Visie op Cybersecurity – Waarom is SIEM onderdeel van het probleem?
03 juli 2023
15 juni hebben wij voor de 2e keer onze Cybersecurity Summit georganiseerd. Een dag vol interessante sessies en visies rondom cybersecurity. In deze blog wil ik verder ingaan op de cybersecurity visie van Access42.
Cybercriminelen bepalen op dit moment het tempo van innovatie. Het veranderende dreigingslandschap een stap voor blijven, is de belangrijkste sleutel tot een sterkere weerbaarheid tegen beveiligingsrisico’s.
Als we kijken naar de afgelopen 12 maanden, dan zien we dat 2022 het jaar was met de hoogste gemiddelde kosten voor een data breach: $ 4.35 miljoen op jaarbasis.[1]
Die continue stroom aan dreigingen zorgt voor een burnout in security. Medewerkers zijn voortdurend gespannen vanwege alle kwetsbaarheden en dreigingen die er zijn, worden cynisch en daarnaast wordt de interesse in het vakgebied minder. Het is daarom belangrijk te blijven investeren in cybersecurity, niet alleen financieel, maar ook in de mensen.
De afgelopen periode hebben we veel aanvallen gezien vanuit de supply chain. Als voorbeeld Nebu die heeft gezorgd voor datalekken bij o.a. de Nederlandse Spoorwegen en Heineken. Maar ook een ernstig lek in de e-mailsecurityoplossing van Barracuda. Aanvallers hebben maanden mee kunnen kijken met e-mails van organisaties die gebruik maken van de Barracuda secure email gateway.
In het verlengde van supply chain attacks zien we ook de verschuiving naar API security. We koppelen steeds meer aan elkaar via API’s met alle gevolgen van dien. Het is ook niet vreemd dat OWASP met een nieuwe versie van de API Security top 10 komt, de 2023 versie.
Ik kan nog wel even doorgaan met inzichten; Active Directory is oud en bij de meeste organisaties zeer kwetsbaar, multi-factor authenticatie is toch niet zo veilig als we dachten, de opkomst van AI zorgt voor nieuwe dreigingen en mobiele apparaten vormen een enorm aanvalsoppervlak. En wat verbaast mij dan het meest? Ik zie veel organisaties hun heil zoeken in een SIEM. Buzzwords als SOC-SIEM komen in bijna alle aanbestedingen terug. En dat terwijl ik van mening ben dat traditionele SIEMs dood zijn: ze zijn niet in staat om zinvolle trends te identificeren en bieden ook geen mogelijkheden voor geautomatiseerde detectie of respons. Ze zijn gebouwd op een verouderd principe, dezelfde reden waarom de traditionele antivirus-oplossingen ook hebben gefaald. De industrie weet dit en heeft dit geprobeerd op te lossen door Machine Learning toe te voegen aan het SIEM-platform. Bovenop die verouderde basis.
Datavolumes en kosten zijn onbeheersbaar, wat leidt tot slechte beveiligingsresultaten. Het securityteam is bezig met een continue inhaalslag voor het schrijven van usecases en detectieregels. Analisten verzuipen in de ruis en het onderzoeken van een incident duurt te lang en is omslachtig.
Ik ben van mening dat organisaties in moeten zetten op automatisering in de hele SOC workflow. Als we weten dat ruim 90% van alle geslaagde aanvallen start met een e-mail, waarom sturen we dan de maillogs naar een SIEM om er na een datalek achter te komen dat de e-mail tegengehouden had kunnen worden? Dat is wat ik bij traditionele SIEMs zie gebeuren: achteraf kan men alles terugzien en had het voorkomen kunnen worden. Waarom zijn we dit niet voor en zorgen we met een e-mail security oplossing dat het voorkomen kan worden?
Ik zou graag zien dat organisaties proactiever worden en verder kijken dan SIEM. Vergeet die “check in the box” en stuur op preventie, automatische detectie en response (SOAR). Maak gebruik van de integratie mogelijkheden van vendoren. Als we met Netwerk Detectie en Response (NDR) zogenaamde “lateral movement” zien op het netwerk, waarom sturen we dan de EDR oplossing op het endpoint niet een bericht dat deze moet isoleren van het netwerk?
Door in te zetten op automatisering in de hele SOC keten is 24/7 eyes on the screen misschien niet eens nodig? Als je een gecompromitteerd systeem direct (automatisch) kan isoleren van het netwerk, dan is de dreiging op dat moment voorbij en heb je tijd gewonnen om het rustig verder te onderzoeken.
Als we risico’s, de complexiteit en de kosten van een SOC kunnen verminderen door in te zetten op geautomatiseerde incident response, dan zorgen we denk ik ook dat de burnout in security een stuk minder wordt en iedereen weer meer plezier en uitdaging krijgt in het mooie cybersecurity vakgebied.
Na de zomer ga ik graag met jullie in gesprek over onze visie en hoe we jullie kunnen helpen. Voor nu wens ik iedereen een hele mooie zomer en veel vakantieplezier!
Met vriendelijke groet,
Ronald Kingma
[1] Source: IBM Cost of a Data Breach Report