Cyberdreigingen nemen toe en cyberbeveiliging is van cruciaal belang geworden voor de bedrijfsvoering. Naarmate de beveiligingsbudgetten groeien, eisen CEO’s en directiekamers concreet bewijs dat initiatieven op het gebied van cyberbeveiliging waarde opleveren die verder gaat dan het naleven van de regelgeving.
Net zoals je geen auto zou kopen zonder te weten dat deze eerst een crashtest heeft ondergaan, moeten ook beveiligingssystemen worden gevalideerd om hun waarde te bevestigen. Er is een toenemende verschuiving naar beveiligingsvalidatie, omdat cyberprofessionals hierdoor veilig echte exploits in productieomgevingen kunnen gebruiken om de efficiëntie van hun beveiligingssystemen nauwkeurig te beoordelen en kritieke blootstellingsgebieden op grote schaal te identificeren.
We hadden een ontmoeting met Shawn Baird, Associate Director Offensive Security & Red Teaming bij DTCC, om te bespreken hoe hij de zakelijke waarde van zijn beveiligingsvalidatiepraktijken en -tools effectief aan zijn hogere management kon communiceren. Hier ziet u hoe Shawn ruimte maakte voor beveiligingsvalidatieplatforms binnen zijn toch al krappe budget en hoe hij technische beveiligingspraktijken vertaalde naar tastbare bedrijfsresultaten die aankoopbeslissingen in het voordeel van zijn team hebben gedreven.
Houd er rekening mee dat alle onderstaande reacties uitsluitend de mening zijn van Shawn Baird en niet de overtuigingen of meningen van DTCC en haar dochterondernemingen vertegenwoordigen.
Vraag: Welke waarde biedt Security Validation voor uw organisatie?
Beveiligingsvalidatie gaat over het op de proef stellen van uw verdediging, niet tegen theoretische risico’s, maar tegen daadwerkelijke aanvalstechnieken uit de echte wereld. Het is een verschuiving van passieve aannames over veiligheid naar actieve validatie van wat werkt. Het vertelt mij in welke mate onze systemen bestand zijn tegen dezelfde tactieken die cybercriminelen vandaag de dag gebruiken.
Voor ons bij DTCC doen we al heel lang beveiligingsvalidatie, maar we waren op zoek naar technologie die als prestatieversterker zou dienen. In plaats van uitsluitend te vertrouwen op dure, hooggekwalificeerde ingenieurs om handmatige validaties op alle systemen uit te voeren, zouden we onze eliteteams kunnen concentreren op hoogwaardige, gerichte red-teaming-oefeningen. Het geautomatiseerde platform heeft ingebouwde inhoud van TTP’s voor het uitvoeren van tests, met technieken als Kerberoasting, netwerkscannen, brute forceren enz., waardoor het team dit niet hoeft te maken. Tests worden zelfs buiten de reguliere kantooruren uitgevoerd, dus we zijn niet beperkt tot standaard testperioden.
Deze aanpak zorgde ervoor dat we ons beveiligingspersoneel niet belastten met repetitieve taken. In plaats daarvan zouden ze zich kunnen concentreren op complexere aanvalsscenario’s en kritieke problemen. Pentera bood ons een manier om continue validatie over de hele linie te handhaven, zonder onze meest bekwame technici te belasten met taken die geautomatiseerd konden worden.
In wezen is het een krachtvermenigvuldiger geworden voor ons team. Het helpt ons enorm bij het verbeteren van ons vermogen om bedreigingen voor te blijven en tegelijkertijd de inzet van ons toptalent te optimaliseren.
Vraag: Hoe rechtvaardigde u de ROI van een investering in een Automated Security Validation-platform?
Eerst en vooral zien we een direct verhoging van de productiviteit van ons team. Het automatiseren van tijdrovende handmatige beoordelingen en testtaken was een gamechanger. Door deze repetitieve en inspanningsintensieve taken naar Pentera te verschuiven, konden onze bekwame ingenieurs zich concentreren op complexer werk. En zonder dat we extra personeel nodig hadden, konden we de reikwijdte van de tests aanzienlijk uitbreiden.
Ten tweede zijn we daartoe in staat de kosten van externe contractanten verlagen. Traditioneel vertrouwden we sterk op externe deskundige aannemers, wat kostbaar kan zijn en vaak een beperkte reikwijdte heeft. Met menselijke expertise ingebouwd in een platform als Pentera, hebben we onze afhankelijkheid van dure servicecontracten verminderd. In plaats daarvan hebben we intern personeel – analisten met minder expertise – die effectieve tests uitvoeren.
Ten slotte is er een duidelijk voordeel van risicoreductie. Door onze beveiligingshouding voortdurend te valideren, kunnen we de kans op een inbreuk en de potentiële kosten van een inbreuk, als deze zich voordoet, aanzienlijk verminderen. IBM’s 2023 Cost of a Data Breach-rapport bevestigt dit en rapporteert een reductie van 11% in de inbreukkosten voor organisaties die proactieve risicobeheerstrategieën gebruiken. Met Pentera hebben we precies dat bereikt – minder blootstelling, snellere detectie en sneller herstel – wat allemaal heeft bijgedragen aan het verlagen van ons algehele risicoprofiel.
