‘Voorkomen is beter dan genezen’ is een illusie in cybersecurity
Column Ronald Beiboer, Januari 2024
In cybersecurity is de uitdrukking “Voorkomen is beter dan genezen” een illusie. Écht voorkomen kun je niet, wel kun je het risico verkleinen door ‘preventieve maatregelen’ te treffen. Misschien was ‘basisbeveiligingsmaatregelen’ een betere omschrijving geweest. Denk hierbij aan patching, hardening, netwerksegmentatie, identity management en veilige codering (1). Hoe voorkom je dat je doelwit wordt en wat is de rol van detectie en response? En welke lessen kunnen we trekken uit hedendaagse oorlogsvoering?
De podcast Veldheren als inspiratie
Toen ik naar de Nederlandse podcast ‘Veldheren’ luisterde over de oorlog in Oekraïne (2), merkte ik iets op. Er lijken overeenkomsten te zijn tussen echte oorlogen en digitale oorlogen in cybersecurity.
De Russische troepen focusten zich enkele maanden geleden volledig op het verdedigen van bepaalde gebieden. Ze gebruikten mijnen en barrières om de Oekraïense troepen te stoppen. Deze maatregelen zouden op zichzelf beperkt effectief zijn zonder detectiesystemen. De echte kracht van deze strategie ligt in het toevoegen van detectiemethoden. De Russische strijdkrachten houden de gebieden met deze preventieve maatregelen continu in de gaten om elke activiteit op te merken. Door de vertraging en de daaropvolgende ‘opruimacties’ die Oekraïne moet uitvoeren creëren de preventieve maatregelen mogelijkheden voor het Russische leger om in te grijpen zodra ze beweging waarnemen.
Zonder detectie zouden de Oekraïense strijdkrachten simpelweg de mijnenvelden en obstructies opruimen en verder trekken. Sterker nog, ze zouden zonder detectie de vrijheid hebben om de preventieve maatregelen te testen en snel inzicht krijgen in de Russische verdediging. Dit is net zoals in cybersecurity. Elke keer als een aanval mislukt, leert de aanvaller meer.
Wat kunnen we leren van fysieke oorlogsvoering?
Preventieve maatregelen zijn noodzakelijk, maar niet afdoende. Ze moeten worden aangevuld met detectie. Dit wordt geïllustreerd door de militaire strategieën, zoals in de oorlog in Oekraïne. Zonder detectie zouden defensieve maatregelen zoals mijnen en versperringen slechts beperkt effectief zijn en op zijn hoogst de boel vertragen. Alleen de combinatie van preventie en detectie maakt deze verdediging effectief.
De Kracht van Multi-Layer Defense
Deze parallel wordt onderstreept door de resultaten van penetratietests en oefeningen uitgevoerd door red teams in de cybersecurity sector. De bekende uitdrukking in ons vakgebied bij de start is niet voor niets: ‘Het is niet de vraag óf we binnen komen, maar of het voor de lunch is of erna.’
Hierdoor verschuift de focus van beveiligingsteams steeds meer naar detectie- en response mogelijkheden. In feite biedt een gelaagde verdedigingsstrategie verdedigers meerdere kansen en vaak ook meer tijd om aanvallen tijdig te detecteren. Het is dan ook een misvatting te denken dat alleen aanvallers fouten mogen maken en verdedigers na één fout verslagen zijn.
Een goede cybersecurity strategie omvat ook meer dan het afweren van alleen directe dreigingen, zoals ransomware. Bepaalde actoren hebben andere motieven, zoals spionage of crypto-mining, die je misschien nooit opmerkt met alleen preventieve maatregelen. Een recent artikel van het NRC (3) beschrijf dat hackers jarenlang ongemerkt in het netwerk van NXP (producent van halfgeleiders) hebben bespioneerd.
Hackers die zich toeleggen op spionage en crypto-mining streven naar het onopgemerkt verzamelen van data. Een tekort aan detectie kan leiden tot aanzienlijke, soms onherstelbare schade aan het bedrijfsmodel van een organisatie.
Preventie en detectie als koppel: Twee onlosmakelijke elementen
Betekent dit dat we preventieve maatregelen opzij moeten zetten ten gunste van alleen detectie? Nee, aangezien preventie en detectie nauw met elkaar verbonden zijn:
- Preventieve maatregelen vergroten de mogelijkheid tot detectie. Aanvallers laten meer braaksporen achter waardoor detectie sneller plaats kan vinden.
- Preventie verhoogt de drempel voor aanvallers met beperkte middelen en tijd, wat hen kan ontmoedigen.
- Preventieve maatregelen helpen het beveiligingsteam door eenvoudige aanvallen af te weren, waardoor de werklast vermindert.
Detectie maatregelen zorgen ervoor dat je ‘incident-ready’ bent. Door historische data op te slaan ben je klaar om forensisch onderzoek uit te voeren. Dit geeft je de mogelijkheid om incidenten grondig te onderzoeken. Een onjuiste mitigerende actie kan resulteren in het onvolledig verwijderen van de aanvaller of, in het ergste geval, het aanmoedigen van de encryptie van alle data. Goede kennis van de situatie is van cruciaal belang, om nog niet eens te spreken over de wettelijke vereisten voor het melden van data-inbreuken en diefstal van persoonsgegevens.
De conclusie is dat preventie in cybersecurity cruciaal is, maar de combinatie met detectie en respons is essentieel. Ze versterken elkaar waardoor deze elementen gezamenlijk een cruciale rol spelen in het vormen van een effectieve verdediging tegen cyberdreigingen.
Bronnen
- NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations | CISA
- Veldheren – Dag en Nacht
- Spionage: Chinese hackersgroep zat jarenlang in het netwerk van de Nederlandse chipfabrikant NXP – NRC
Over Ronald
Ronald Beiboer heeft twintig jaar ervaring in de IT en Cyber security en is een toegewijd specialist in Threat Detection and Response (TDR).
In zijn loopbaan heeft Ronald zich gericht op de beveiliging van kritieke infrastructuur, in een tijdperk waarin IT en OT steeds meer met elkaar verbonden raakten.
Zijn tijd bij Fox-IT als security architect en productmanager, waar hij onder meer betrokken was bij het ontwerp van SurfSOC, benadrukt zijn diepgaande kennis en toewijding aan het vakgebied. Momenteel is hij werkzaam bij Splunk als cyberbeveiligingsexpert, waar hij teams van klanten helpt hun beveiligingsoperaties te optimaliseren. Ook is hij vrijwilliger bij DIVD, waarhij teamlead is van het SOC.
Ronald hanteert een pragmatische houding en heeft het vermogen om een brug te slaan tussen zowel technische experts als leidinggevenden op tactisch en strategisch niveau, waarbij hij een subtiele balans vindt tussen technische diepgang en toegankelijkheid. Hij schrijft graag over zaken die hem opvallen in de, soms bizarre wereld, van cyber security.