Als het gaat om een gelaagde defensie en securitytools, is het vaak zo dat je meer kan doen met minder, en juist minder met meer. Het gemiddelde bedrijf gebruikt 75 beveiligingsproducten om het netwerk te beveiligen. Dat is heel wat - en betekent dat beveiligingspro's heel wat in de gaten moeten houden, en moeten testen.

Om er zeker van te zijn dat je beveiligingstools niet alleen werken, maar vooral met elkaar in harmonie werken, bevelen sommige securityprofessionals aan om eens beter te kijken naar de lagen die aangebracht zijn in het security-ecosysteem. Schrap overlappingen waar het kan, vooral als die leiden tot een overdaad aan alerts.

Dagelijks komt er enorm veel informatie op je af en dat kan soms overweldigend voor je team zijn, zegt Stephan Chenette van AttackIQ. Belangrijk is te bepalen welke informatie nu werkelijk betrekking kan hebben op je organisatie. Er zijn meerdere factoren om in ogenschouw te nemen, niet alleen welke impact een risico kan hebben op je organisatie maar vooral de werkelijke kans dat een bepaalde bedreiging ook een bedreiging is voor je organisatie.

"Ook in security geldt: doe meer met minder"

Daarbij kan een informatie-overload vanuit verschillende overlappende tools leiden tot een bepaalde doofheid voor alerts. "De realiteit is dat meer lagen in je verdediging niet leidt tot een betere beveiliging", zegt Chenette. In veel gevallen zit er een discrepantie tussen de producten die zijn gekocht en de effectiviteit die ze gezamenlijk hebben. "Het is een misverstand om te denken dat als er maar een firewall, IPS en antivirus zijn geïnstalleerd, de inlichtingen die daaruit komen echt helpen."

Meer effectief is pro-actief en continu bezig zijn met aanvalstests en aanvalsmodellen om mogelijke blinde vlekken in je verdediging te identificeren. Belangrijk hierin is te kijken wat er risico loopt en wat de consequenties hiervan zijn en dan te bepalen hoe je om die assets heen de beste beveiliging kan neerzetten. "Hoop is geen strategie", zegt Chenette."Technologie kan falen. Het slechtste wat je kan overkomen is dat er wordt ingebroken terwijl je weer dat hetgeen je hebt geïnstalleerd dat minstens had moeten opmerken."

"Hoop is geen strategie - Stephan Chenette, CEO, AttackIQ"

Het is belangrijk te weten welke controle-elementen je hebt staan, of die uberhaupt werken en of ze wel de juiste instrumenten zijn voor de taak die ze moeten vervullen.

Met een gemiddelde van 75 securitytools in het spel, bestaat redundancy. "Je hebt dus mensen in dienst die al die overbodige producten moeten managen en alerts moeten checken die eigenlijk niks betekenen. Het doel van continu testen is de kern van je verdediging te bepalen, zodat je kan komen tot een slimme strategie en een weerbare architectuur", zegt Chenette.

Organisaties proberen de toenemende verbondenheid van de problemen van IT en de business te bestrijden door meer tools aan te schaffen, om zo de risico's proberen te beperken. Maar, zo zegt CSO Stan Black van Citrix, dat levert alleen maar meer problemen op.

"Wat we zien gebeuren, zijn complexe aanvallen die juist dat ecosysteem van allerlei verschillende technologieën aanvallen en zoeken naar de zwakste schakel." Hoe meer schakels, des te eerder is er een zwakke te vinden, meent Black, en daarin zijn ze sneller dan de organisatie. En als ze eenmaal binnen zijn, kunnen ze verder.

"Ze zullen een aanval op meerdere fronten uitvoeren, en terwijl je team bezig is met de frontale en ogenschijnlijk meest gevaarlijke aanval lanceren ze een tweede, die eigenlijk hun belangrijkste aanval is. Ze kijken naar je reactie, leren daarvan en gebruiken uiteindelijk het zwakste punt om binnen te komen."