Vraag: Wat waren enkele van de interne wegversperringen of hindernissen die u tegenkwam?
Een van de belangrijkste hindernissen waarmee we te maken kregen, was wrijving van de architectuurbeoordelingsraad. Het is begrijpelijk dat ze zich zorgen maakten over het uitvoeren van geautomatiseerde exploits op ons netwerk, ook al is het platform ‘safe-by-design’. Het idee om real-world aanvallen uit te voeren in productieomgevingen kan zenuwslopend zijn, vooral voor teams die verantwoordelijk zijn voor de stabiliteit van kritieke systemen.
Om dit aan te pakken, hebben we een gefaseerde aanpak gevolgd. We zijn begonnen met het uitvoeren van het platform op een kleiner aanvalsoppervlak, waarbij we ons richtten op minder kritische systemen om de veiligheid en effectiviteit ervan aan te tonen. Vervolgens hebben we het gebruik ervan uitgebreid tijdens een Red Team-engagement, waarbij we het naast onze bestaande testprocessen uitvoerden. In de loop van de tijd breiden we de reikwijdte stapsgewijs uit, waarbij we de betrouwbaarheid en veiligheid van het platform in elke fase bewijzen. Deze geleidelijke uitrol heeft bijgedragen aan het opbouwen van vertrouwen zonder het risico van grote verstoringen, dus nu is het vertrouwen in het platform redelijk goed ingeburgerd.
Vraag: Hoe heeft u het geld toegewezen?
We hebben de middelen voor Pentera toegewezen onder hetzelfde regelitem als onze red teaming-tools, gegroepeerd met andere oplossingen zoals Rapid7 en kwetsbaarheidsscanners. Door het naast offensieve beveiligingstools te plaatsen, werd het budgetteringsproces eenvoudig gehouden.
We hebben specifiek gekeken naar onze kosten voor het beoordelen van de gevoeligheid van onze omgeving voor een ransomware-aanval. Voorheen gaven we jaarlijks $150.000 uit aan ransomwarescans, maar met Pentera konden we vaker testen met hetzelfde budget. Deze herschikking van middelen was logisch omdat het voldeed aan onze belangrijkste criteria, die we eerder noemden: het verbeteren van de productiviteit door onze testcapaciteit te vergroten zonder dat we nieuwe mensen hoeven in te huren, en het verminderen van de risico’s door vaker en op grotere schaal te testen. De kans op een ransomware-aanval verkleinen en de schade beperken als deze zich voordoet.
Vraag: Welke andere overwegingen speelden een rol?
Een paar andere factoren hebben onze beslissing beïnvloed om te investeren in geautomatiseerde beveiligingsvalidatie. Het behoud van medewerkers was een grote uitdaging. Zoals ik al eerder zei, zorgde het automatiseren van repetitieve taken ervoor dat onze cybersecurity-experts zich konden concentreren op uitdagender en impactvoller werk, wat ons volgens mij heeft geholpen hun talent te behouden.
Verbetering van de veiligheidsoperaties was een ander punt. Pentera helpt ons ervoor te zorgen dat onze controles goed zijn afgestemd en gevalideerd, en helpt ook bij de coördinatie tussen rode teams, blauwe teams en het SOC.
Vanuit complianceoogpunt werd het eenvoudiger om bewijsmateriaal voor audits te verzamelen, waardoor we het proces veel sneller konden doorlopen dan anders het geval zou zijn. Ten slotte is cyberverzekering een ander gebied waarop Pentera verdere financiële waarde heeft toegevoegd door ons in staat te stellen onze premies te verlagen.
Vraag: Advies aan andere beveiligingsprofessionals die proberen een budget te krijgen voor veilige validatie?
De prestatiewaarde van geautomatiseerde beveiligingsvalidatie is duidelijk. De meeste organisaties beschikken niet over de interne middelen om volwassen red teaming uit te voeren. Of u nu een klein beveiligingsteam heeft of een volwassen offensieve beveiligingspraktijk zoals wij bij DTCC, de kans is groot dat u niet over voldoende beveiligingsexperts beschikt om een volledige beoordeling uit te voeren. Als u niets vindt, geen bewijs van een kwaadwillende insider in uw netwerk, kunt u geen veerkracht aantonen, waardoor het moeilijker wordt om aan de regelgeving te voldoen.
Met Pentera beschikt u over ingebouwde TTP’s, waardoor u direct kunt beoordelen hoe goed uw organisatie op bedreigingen reageert. Op basis van die validatie kunt u uw infrastructuur versterken en ontdekte kwetsbaarheden aanpakken.
Het alternatief – niets doen – is veel riskanter. De kosten van een inbreuk kunnen resulteren in gestolen IP-adres, verloren gegevens en mogelijk het stilleggen van activiteiten. Aan de andere kant zorgen de kosten van de tool voor gemoedsrust, wetende dat u uw blootstelling aan bedreigingen uit de echte wereld hebt verminderd en dat u ’s nachts beter kunt slapen.
Bekijk het volledige on-demand webinar met Shawn Baird, Associate Director Offensive Security & Red Teaming bij DTCC, en Pentera Field CISO, Jason Mar-Tang.