5 min Security

Je kan niet beschermen wat je niet weet

Je kan niet beschermen wat je niet weet

‘Bescherming begint met kennis.’ Die uitspraak klinkt wellicht voor de hand liggend, maar voor veel organisaties is het gebrek aan kennis over wat hen kwetsbaar maakt een bittere waarheid. Hedendaagse ontwikkelingen zoals procesautomatisering, Cloudmigraties en ketenintegraties, verhogen de productiviteit aanzienlijk. Tegelijkertijd vergroten ze het aanvalsoppervlak van een organisatie. De uitdaging is om controle en overzicht te behouden over systemen, netwerken en data, terwijl deze exponentieel groeien.

Weet wat je in huis hebt

Zoals Donald Rumsfeld, de voormalige Amerikaanse minister van Defensie, ooit zei:
‘There are known knowns’, zaken waarvan we weten dat we ze kennen. ‘There are known unknowns’, oftewel; we weten dat we sommige dingen niet kennen. En ‘There are also unknown unknowns’, de dingen waarvan we niet eens weten dat we ze niet kennen. Om het aanvalsoppervlak van je organisatie te minimaliseren, wil je dus zoveel mogelijk potentiële dreigingen kunnen vangen onder de eerste categorie; de ‘known knowns’.

Het is een fundamenteel principe: je kunt iets niet beschermen als je niet van het bestaan weet. Daarom is het cruciaal om een duidelijk beeld te hebben van het potentiële aanvalsoppervlak van je organisatie. Dat proces begint met een grondige inventarisatie van alle bedrijfsmiddelen.  Dit omvat niet alleen systemen, applicaties, tablets en IoT-apparaten, maar ook API’s en cloudapplicaties en zelfs je personeel. En ben je op de hoogte van alle accounts met verhoogde toegangsrechten binnen je organisatie?

Grote kans dat er tijdens die inventarisatie middelen naar voren komen waarvan je het bestaan niet wist. Denk aan een oude server die nog met het internet verbonden is, het gebruik van een nieuwe AI- of cloudapplicatie door een aantal commerciële medewerkers, een nieuw meetinstrument dat door een ontwikkelaar wordt getest of een serviceaccount met (tijdelijk) meer privileges.

Het doel van de inventarisatiefase is om zoveel mogelijk middelen uit de categorie ‘unknown unknowns’ zichtbaar te krijgen. Zijn ze zichtbaar, dan kunnen deze middelen vervolgens ook beheerd  worden. Daarmee worden deze middelen ‘known unknown’ en verhuizen ze uiteindelijk naar known knowns’. Het is overigens een utopie dat dit een eenmalige exercitie is, het is een doorlopend proces. Wanneer je dit niet constant onderhoudt zal een asset dat nu binnen de categorie ‘known knowns’ valt uiteindelijk ‘unknown’ worden. Andersom geldt ook, naarmate je hier tijd en kennis in investeert krijg je meer grip en zicht en daarmee ook minder ‘unknowns’.

Naast de middelen waar je als organisatie grip op hebt, zijn er echter ook nog ‘unknown unknowns’ waar je minder grip op hebt; namelijk die buiten de organisatie.

Wat niet weet wat niet deert?

Het aanvalsoppervlak van jouw organisatie is groter dan de middelen die je als organisatie zelf in beheer hebt. Je wilt het liefst ook zicht op activiteiten van kwaadwillenden buiten je organisatie die een mogelijke dreiging vormen. Dreigingen waar je op dit moment nog geen weet van hebt. Ook deze ‘unknown unknowns’ wil je inzichtelijk maken en er gepaste actie op nemen. Denk bijvoorbeeld aan datasets met inloggegevens die op het darkweb verhandeld worden, of het registreren van domeinen die sterk lijken op die van jouw organisatie. Je wilt het liefst voorkomen dat deze worden ingezet door cybercriminelen.

De grote onbekende

Een deel van deze dreigingen kan je ontdekken door gebruik te maken van OSINT (Open Source Intelligence)-bronnen en het monitoren van berichten op het darkweb. OSINT is niet alleen kennisnemen van allerlei losse brokjes informatie, maar deze combineren en aanwenden om zo tot kennis te komen. Denk aan berichten op social media, berichten op fora of publieke websites. Op het oog eenvoudige berichten over een andere functie, een nieuwe locatie, behaalde certificeringen of nieuwe samenwerkingen. Wanneer deze informatie gecombineerd wordt, dan geeft het een cybercrimineel allemaal aanknopingspunten om bij een organisatie binnen te komen. Het gevaar is dat cybercriminelen OSINT gebruiken om als buitenstaander een beeld te vormen van de cybersecuritymaatregelen van een organisatie.

Als organisatie is het uiteraard belangrijk om je te realiseren dat elk stukje informatie dat je publiceert, of dat over jou wordt gepubliceerd, ook een negatief effect kan hebben op je aanvalsoppervlak. Je kan echter ook zelf OSINT gebruiken om je digitale weerbaarheid te versterken. Want diezelfde bronnen die een cybercrimineel gebruikt, die kun je continu monitoren om tijdig verdachte activiteiten richting jouw aanvalsoppervlak te detecteren en zo je cybersecurity te verbeteren.

Met Intelligence Driven Protection kun je zoeken naar aanwijzingen om dergelijke indicaties in een vroegtijdig stadium te melden. Dus, staat je organisatie in de verkeerde belangstelling of gaat er iets rond over jouw organisatie op hackersfora? Dan kun je tools inzetten om deze te detecteren en tijdig in actie te komen.

Conclusie

Het zicht en grip houden op het aanvalsoppervlak van jouw organisatie is geen eenvoudige taak. Er zijn erg veel factoren die een rol spelen in het bepalen van dat aanvalsoppervlak. Een groot aantal factoren ken je, een aantal ken je (nog) niet en van een aantal ken je het bestaan pas bij een incident.

Met een toenemend aantal aanvallen dat plaatsvindt via onder andere het uitbuiten van kwetsbaarheden en phishing, is het belangrijk om je bewust te zijn van het veranderende aanvalsoppervlak van jouw organisatie. Ga daarom uit van het credo ‘we gaan een keer getroffen worden door een cyberincident, we weten alleen nog niet wanneer.’ Zorg dat je het aanvalsoppervlak van jouw organisatie zo goed mogelijk kent en een draaiboek hebt klaarliggen voor het geval je wel getroffen wordt. Want: om je organisatie goed te kunnen beschermen is het noodzakelijk dat je al je assets kent.

Dit is een ingezonden bijdrage van Tesorion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.