Nog één tool die het zal doen? Terugblik op de CrowdStrike Fallout

De proliferatie van cybersecuritytools heeft een illusie van veiligheid gecreëerd. Organisaties denken vaak dat ze voldoende beschermd zijn door het inzetten van een firewall, antivirussoftware, intrusion detection systems, identity threat detection and response en andere tools. Deze aanpak lost echter niet alleen het fundamentele probleem van het aanvalsoppervlak niet op, maar introduceert ook gevaarlijke risico’s van derden in de mix.

De wereld van cybersecurity is in een constante staat van verandering, waarbij cybercriminelen steeds geraffineerder worden in hun tactieken. Als reactie hierop investeren organisaties fors in cybersecuritytools, in de hoop een ondoordringbaar fort te bouwen rond hun digitale activa. De overtuiging dat het toevoegen van “nog maar één cybersecuritytool” uw aanvalsoppervlak op magische wijze zal repareren en uw bescherming zal verbeteren, is echter een gevaarlijke misvatting.

De beperkingen van cybersecuritytools

Cybersecuritytools zijn weliswaar essentieel, maar hebben inherente beperkingen. Ze zijn ontworpen om specifieke bedreigingen en kwetsbaarheden aan te pakken en ze vertrouwen vaak op op handtekeningen gebaseerde detectie, die gemakkelijk kan worden omzeild door zero-day-aanvallen. Bovendien kunnen tools een stortvloed aan waarschuwingen genereren, waardoor beveiligingsteams overweldigd worden en het moeilijk wordt om echte bedreigingen te identificeren. Volgens dit onderzoek van Gartner streeft 75 procent van de organisaties naar leveranciersconsolidatie. De belangrijkste reden die wordt genoemd? Het verminderen van complexiteit.

Bovendien werken tools vaak geïsoleerd, waardoor er silo’s van informatie ontstaan ​​die effectieve detectie en respons op bedreigingen belemmeren. Zonder een holistisch beeld van het aanvalsoppervlak blijven organisaties kwetsbaar voor aanvallen die gebruikmaken van gaten in hun verdediging.

Als het net niet positief is: de verborgen gevaren van het toevoegen van een extra tool

Ironisch genoeg kan elke nieuwe cybersecuritytool die u aan uw arsenaal toevoegt, onbedoeld uw aanvalsoppervlak vergroten door risico’s van derden te introduceren. Elke leverancier waarmee u samenwerkt, van cloudserviceproviders tot softwareontwikkelaars, wordt een potentieel toegangspunt voor cybercriminelen. Hun eigen beveiligingspraktijken, of het ontbreken daarvan, kunnen rechtstreeks van invloed zijn op de beveiligingshouding van uw organisatie. Een datalek bij een externe leverancier kan uw gevoelige informatie blootleggen. Een kwetsbaarheid in hun software kan een achterdeur naar uw netwerk vormen. Dit complexe web van onderling verbonden systemen en afhankelijkheden maakt het steeds moeilijker om risico’s van derden effectief te beheren en te beperken. We zagen dit gebeuren bij het Sisense-lek, waarbij klanten die een externe partij vertrouwden, hun inloggegevens werden gestolen – een incident dat sterk genoeg was om een ​​CISA-waarschuwing te veroorzaken.

En laten we de CIA-triade van cybersecurity niet vergeten: vertrouwelijkheid, integriteit en beschikbaarheid. Het verlies van beschikbaarheid is even schadelijk voor het bedrijf, ongeacht de hoofdoorzaak: storingen veroorzaakt door beveiligingstools en storingen als gevolg van een DOS-aanval zijn even schadelijk. En we zagen bij de storing van CrowdStrike dat beveiligingstools ernstige schade kunnen en ook daadwerkelijk kunnen aanrichten. Deze impact is te wijten aan de preferentiële toegang die deze tools krijgen tot uw systemen: in het geval van CrowdStrike krijgt het kernel-level toegang tot elk eindpunt om volledige zichtbaarheid te garanderen. Overigens maakte dezezelfde diepe toegang de storing van het Falcon-platform zo ongelooflijk verwoestend en maakte het herstelmaatregelen duur.

Dit geldt voor bijna alle IT-beveiligingsproducten. Uw tool die is ontworpen om het risico te beperken, kan de systemen die het moet beschermen, platleggen. Een verkeerde configuratie van uw firewall kan uw netwerk platleggen, uw e-mailspamfilter kan uw e-mailcommunicatie platleggen en uw oplossing voor toegangscontrole kan uw frontliniemedewerkers buitensluiten – de lijst gaat maar door. En hoewel deze tools de beveiligingshouding van de organisatie enorm verbeteren, moeten klanten proberen een balans te vinden tussen het toevoegen van risico’s van derden vanuit de softwaretoeleveringsketen en het beperken van risico’s met elke nieuwe tool.

De chaos vereenvoudigen met een uniform platform

Het gevaar ontstaat door de complexiteit die we hierboven noemden. Dit wordt nu gezien als de grootste uitdaging in cybersecurity, wat klanten motiveert om over te stappen op grotere, uniforme platforms in SASE en XDR – volgens het aangehaalde Gartner-onderzoek – maar ook in identiteitsbeveiliging. Analisten pushen klanten om precies deze reden richting identiteitsfabrics en uniforme identiteit: het vermindert de complexiteit en brengt verschillende tools samen op een vooraf gevalideerde, vooraf geïntegreerde manier. Het is geen verrassing dat elke identiteitsleverancier hun “unified suite” aanprijst, ongeacht de staat ervan, de werkelijke voordelen die het klanten biedt of of het echt het potentieel heeft om het gehele interne identiteitslandschap van de klant te verenigen.

Thijs Van der Does