De strategie voor diepgaande verdediging perfectioneren met automatisering

Cyberbeveiliging
Defense-in-Depth

Dankzij hun minutieuze vormgeving stonden middeleeuwse kastelen eeuwenlang als onneembare vestingen. Snel vooruit naar het digitale tijdperk, en deze middeleeuwse wijsheid weerklinkt nog steeds in cyberbeveiliging. Net als kastelen met een strategische indeling om aanvallen te weerstaan, is de Defense-in-Depth-strategie de moderne tegenhanger: een meerlaagse aanpak met strategische redundantie en een mix van passieve en actieve beveiligingscontroles.

Het evoluerende landschap van cyberdreigingen kan echter zelfs de meest versterkte verdedigingsmechanismen op de proef stellen. Ondanks de wijdverbreide toepassing van de Defense-in-Depth-strategie blijven cyberdreigingen bestaan. Gelukkig kan de Defense-in-Depth-strategie worden uitgebreid met Breach and Attack Simulation (BAS), een geautomatiseerde tool die elke beveiligingscontrole in elke laag beoordeelt en verbetert.

Diepteverdediging: vals gevoel van veiligheid met lagen

De diepgaande verdedigingsstrategie, ook bekend als meerlaagse verdediging, wordt sinds het begin van de jaren 2000 op grote schaal door organisaties toegepast. Het is gebaseerd op de veronderstelling dat tegenstanders meerdere verdedigingslagen moeten doorbreken om waardevolle bezittingen in gevaar te brengen. Omdat geen enkele beveiligingscontrole feilloze bescherming kan bieden tegen het brede scala aan cyberdreigingen, is diepgaande verdediging de norm geworden voor organisaties over de hele wereld. Maar als elke organisatie deze strategie vandaag de dag gebruikt, waarom komen beveiligingsinbreuken dan nog steeds zo vaak voor?

Uiteindelijk is de voornaamste reden een vals gevoel van veiligheid vanuit de veronderstelling dat gelaagde oplossingen altijd zullen functioneren zoals bedoeld. Organisaties moeten echter niet al hun vertrouwen stellen in een meerlaagse verdediging; ze moeten ook op de hoogte blijven van nieuwe aanvalsvectoren, mogelijke configuratieafwijkingen en de complexe aard van het beheer van beveiligingscontroles. In het licht van de evoluerende cyberdreigingen is een ongefundeerd vertrouwen in defensieve lagen een inbreuk op de beveiliging die staat te gebeuren.

De strategie voor diepgaande verdediging perfectioneren

De diepgaande verdedigingsstrategie bevordert het gebruik van meerdere beveiligingscontroles op verschillende lagen om cyberdreigingen te voorkomen en te detecteren. Veel organisaties modelleren deze lagen rond vier fundamentele lagen: Netwerk-, host-, applicatie- en gegevenslagen. Beveiligingscontroles zijn geconfigureerd voor een of meer lagen om een ​​robuuste beveiligingshouding te behouden. Organisaties gebruiken doorgaans IPS- en NGFW-oplossingen op de netwerklaag, EDR- en AV-oplossingen op de hostlaag, WAF-oplossingen op de applicatielaag, DLP-oplossingen op de datalaag en SIEM-oplossingen op meerdere lagen.

Hoewel deze algemene aanpak van toepassing is op vrijwel alle diepgaande implementaties, kunnen beveiligingsteams niet zomaar beveiligingsoplossingen implementeren en deze vergeten. Sterker nog, volgens het Blauwe Rapport 2023 van Picus41% van de cyberaanvallen omzeilt netwerkbeveiligingscontroles. Tegenwoordig vereist een effectieve beveiligingsstrategie een goed inzicht in het dreigingslandschap en het regelmatig testen van beveiligingsmaatregelen tegen echte cyberdreigingen.

De kracht van automatisering benutten: BAS introduceren in de Defense-in-Depth-strategie

Het begrijpen van het dreigingslandschap van een organisatie kan een uitdaging zijn vanwege het grote aantal cyberdreigingen. Beveiligingsteams moeten dagelijks honderden rapporten over dreigingsinformatie doorzoeken en beslissen of elke dreiging zich op hun organisatie zou kunnen richten. Bovendien moeten ze hun beveiligingscontroles tegen deze bedreigingen testen om de prestaties van hun diepgaande verdedigingsstrategie te beoordelen. Zelfs als organisaties elk inlichtingenrapport handmatig zouden kunnen analyseren en een traditionele beoordeling zouden kunnen uitvoeren (zoals penetratietesten en red teaming), zou dit veel te veel tijd en te veel middelen vergen. Om een ​​lang verhaal kort te maken: het huidige landschap van cyberdreigingen is onmogelijk te navigeren zonder automatisering.