Veel van de problemen met een gelaagde defensie komen ook nog eens op verschillende plekken terecht. Zo krijgt de IT-helpdesk een belletje van gebruikers, vervolgens ziet het beveiligingsteam rode vlaggen op hun scherm. De events komen op verschillende manieren binnen en niemand praat met elkaar.

"Je zal naar een gemeenschappelijke verzameling van logs moeten gaan. Elk team grijpt van oudsher naar zijn eigen logs voor hun eigen doeleinden. We moeten echt gaan naar een gemeenschappelijke taal zodat we van elkaar kunnen begrijpen wat er precies gaande is, dat we kunnen zien hoe persistent een aanval is en hoe het er precies uitziet. Door het gebruik van dezelfde verzameling logs zijn we in staat om samen te werken en een duidelijker beeld te krijgen wat andere teams zien in samenhang met onze eigen ervaring", zegt Black.

Black verklaart het hoge aantal securitytools in een gemiddeld bedrijfsarchitectuur aan overnames en de groei van een bedrijf door de jaren heen. Het samenvoegen van de beveiligingsarchitectuur is zelden een prioriteit gdurende een fusie, dus grotere bedrijven komen met veel redundancy te zitten. "Er zijn twee manieren op dat op te lossen", zegt hij. "Zoek naar de grootste overlappingen of kijk naar de tools die de grootste betrouwbaarheid geven en de meest bruikbare informatie en haal de rest een voor een weg."

Hoewel sommige producten losstaand van waarde zijn voor het gehele ecosysteem is het managen van de gecombineerde beveiligingstechnologie een gecompliceerde taak geworden, zegt Geoff Webb, vice president of solutions strategy bij Micro Focus.

De meeste bedrijven kijken naar de vele lagen in hun defensie en realiseren zich dat ze veel verschillende tools hebben toegevoegd die bescherming bieden tegen verschillende soorten van aanvallen. "De securityteams kunnen de architectuur niet meer goed managen en verder ontwikkelen, omdat het te moeilijk wordt om precies te begrijpen wat erin gebeurt", zegt Webb.

"Complexiteit is de vijand van de IT-beveiliging - Bruce Schneier"

"Het is belangrijk om realistisch te zijn in hetgeen hierin mogelijk is met de mensen die je hebt", vervolgt hij. "Ik raad een strategie aan die de resultaten optimaliseert maar de ruis minimaliseert in de architectuur. Daarom zien we ook de verschuiving naar analytics en machine learning. Dat komt vanuit de behoefte om de balans te vinden in een omgeving waarin veel te zien is maar waar weinig bruikbaars uit komt."

Zowel Webb als Black raadt een andere benadering aan in je securitystrategie. "Een succesvol IT-securityteam maakt het moeilijk om binnen te komen maar richt zich ook op het zo snel mogelijk buiten werken van inbrekers zodat je de schade kan beperken", zegt Webb.

Het fysieke netwerk heeft nog steeds bescherming nodig, dus firewalls en switches moeten er staan, maar veel securitypro's kijken naar gedragsanalyse en virtualisatietechnologie om zo het gedrag van de gebruikers te begrijpen en een volledig beeld te krijgen van het uitgebreide netwerk. "Je moet je echt richten op hetgeen belangrijk is", zegt Webb. Inzicht en begrip is de basis voor alle informatie.

"Dus kijk of je werkelijk dat product nodig hebt om bepaalde informatie te monitoren terwijl je er niets mee kan. Kijk goed naar wat het probleem nu eigenlijk is wat je probeert op te lossen in plaats van allerlei tools in te zetten om risico's vanuit het verleden te voorkomen", zegt Webb.

"Ik haal graag de woorden aan van Bruce Schneier: Complexiteit is de vijand van security'. Hoe complexer de beveiligingsinfrastructuur, des te moeilijker is het te verdedigen."