Hoe ‘compliant zijn’ ongemerkt kan bijdragen aan een groeiend aanvalsoppervlak

Sommige klanten en leveranciers streven ernaar om aan alle wetgeving te voldoen, terwijl anderen zich een roepende in de woestijn voelen, omdat security een veel breder domein is dat een passende en effectieve aanpak vereist. Deze potentiële blinde vlek biedt uiteraard mooi terrein voor cybercriminelen.

Wanneer ben je secure?

Als je ChatGPT vraagt: ‘Wanneer ben ik secure?’ Krijg je het volgende antwoord: ‘Je bent secure wanneer je voldoende maatregelen hebt genomen om jezelf, je gegevens, je eigendommen en je omgeving te beschermen tegen mogelijke bedreigingen, gevaren of risico’s’. Op de vraag: ‘Wanneer ben ik compliant?’ zegt ChatGPT: ‘Je bent compliant wanneer je voldoet aan specifieke regels, voorschriften, wetten of standaarden die van toepassing zijn op jouw situatie of sector. Compliance houdt in dat je de vereisten van deze regels begrijpt en naleeft, zodat je organisaties geen boetes, juridische problemen of reputatieschade riskeert.’

De vraag die dan overblijft, is: ‘Ik voldoe aan alle voorschriften, ben ik dan beschermd tegen gevaren?’ Het simpele antwoord is ‘nee’, omdat:

  • Alle regelgeving is per definitie re-actief en leidt niet tot bescherming tegen nieuwe bedreigingen;
  • Geen enkele organisatie is 100% compliant. Dat is simpelweg niet reëel. Audits richten zich op voortdurende verbetering en garanderen een basisniveau van veiligheid die voldoende borging biedt;
  • De mate van compliance biedt vooral helderheid op risico’s in termen van juridische en/of financiële schade door boetes. En niet zozeer wat je vulnerability posture is vanuit het perspectief van aanvallers;

Uiteraard ben ik van mening dat de wet- en regelgeving, handreikingen en richtsnoeren ook werkelijk bijdragen aan een sterker security posture! Echter is een focus puur op het afvinken van checklisten, een illusie die de realiteit vertekent.

De belangrijke vraag is dan ook: ‘Wil ik secure zijn of alleen compliant?’

Dit is geen oproep voor nog meer werk. Ook ik zie de groeiende complexiteit en de gevraagde investeringen in tijd en geld. Ik hoop vooral dat we ‘compliant zijn’ niet meer gelijkstellen aan veilig zijn. Compliant zijn kan ons een vals gevoel van veiligheid opleveren. Hoewel het vervelend is om dit te erkennen, profiteren criminelen dagelijks van deze beperkte blik op onze beveiliging.

Kwetsbaarheden

De keuze in mijn persoonlijke carrière voor een meer op hacker en netwerken georiënteerde aanpak is dan ook niet voor niets! Organisaties kunnen in deze nieuwe realiteit van extreem gedistribueerde assets simpelweg niet alle controls waarborgen. Nieuwe bedreigingen vormen een uitdaging en de patching regimes zijn zelden sluitend. In plaats van te blijven forceren alles zelf te beheersen, pleit ik voor een meer hybride aanpak.

Alle ingangen tot jouw security posture bevinden zich vaak niet meer op je eigen terrein, maar zijn verspreid over bijvoorbeeld verschillende cloud-instances. Soms beschermd door alle genoemde ‘controls’, soms onbeschermd omdat we het niet kunnen bijbenen of simpelweg niet op de hoogte zijn. Bovendien omzeilen medewerkers soms de bestaande processen door zelf te experimenteren met cloud-omgevingen.

Ooit sprak ik een klant in de publieke sector over het verschil tussen een pentest en een bug bounty. Het moment dat het kwartje viel, was onbetaalbaar! Waarom bepalen wij elk jaar opnieuw de scope van een pentest, met het risico dat we onze blinde vlek intact houden? Hoe logisch is het om een hacker netwerk buiten onze organisatie ongestructureerd onze assets te laten benaderen?

Kwetsbaarheid tonen omdat we echt veilig willen zijn, is wat anders dan alle vinkjes halen!

Ik denk aan een meer hybride aanpak van:

  • Wet- en regelgeving, handreikingen en richtsnoeren hanteren als basis hygiëne;
  • Pentesting/red teaming scope meer in dienst van borging voor klanten en keten;
  • Monitoring, detectie en response passend bij het risicoprofiel;
  • EN bug bounty, coordinated vulnerability disclosure, attack surface management waarbij security prevaleert boven compliancy en de scope wordt bepaald door ‘aanvallers’.

Ik wil dit betoog graag eindigen met mijn toekomstperspectief. We zouden ons meer moeten gaan richten op protectie tijd in plaats van alleen detectie en response (time based security). Wellicht moeten erkennen dat we niet alle gaten kunnen dichten, en daarom moeten maatregelen meer gericht zijn op het niet exploitable maken van onze kwetsbaarheden.

Daarover meer in een volgende column.

Over Renza

Als zelfbenoemde ‘philosophical nerd’ is Renza klaar om haar persoonlijke ervaringen te delen en anderen te inspireren tot nieuwe inzichten. Haar doel is om gezamenlijk onze security posture in balans te houden, zowel nu als in de toekomst.

Renza’s kennis van zowel de technische als de zakelijke aspecten van security maakt haar een waardevolle bron van inzichten. Ze schrijft met de bedoeling om complexe securityvraagstukken toegankelijk te maken en stimuleert je om tot nieuwe inzichten te komen. 

Vergelijkbare berichten