Hoe kunt u het risico van uw organisatie beperken?

  • Artikel
  • 4 minuten om te lezen

Net als bij fysieke veiligheid wordt succes in informatiebeveiliging meer gedefinieerd als een voortdurende taak voor het toepassen van goede beveiligingsprocedures en principes en beveiligingshygiëne in plaats van een statische absolute status. Het verminderen van het risico voor uw beveiligingsprogramma moet worden afgestemd op de missie van uw organisatie en worden vormgegeven door drie belangrijke strategische richtingen:

  • Tolerantie inbouwen in uw cyberbeveiligingsstrategie

  • Strategisch toenemende kosten voor aanvallers

  • Tactische met aanvallertoegang.

Veerkracht

Het inbouwen van cyberbeveiligings resilience in uw organisatie vereist een goede balans tussen investeringen in de beveiligingslevenscyclus, zorgvuldig onderhoud toepassen, zorgvuldig reageren op afwijkingen en waarschuwingen om te voorkomen dat de beveiligingsgarantie afsterf en ontwerpen om diepgaande en minst uitgebreide bevoegdheden te beschermen.

Door uw investeringen in balans te brengen, voorkomt u cyberbeveiligingsaanvallen en herstelt u snel normale bewerkingen in het geval van een geslaagde aanval. Door in beide te investeren, vermindert u het risico dat uw organisatie loopt. De functies van het NIST zijn goed in kaart gebracht op deze twee doelen:

  • Identificeren/beveiligen – Inzicht in uw postuur en uw aanvallers en investeren in het opzetten en verbeteren van besturingselementen om aanvallen op gegevens en systemen gedurende een periode te voorkomen. Een diepgaande verdedigingsbenadering kan het risico verder beperken, met inbegrip van aanvullende besturingselementen die zijn ontworpen voor het afhandelen van mogelijke fouten in primair beheer (bijvoorbeeld ervan uitgaande dat netwerkbesturingselementen mislukken en eindpunt- en gegevensbeveiligingsbeveiliging implementeren)

  • Detecteren/reageren/herstellen – Blijf alert, zodat wanneer aanvallers toegang krijgen tot systemen en gegevens, u ze snel kunt detecteren en normale bewerkingen en beveiligingsgaranties kunt herstellen

Toenemende kosten voor aanvallers

Cyberbeveiligingsaanvallen worden gepland en uitgevoerd door menselijke aanvallers die hun rendement op investeringen in aanvallen moeten beheren (het rendement kan winst omvatten of het bereiken van een toegewezen doelstelling). Als u in beveiliging investeert, moet u zorgvuldig overwegen hoe u het rendement van de aanvaller op investeringen kunt beschadigen met uw verdedigingsinvesteringen.

De beste manier om de mogelijkheid van een aanvaller te beschadigen om uw organisatie aan te vallen, is door de kosten te verhogen door eenvoudige en goedkope aanvalsmethoden te voorkomen en te detecteren. Dit verhoogt snel de minimale kosten voor aanvallers en maakt u een minder aantrekkelijke doelgroep (met name voor winstgestuurde aanvallers). Sommige aanvallers, zoals staten, hebben aanzienlijke middelen voor onderzoek naar en uitvoering van aanvallen, maar het verhogen van hun kosten heeft nog steeds invloed op het aantal geslaagde aanvallen dat ze kunnen uitvoeren met de (grote maar) eindige hoeveelheid talent en tijd die beschikbaar is. Goed gebruikte aanvallers hebben vaak geïnvesteerd in het bouwen van een bibliotheek met geavanceerde aanvallen, maar houden ze meestal tegen totdat ze nodig zijn, omdat ze met behulp van deze methoden risico's lopen om ze te ontdekken en te beperken door leveranciers en doelorganisaties. Het verwijderen van goedkope en eenvoudige aanvallen heeft invloed op de effectiviteit van alle aanvallers en verlaagt uw risico in het algemeen.

Dit is een algemene instelling voor veel mogelijke toepassingen, maar dit zijn twee concrete toepassingen:

  • Investeringscriteria: als u rekening houdt met verschillende beveiligingsinvesteringen, moet u evalueren of de potentiële investeringen de aanvaller in het algemeen goedkoper maken (bijvoorbeeld, dwingt deze beveiligingsinvestering een aanvaller om een duurdere optie te bouwen of te kopen? Wordt een van de vele goedkope opties in het menu van de aanvaller geëlimineerd? Of elimineert het alleen een dure/zeldzame aanvalsmethode?)

  • Doelen voor aanvalssimulatie: wanneer u penetratietests of rode teamactiviteiten wilt uitvoeren om te testen, moet u deze teams richten op het identificeren en catalogiseren van de methoden met de laagste kosten om bij bedrijfskritieke gegevens te komen, zodat u deze eerst kunt elimineren.

Toegang tot aanvallers

Een insluitingsstrategie moet proberen de tijd en bevoegdheidsniveaus die een aanvaller binnen een omgeving heeft verkregen, te beperken. Insluiting is een belangrijk onderdeel van tolerantie en herstel. Als een aanvaller bevoegdheden kan escaleren en/of voor onbepaalde tijd niet gedetecteerd kan blijven, neemt de omvang van de schade toe.

Het werkelijke beveiligingsrisico voor een organisatie wordt sterk beïnvloed door de mate van toegang die een aanvaller tot waardevolle systemen en gegevens kan of verkrijgt. Uw investeringen moeten gericht zijn op het beperken van de mate van toegang die een aanvaller tot de omgeving krijgt tijdens een aanvalsbewerking en het beperken van de hoeveelheid bevoegdheden of machtigingen die een aanvaller krijgt:

Tijd: beperk hoe lang de aanvaller toegang kan hebben tot uw omgeving tijdens een aanvalsbewerking. Dit wordt voornamelijk bereikt door middel van beveiligingsbewerkingen die snel potentiële aanvallen detecteren, potentiële detecties prioriteren, zodat uw team zich richt op het snel onderzoeken van echte aanvallen (versus fout-positieven) en het verkorten van de gemiddelde tijd om deze echte incidenten op te lossen.
Meer informatie over deze doelstellingen en metrische gegevens vindt u in de sectie Beveiligingsbewerkingen.

Bevoegdheid: beperk de bevoegdheden en machtigingen die een aanvaller kan verkrijgen tijdens een aanvalsbewerking (door machtigingen en de hoeveelheid tijd die bevoegdheden worden toegewezen). Naarmate aanvallers meer bevoegdheden krijgen, hebben ze toegang tot meer doelsystemen en -gegevens (of gebruiken ze deze systemen om binnen uw omgeving te blijven draaien). Uw beveiligingsstrategie moet gericht zijn op het bevatten van deze bevoegdheden met:

  • Preventieve maatregelen
  • Detectie/respons/herstel die prioriteit heeft om zich te richten op bedrijfskritieke assets en hoge hoeveelheden machtigingen voor assets, meestal IT-operationele rollen.