Achtergrondartikel


Tim Grieveson, Chief Cyber and Security Strategist EMEA bij HP Enterprise Security Products

‘We moeten beter worden in ‘security by design’

Een dreigingslandschap? Tim Grieveson van HP spreekt liever over een mijnenveld. Lijfsbehoud en het verbeteren van de totale securityhouding binnen organisaties vergt volgens de Chief Cyber and Security Strategist voor EMEA een culturele verandering, en een betere focus op de data die daadwerkelijk duiden op een naderende ontploffing. “Bedrijven worden nu overspoeld door tsunami’s aan data en gebombardeerd met alerts.” Dit maakt het moeilijk voor IT-securityprofessionals om de focus te behouden op wat belangrijk is tijdens een cyberbreach.

Voordat Tim Grieveson in februari van dit jaar bij HP Enterprise Security Products aantrad als Chief Cyber and Security Strategist EMEA werkte hij ruim twintig jaar in de technologie-industrie. Zo was hij voorheen Chief Information Officer en Chief Information Security Officer van de G4S Risk Management-divisie van G4S, met 625.000 werknemers in meer dan 129 landen de grootste beveiligingsfirma ter wereld. “Als er sprake van een inbraak zou zijn, dan zouden ze mij dat om 3.00 uur ’s nachts per telefoon hebben laten weten”, zo vertelt Grieveson over zijn periode binnen deze internationale organisatie. “Ik weet uit eigen ervaring waar onze klanten tegenaan lopen en dit plaatst mij in de perfect positie om klanten te adviseren in mijn rol bij HP.”

Die ervaring zal hij ook delen op 4 november aanstaande tijdens de beurs Infosecurity.nl in de Jaarbeurs Utrecht, tijdens een exclusieve keynotesessie op de stand van Motiv. Op basis van onder andere HP’s Cyber Risk Report 2015 zal hij ook een schets geven van het huidige dreigingslandschap. “Zelf spreek ik echter liever over een ‘mijnenveld vol met dreigingen’ waarin IT-securityprofessionals moeten navigeren om hun organisatie te beschermen tegen de bad guys.”

New Style of IT
Het ‘mijnenveld’ waar Grieveson het over heeft, wordt door diverse factoren veroorzaakt. Een van de punten die de Chief Cyber and Security Strategist aanhaalt, is wat HP de ‘New Style of IT’ noemt. “De business vraagt veel meer van de technologie. Het moet allemaal sneller, goedkoper en overal toegankelijk zijn; via een mobiel apparaat, on-premise, in de cloud.” De hoge eisen die worden gesteld aan de toegankelijkheid van data, zorgen er volgens Grieveson voor dat er steeds vaker sprake is van een hybride IT-omgeving. Daardoor kunnen de ‘kroonjuwelen’ van een bedrijf tegenwoordig ook in de cloud van een derde partij staan of op een mobiel apparaat dat niet per definitie eigendom is van de organisatie. “De focus moet daarom niet meer liggen op de beveiliging van de perimeter, maar op de informatie die te allen tijde veilig moet zijn.”

Een andere mijn in het veld van Grieveson zijn de ‘bad guys’ die van steeds geavanceerdere aanvalstechnieken gebruikmaken, en de samenwerking opzoeken. “Waar aanvallers het voorheen hadden voorzien op doorbreken van de perimeter, zien we nu dat ze steeds vaker social-engineeringtechnieken inzetten om via de vertrouwensrelatie die ze opbouwen met de gebruiker een goed beeld te krijgen van de IT-omgeving en de zwakke plekken. Het doel is uiteindelijk om bijvoorbeeld intellectueel eigendom of creditcardgegevens te bemachtigen en te verkopen op de zwarte markt. Dit gebeurt omdat dit heeft bewezen een zeer lucratieve marktplaats te zijn met een hoge Return on Investment voor een minimale investering.”

Snellere detectie
“Uit onderzoek van het Ponemon Institute blijkt dat bad guys gemiddeld al 243 dagen binnen zijn op het moment dat ze worden opgemerkt”, vervolgt Grieveson. “Vervolgens duurt het nog eens ongeveer 45 dagen om de schade te herstellen.” Alles wat je kunt doen om de bad guy sneller te vinden, is volgens Grieveson meegenomen. Door een snellere detectie blijft de schade beperkt en zijn de kosten voor herstel lager.

Volgens Grieveson zijn er meerdere zaken nodig om tot een snellere detectie te komen. Allereerst is er een culturele verandering nodig. “Als industrie moeten we veel beter worden in ‘security by design’; security moet een onderdeel worden van je designcultuur. De beveiliging na een incident aanbrengen is vanuit zijn ervaring doorgaans dertig tot veertig procent duurder dan de beveiliging al tijdens het ontwerp meenemen. Om ‘security by design’ te laten slagen, is het volgens Grieveson wel noodzakelijk dat securityprofessionals een taal gaan spreken die de business begrijpt. Geen termen als IPS, IDS en SIEM, maar security belichten als middel om groei te bereiken, winst te verhogen, te innoveren en maximale toegevoegde waarde voor het bedrijf te realiseren, zo luidt het advies.

Een andere manier om de detectie te versnellen, is focus op de data die er toe doen. Grieveson: “Bedrijven worden overspoeld door tsunami’s aan data en gebombardeerd met security-alerts. Securityprofessionals moeten honderdduizenden logs doorspitten – wat veel tijd en geld kost – en de realiteit is dat gemiddeld maar vier procent van alle data echt aandachtig wordt bekeken. Bovendien wordt vaak het essentiële element dat om urgente actie vraagt gemist. De juiste securitytools kunnen helpen om te focussen op die data die echt belangrijk zijn waardoor de bad guy sneller wordt gevonden en het herstel sneller verloopt. Op die manier kun je met security besparen op de kosten en resources laten heroriënteren op wat er echt toe doet.”

DNS Malware Analytics
Een voorbeeld van zo’n tool om in te zoomen op de juiste data, is DNS Malware Analytics die afgelopen september werd aangekondigd tijdens de Enterprise Security-gebruikersconferentie HP Protect in Washington. Deze tool van HP helpt bedrijven bij de automatische analyse van bedreigende data. “Wij kijken naar de karakteristieken van malware”, aldus Grieveson. “Daardoor kunnen we ook de ‘unknown unknown’ dreigingen detecteren en zero-day aanvallen stoppen die nog niet in het wild zijn gespot.”

DNS Malware Analytics (DMA) identificeert geïnfecteerde eindpunten en hosts door het DNS-verkeer te inspecteren. Dit maakt het inspecteren van interacties mogelijk tussen gebruikers, apparaten en applicaties en wordt malware geïdentificeerd via overeenkomende karakteristieken. Door een samenwerking met HP Labs, HP’s centrale onderzoeksorganisatie, en HP’s interne Cyber Defense Center is een oplossing ontstaan op basis van algoritmen waarmee risico’s snel kunnen worden gedetecteerd. “Met een traditionele op rules gebaseerde aanpak, kan je de kwetsbaarheden en aanvallen missen omdat deze oplossingen zoeken naar de bekende bekendheden”, licht Grieveson toe.

“Het is belangrijk dat een organisatie ook de juiste vaardigheden op de juiste plek heeft en dat de processen volwaardig zijn”, vertelt Grieveson. “Technologie alleen is niet genoeg, het vraagt om Mensen, Processen en Technologie om te waarborgen dat je een verbeterde securityhouding hebt gecomplementeerd door beter situatiebewustzijn.”


Lees meer over