergroot.
(4) Een nieuwe rol voor de CSO
Van oudsher heeft de CSO altijd gerapporteerd aan de CIO, omdat beveiliging werd gezien als onderdeel van IT. Om diverse redenen is dit echter aan het veranderen, zoals ook te lezen is in ons recent gepubliceerde rapport Governance of Cybersecurity 2015. Hierin staat dat Europa de enige regio is waarin steeds minder CISO’s/CSO’s rapporteren aan een CIO. Was dit percentage in 2012 nog 50%, in 2015 is dit gedaald naar 33%. Voor cyber betekent deze stijging in belang en impact dat het steeds meer een kwestie wordt die op directieniveau wordt besproken. Dit betekent meer betrokkenheid en meer investeringen, waardoor de CSO steeds meer een ‘risicoleider’ wordt in plaats van een technisch leider. De afgelopen tijd heb ik gezien dat CSO’s rapporteren aan de juridisch adviseur (gezien de juridische gevolgen als het misgaat met de beveiliging), de CFO (gezien de commerciële gevolgen), of rechtstreeks aan de CEO (gezien het belang voor het bedrijf als geheel). Er zijn gezonde ontwikkelingen gaande om de rol weg te halen bij de CIO, voor wie de belangrijkste focus is om het bedrijf met behulp van IT operationeel effectief te maken. Het is beter voor de beveiliging als geheel wanneer het lukt om de directe koppeling tussen deze twee investeringen – die feitelijk niet direct aan elkaar gekoppeld zijn – te doorbreken. Daarbovenop moet er een gezonde spanning te worden gecreëerd tussen nieuwe mogelijkheden voor beide bedrijfstakken, waarbij er geen onnodige ‘risicogaten’ ontstaan voor het bedrijf. Zolang de CSO rapporteert aan de CIO is er altijd de zorg dat conflicterende belangen invloed kunnen hebben op het nemen van een evenwichtig besluit.
(5) Traditionele bedrijfsnetwerken zijn op hun retour
Eind 2015 hebben we drie keer zoveel actieve IP-apparaten als mensen, hebben we meer dan een zettabyte aan data die wereldwijd door netwerken stroomt en is meer dan 90% van de wereldwijde data in de afgelopen twee jaar aangemaakt. Bedrijven kunnen niet langer de kosten verantwoorden voor het bouwen van grote, complexe netwerken en ze zijn steeds vaker op zoek naar mogelijkheden om hun IT-systemen te outsourcen, te cloudsourcen en te ‘verconsumenteren’. Bedrijfsnetwerken worden kleiner, omdat organisaties digitale entiteiten worden, die alleen hun kernnetwerk nog in eigen beheer hebben. Zaken als CRM, e-mail en het delen van bestanden gaan over naar de cloud. Het recente “Application Usage and Threat Report” van Palo Alto Networks laat zien dat het afgelopen jaar 46% meer bedrijven SaaS zijn gaan gebruiken. Voeg hier nog het groeiende gebruik van het IoT, apparaten als machine-to-machine (M2M) op de werkplek en andere draagbare technologie van consumenten zelf aan toe, en het mag geen verrassing heten dat de IT die we kennen aan het veranderen is.
Nu dit aan de gang is, ontstaat er een nieuwe leercurve in de cybersecurity: hoe kun je de ‘best practices’ bepalen voor shadow-IT? Voor eenvoudige concepten als visibility en policy control, en het voldoen aan eisen in wet- en regelgeving, zijn state-of-the-art-oplossingen nodig die functioneren in complexe omgevingen met meerdere gebruikers, die worden gebruikt vanaf meerdere locaties. Bij BYOD zagen we eerst onzekerheid en toen een verschuiving naar een model met aanzienlijke voordelen. Dit benadrukt dat er stille golfbewegingen zijn die mensen in de richting van een bepaald doel duwen. Ondanks vergelijkbare zorgen over de overstap naar de cloud en het IoT beweegt Europa zich in de richting van een transformatie in de IT en een digitale bedrijfsentiteit. 2016 wordt het jaar waarin bedrijven hier iets aan gaan doen, of het nu simpelweg draagbare apparaten zijn, slimme zakelijke tools of gedeelde middelen in de cloud.
(6) De grenzen van aanvallen vervagen
De afgelopen jaren is er een aanzienlijke focus geweest op APT’s en aanvallen op overheden, omdat de impact hiervan een stuk groter is. De grenzen zijn echter aan het vervagen. Veel gewone aanvallen maken nu gebruik van geavanceerdere concepten, zoals diverse componenten om ontdekking te voorkomen. Deze komen voort uit de lifecycle van APT-aanvallen en richten zich ook op meer impliciete doelen. Cybercrime maakt gebruik van old-school-technieken zoals EXE-infecties en macro’s. Fraudeurs gebruiken herkenningstechnieken en zijn op zoek naar aanvalsmogelijkheden met grote gevolgen (zoals het zoeken naar ‘grote vissen’ uit het bedrijfsleven via whaling techniques). Tegelijkertijd is er vanuit overheden vraag naar commerciële cybercriminelen die nieuwe, innovatieve technieken en onbekende kwetsbaarheden kunnen aanwijzen uit het veel grotere netwerk die achter cybercrime zit.
We moeten stoppen met het plaatsen van aanvallen in categorieën, en ons in plaats daarvan richten op de methoden en motieven van aanvallers. De impact van een gerichte cybercrimineel kan net zo groot zijn als die van een gerichte overheidsaanval. Afhankelijk van de overheid of cybercrimineel die erachter zit, kunnen de kennis en vaardigheden net zo gevarieerd zijn. Beiden hebben een aantal uitzonderlijke kwaliteiten en willen net zozeer elkaars vaardigheden opdoen als zelf innoveren.
We hebben dan wel verschillende oplossingen ontwikkeld om verschillende soorten aanvallen te vinden, maar nu de grenzen vervagen is het belangrijker geworden dat we deze oplossingen laten functioneren als één geheel. Op die manier herkennen we aanvallen niet door uit te gaan van een bepaald type (APT – APT-oplossing, cybercrime – AV, whaling en phishing – gateway-contentfilters) maar kunnen we de benodigde attributen en indicatoren van een aanval aan elkaar koppelen. Door ze met elkaar in verbinding te brengen, kunnen we ze op de juiste manier herkennen en tegenhouden.
Greg Day, Chief Security Officer EMEA bij Palo Alto Networks