Achtergrondartikel


Amit Yoran, President van RSA:

‘Geloof niet dat je veilig bent’

Een belangrijk onderwerp tijdens de RSA Conference die eerder dit jaar plaatsvond in San Francisco was ‘behavior analytics’. “Behavior analytics opent nieuwe mogelijkheden als het gaat om detectie en preventie”, zo stelt Amit Yoran, President van RSA, als we hem na het evenement spreken via Skype. “Maar behavior analytics is niet de ‘silver bullit’ die ons gaat redden.”

De RSA Conference die van 29 februari tot 4 maart plaatsvond in San Francisco was voor Amit Yoran zijn tweede als President van RSA, de beveiligingsdivisie van EMC. Tijdens zijn eerste editie in 2015 wist hij al direct de aandacht op zich te vestigen met enkele ferme uitspraken. Zo zouden we nu leven in de ‘Middeleeuwen van security’, en zou de security-industrie hebben gefaald om organisaties adequaat te beschermen.

Een jaar later is Yoran niet echt van mening veranderd. “De securitymarkt is behoorlijk uit balans”, zo vertelt hij tijdens het interview met SecurityVandaag. “Organisaties investeren miljoenen in Next-Generation Firewalls, geavanceerde Intrusion Detection Systemen, malware-sandboxing en andere ‘nieuwste en beste’ securitymaatregelen. En toch worden diezelfde organisaties regelmatig gecompromitteerd en treffen ze zichzelf na een inbraak aan in de nieuwskoppen.”

“De realiteit is dat complexe systemen die zijn verbonden met moderne computernetwerken niet zijn te beschermen”, zo vervolgt Yoran. “De defensieve maatregelen worden steeds beter maar zullen uiteindelijk toch falen waardoor je wordt gecompromitteerd. Geen enkele technologie kan een organisatie veiligheid bieden, zelfs niet combinaties van technologieën. We moeten daarom onze manier van denken veranderen. Ja, we moeten nog steeds investeren in de nieuwste en mooiste defensieve maatregelen, maar we moeten er ook voor gaan zorgen dat we incidenten sneller detecteren en sneller reageren.”

Monitoring en response
“Vooral op het gebied van monitoring en response moeten we als industrie veel agressiever worden dan we in het verleden zijn geweest”, vervolgt Yoran. Nu komt het volgens de President van RSA nog geregeld voor dat organisaties een inbraak opmerken ruim tweehonderd dagen nadat de daadwerkelijke ‘breach’ heeft plaatsgevonden. “We moeten de detectie en response veel sneller maken.”

Maar hoe doen we dat, de detectie en response veel sneller maken? Volgens Yoran is een belangrijke eerste stap het zichtbaar maken van wat er daadwerkelijk gebeurt op het netwerk zodat ongewenste activiteiten ook beter kunnen worden gedetecteerd. “Als je voor monitoring alleen de gegevens van je defensieve maatregelen gebruikt, dan krijg je een onvolmaakte zichtbaarheid. Dan zie je bijvoorbeeld niet de geavanceerde aanvallen waarvoor geen signatures beschikbaar zijn.”

Als monitoring van het netwerkverkeer nieuwe data heeft opgeleverd, dan is de volgende stap het detecteren van kwaadaardige activiteiten. Volgens Yoran zijn bijvoorbeeld regels, signatures en threat intelligence hier heel nuttig voor, ‘maar daarmee detecteer je wel de bekende patronen van kwaadaardige activiteiten’. “Behavior analytics is echt de volgende stap op het gebied van analyse en detectie. Met behavior analytics kijk je waarom een gebruiker, systeem of applicatie zich anders dan gebruikelijk gedraagt.”

“De derde stap is het automatiseren van de response-activiteiten, zodat je in staat bent om de tijd tussen detectie en response te verkleinen”, vervolgt Yoran. “De response is nu nog vaak een handmatig en arbeidsintensief proces. Het responseproces honderd procent automatiseren is niet realistisch, maar we kunnen daarin nog wel heel veel verbeteren.”

Reis
Als we deze drie stappen hebben gezet – het creëren van een betere zichtbaarheid, het detecteren van kwaadaardige activiteiten en het automatiseren van het responseproces – zijn securityteams volgens Yoran veel beter in staat om op de tegenstander te ‘jagen’. De President van RSA blijft echter realistisch: “Het is nog een hele reis die we als security-industrie moeten afleggen.”

“Ook RSA legt die reis nu af”, concludeert Yoran. “We hebben bijvoorbeeld al een heel goed platform voor het verkrijgen van inzicht; daarmee zie je precies wat er zich daadwerkelijk afspeelt binnen je omgeving. Daarnaast bieden we al goede mogelijkheden voor geautomatiseerde analyse en detectie, maar die mogelijkheden zijn zeker nog niet perfect. De wereld voor het automatiseren van de response is in zijn geheel nog erg onvolwassen. Wij bieden bijvoorbeeld ‘response-workflowproducten’, maar die staan nog aan het begin van hun ontwikkeling. Daar hebben we echt nog stappen te zetten.”

Geen magisch antwoord
Uiteindelijk zal het aankomen op de juiste mix van oplossingen. Yoran: “Die ene magische oplossing die ons gaat beschermen, die bestaat niet. We moeten ook oppassen om behavior analytics als de ‘silver bullit’ te gaan zien, als het magische antwoord dat ons gaat redden. Ik moedig bedrijven ook aan om te blijven investeren in het verder aanscherpen van de beschermende maatregelen. Zaken als het controleren van de gebruikerstoegang, provisioning en de-provisioning van gebruikers en sterke authenticatie worden steeds belangrijker.”

“Maar geloof niet dat je met al die beschermende maatregelen veilig bent”, zo besluit Yoran om nog eens te benadrukken dat er meer aandacht zal moeten komen voor monitoring en response. “Dat is ook wat volgens Gartner gaat gebeuren. In 2014 ging 85 procent van het securitybudget op aan protectie en 15 procent aan monitoring en response. In 2020 zal 60 procent van het securitybudget worden besteed aan protectie en 40 procent aan monitoring en response."

 


Lees meer over