Als het gaat om het testen en automatiseren van beveiligingscontroles, valt één specifieke tool op tussen de rest: Breach and Attack Simulation (BAS). Sinds de eerste verschijning in Gartner’s Hype Cycle for Threat-Facing Technologies in 2017 is BAS voor veel organisaties een waardevol onderdeel geworden van beveiligingsactiviteiten. Een volwassen BAS-oplossing biedt geautomatiseerde dreigingsinformatie en dreigingssimulatie zodat beveiligingsteams hun beveiligingscontroles kunnen beoordelen. Wanneer BAS-oplossingen worden geïntegreerd met de diepgaande verdedigingsstrategie, kunnen beveiligingsteams proactief potentiële beveiligingslekken identificeren en beperken voordat kwaadwillende actoren deze kunnen misbruiken. BAS werkt met meerdere beveiligingscontroles over het netwerk, de host, de applicatie en de datalagen, waardoor organisaties hun beveiligingspositie holistisch kunnen beoordelen.

LLM-aangedreven informatie over cyberdreigingen

Bij het introduceren van automatisering in de diepgaande verdedigingsstrategie is de eerste stap het automatiseren van het Cyber ​​Threat Intelligence (CTI)-proces. Het operationeel maken van honderden rapporten over bedreigingsinformatie kan worden geautomatiseerd met behulp van deep learning-modellen zoals ChatGPT, Bard en LLaMA. Moderne BAS-tools kunnen zelfs hun eigen door LLM aangedreven CTI bieden en integreren met externe CTI-providers om het dreigingslandschap van de organisatie te analyseren en te volgen.

Aanvallen simuleren in de netwerklaag

Als fundamentele verdedigingslinie wordt de netwerklaag vaak op de proef gesteld door tegenstanders met infiltratiepogingen. De beveiliging van deze laag wordt gemeten aan de hand van het vermogen om kwaadaardig verkeer te identificeren en te blokkeren. BAS-oplossingen simuleren kwaadaardige infiltratiepogingen die ‘in het wild’ worden waargenomen en valideren de beveiligingspositie van de netwerklaag tegen echte cyberaanvallen.

Beoordeling van de beveiligingspositie van de hostlaag

Individuele apparaten zoals servers, werkstations, desktops, laptops en andere eindpunten vormen een aanzienlijk deel van de apparaten in de hostlaag. Deze apparaten zijn vaak het doelwit van malware, misbruik van kwetsbaarheden en laterale bewegingsaanvallen. BAS-tools kunnen de beveiligingsstatus van elk apparaat beoordelen en de effectiviteit van de beveiligingscontroles op de hostlaag testen.

Blootstellingsbeoordeling in de applicatielaag

Publieke toepassingen, zoals websites en e-maildiensten, zijn vaak de meest kritische en toch meest kwetsbare delen van de infrastructuur van een organisatie. Er zijn talloze voorbeelden van cyberaanvallen die worden geïnitieerd door het omzeilen van een WAF of een goedaardig ogende phishing-e-mail. Geavanceerde BAS-platforms kunnen acties van tegenstanders nabootsen om ervoor te zorgen dat beveiligingscontroles in de applicatie werken zoals bedoeld.

Gegevens beschermen tegen ransomware en exfiltratie

De opkomst van ransomware- en data-exfiltratie-aanvallen herinnert ons er duidelijk aan dat organisaties hun eigendoms- en klantgegevens moeten beschermen. Beveiligingscontroles zoals DLP’s en toegangscontroles in de datalaag beveiligen gevoelige informatie. BAS-oplossingen kunnen vijandige technieken repliceren om deze beschermingsmechanismen rigoureus te testen.

Continue validatie van de Defense-in-Depth-strategie met BAS

Naarmate het dreigingslandschap evolueert, moet de beveiligingsstrategie van een organisatie dat ook doen. BAS biedt organisaties een continue en proactieve aanpak om elke laag van hun diepgaande verdedigingsaanpak te beoordelen. Met bewezen veerkracht tegen echte cyberdreigingen kunnen beveiligingsteams erop vertrouwen dat hun beveiligingscontroles elke cyberaanval kunnen weerstaan.

Picus Security was in 2013 een pionier op het gebied van Breach and Attack Simulation (BAS)-technologie en heeft sindsdien organisaties geholpen hun cyberveerkracht te verbeteren. Met het Picus Security Validation Platform kan uw organisatie haar bestaande beveiligingsmaatregelen versterken tegen zelfs de meest geavanceerde cyberaanvallen. Bezoek picussecurity.com om een ​​demo te boeken of onze bronnen te verkennen, zoals “Hoe inbreuk- en aanvalssimulatie past in een meerlaagse verdedigingsstrategie” wit papier.

Om uw inzicht in de evoluerende cyberdreigingen te vergroten, kunt u de Top 10 MITRE ATT&CK-technieken verkennen en uw diepgaande verdedigingsstrategie verfijnen. Download de Picus Rood-rapport Vandaag.

Opmerking: Dit artikel is geschreven door Huseyin Can Yuceel, Security Research Lead bij Picus Security, waar het simuleren van cyberdreigingen en het versterken van de verdediging onze passies zijn.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

MediaTek’s Dimensity 9400 om het nieuwe 3nm-proces van TSMC te gebruiken

Deze nieuwe update zal GPT-4 Turbo minder lui maken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]