Cybersecuritybedrijf Fox-IT bundelt zijn diensten onder de noemer Managed Detection and Response (MDR). Want cybersecurity is niet alleen een kwestie van preventie. Zo snel mogelijk inbraakpogingen detecteren en daar op de juiste manier op reageren, is minstens zo belangrijk. ‘Als je weet waar hackers naar zoeken, kun je ze zien aankomen en kun je veel beter en nauwkeuriger reageren’, zegt Leo Lans, sinds 1 oktober dit jaar sales director van Fox-IT.
Fox-IT: 100% preventie onmogelijk, detectie en respons daarom essentieel
Het interview met Lans vindt plaats de dag na de publiciteit over de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) die een Russische poging tot cyberinbraak bij de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag heeft verijdeld. Lans: ‘De MIVD heeft knap werk geleverd, het op heterdaad betrappen van Russische cyberinbrekers vraagt om een uiterst professionele aanpak. Dit incident maakt duidelijk dat een goede informatiepositie veel ellende kan voorkomen. Maar momenteel investeren organisaties vooral in preventie als het gaat om cybersecurity. Om het ‘hek’ rond het bedrijf nog hoger te maken, de ‘muur’ nog dikker en de firewall nog strenger. Maar dat is niet meer toereikend, zoals het MIVD-succes aantoont.’
Juiste respons
Een waterdichte preventie bestaat niet, zodat vroeg of laat een cyberinbraak vrijwel onvermijdelijk is. Dan komt het erop aan dat je die inbraak direct in de gaten hebt. Daarvoor is informatie nodig: hoe werken hackers, hoe herken je een aanval en waar zijn ze op uit? En als je een inbraakpoging in de gaten krijgt, wil je ingrijpen voordat een hacker echt schade aanricht. Een goede intelligence-positie helpt om dreigingen zo snel mogelijk te onderkennen en op basis van de aard daarvan de juiste respons te kiezen, met het optreden van de MIVD als goed voorbeeld. De inlichtingendienst hield de Russen in de gaten en kon achterhalen wie zij op het oog hadden. Toen zij op het punt stonden om op het netwerk in te breken, greep de MIVD in. Fox-IT hanteert een vergelijkbare aanpak voor cybersecurity: informatiepositie opbouwen (intelligence), preventie, detectie en respons. Daarom heeft het bedrijf alle diensten op deze terreinen gebundeld onder de noemer Managed Detection and Response (MDR).
Inzicht in de ‘kill chain’
Lans verwijst naar de ‘kill chain’ die Lockheed Martin, bekend van de JSF-straaljager, ooit formuleerde: verkennen, op basis daarvan wapen kiezen, oefenen met dat wapen, vervolgens in actie komen, binnendringen en het gebied vergroten. ‘Vertaald naar cyberspace: als je weet hoe een aanvaller te werk gaat, kun je als verdediger op elk onderdeel van die kill chain een antwoord formuleren. Fox-IT biedt met MDR een complete oplossing voor de verdediging tegen een cyberaanval – van begin tot eind.’ Hoe belangrijk deze aanpak is, blijkt uit het feit dat het gemiddeld tussen de 120 en 150 dagen (afhankelijk van het geraadpleegde onderzoek) duurt voordat een bedrijf in de gaten heeft dat het gehackt is. Deze time to detection moet natuurlijk zo kort mogelijk worden. Hoe eerder een bedrijf in actie kan komen, hoe geringer de schade.
Niet alleen technologie
Inzetten van technologie alleen is niet voldoende voor goede security. Lans noemt ter illustratie de zogeheten ceo-fraude. ‘Dan krijgt de financiële afdeling van een bedrijf, net op het moment dat de ceo afwezig is, een mailtje van hem of haar met de opdracht geld over te maken. Zo lijkt het althans en de transactie wordt meteen verricht. Als de ceo weer terug is, komt de misser – inclusief een flinke financiële schade – aan het licht. De les is dan: op basis van de agenda van de ceo kun je je respons op dit soort frauduleuze verzoeken inrichten, bijvoorbeeld door bij afwezigheid een extra check in te bouwen. Een andere belangrijke les is dat security naast technologie ook om gedrag en om processen draait.’ Maar dat besef is bij veel organisaties nog onvoldoende aanwezig. Zij moeten zich gaan realiseren dat preventie niet voldoende is om cyberaanvallers buiten de deur te houden. Lans: ‘Goede detectie en respons zijn zeker zo belangrijk en hier richten wij ons nu op met onze Managed Detection and Response-diensten. Daarnaast zullen organisaties de nodige aandacht moeten besteden aan de processen die vooral met de respons samenhangen: wie moet wanneer in actie komen en hoe ziet die actie eruit? Tot slot moeten de medewerkers zich bewust zijn van de cybergevaren en de risico’s voor het bedrijf én daar ook naar handelen. Ook op deze gebieden kan Fox-IT ondersteuning bieden.’