Professionals op het gebied van cyberbeveiliging verwijten de eindgebruiker vaak dat hij het grootste risico vormt voor de beveiliging van de organisatie. In veel opzichten is dit begrijpelijk. Systemen en software hebben we onder controle, maar eindgebruikers zijn onvoorspelbaar. Ze vergroten ons bedreigingsoppervlak met elke geografisch verspreide gebruiker, elk persoonlijk apparaat en hun vermogen om fouten te maken die van invloed zijn op onze beveiliging.

Het is duidelijk dat bedreigingsactoren zich richten op onze gebruikers met slechte resultaten in de echte wereld. Maar wat ook duidelijk is, is dat we ons niet een weg uit dit probleem kunnen trainen. Fortune 100-bedrijven investeren aanzienlijk in jaarlijkse trainingen om gebruikers bewust te maken van hun beveiliging en toch hebben ze te maken met inbreuken. Ons primair richten op het beveiligen van de eindgebruiker is dus geen effectieve strategie.

Feit: uw gebruikers zijn een grote risicofactor: volgens het Verizon's 2022 Data Breach and Investigations Reportbegon 35% van de ransomware-infecties met een phishing-e-mail. Feit: Dit is ondanks de agressief toenemende investeringen in bewustmakingstrainingen op het gebied van beveiliging gedurende vele jaren, die naar verwachting zullen doorgaan- De markt voor bewustmakingstrainingen op het gebied van cyberbeveiliging zal naar verwachting groeien van USD 1.854,9 miljoen in 2022 tot USD 12.140,0 miljoen in 2027 en een CAGR van 45,6% van 2022 tot 2027. Feit: Ondanks al deze investeringen zal ransomware (slechts als voorbeeld van één aanvalstype) naar verwachting ook agressief groeienondanks vele organisatorische inspanningen, waaronder het trainen van eindgebruikers. Droevig, onvermijdelijk feit: onze gebruikers zullen nog steeds fouten maken - we zijn tenslotte allemaal mensen. Een enquête om de noodzaak van meer veiligheidstrainingen aan te tonen, bewees volgens mij dat het niet in staat was om de cybercrisis te stoppen: vier van de vijf ondervraagden hadden een veiligheidsbewustzijnstraining gehad; tussen de 26-44% (op basis van leeftijdsdemografie) bleef toch klikken op links en bijlagen van onbekende afzenders. Uit deze feiten moeten we concluderen dat de beveiliging van organisaties niet sterk moet vertrouwen op het beveiligen van de eindgebruiker, maar er juist van uit moet gaan dat er inbreuk op hen wordt gepleegd en dat systemen met deze veronderstelling in het achterhoofd moeten worden beveiligd. "Trainen en bidden' werkt gewoon niet. En uiteindelijk, zelfs als een eindgebruiker wordt gekraakt, zou de hoeveelheid systemische schade die wordt aangericht door die compromittering niet mogelijk moeten zijn als de juiste beveiligingsmaatregelen worden ingezet en op de juiste manier worden georkestreerd.

Moeten we onze eindgebruikers trainen? Absoluut, nadrukkelijk ja. Sterke beveiliging vereist een gelaagde aanpak, en dat betekent dat je je beveiliging moet versterken door te werken aan de beveiliging van elke toegang tot je bedrijfssystemen. Zonder deze training zouden we waarschijnlijk nog meer grote inbreuken zien. Maar we moeten naar onze beveiliging gaan kijken op een manier die helpt het risico voor de eindgebruiker weg te nemen, zonder afhankelijk te zijn van hen om het zware werk te doen. Voor veel organisaties vergt dit een aantal moeilijke keuzes en aanzienlijke steun van het leiderschap voor deze keuzes.

Hoe kunnen we het gebruikersrisico verminderen?

Organisaties moeten de toegang blokkeren en beveiligingscontroles orkestreren. Systemen zijn standaard te open; we moeten ze standaard gesloten maken, elk systeem evalueren op risico's en ze vervolgens toestaan met volledige intentie. Gebruikers kunnen niet klikken of openen waar ze geen toegang toe hebben en in de organisaties die we beoordelen of herstellen na een inbreuk, zien we dat werknemers en systemen veel meer toegang en risico's hebben dan nodig is voor hun werk. Bedrijven moeten hun beveiliging beter afstemmen op hun mensen, processen en technologie, zodat, mocht een bedreigende actor toch toegang krijgen via een onjuiste klik (of via een andere vector), er controles zijn die zijn ontworpen om de laterale beweging van de bedreigende actor en het verzamelen/escaleren van referenties te stoppen. Hier zijn enkele specifieke dingen die organisaties kunnen doen om het risico voor eindgebruikers weg te nemen:

Blokkeer de toegang tot persoonlijke e-mailaccounts: Gebruikers mogen geen toegang hebben tot hun persoonlijke e-mail of sociale mediasites vanaf werkapparaten. Persoonlijke e-mail wordt niet beschermd door zakelijke e-mailfilters, maar is wel het doelwit van dreigingsactoren; sociale media is een andere onnodige risicofactor die standaard moet worden afgesloten.

Filter HTTPS-verkeer met deep packet inspection: Meer dan 80% van het internet en 90% van command and control is versleuteld; als een organisatie geen deep packet inspection uitvoert op HTTPS uitgaand verkeer (en de meeste doen dat niet), dan missen ze het grootste deel van het internet en de meeste activiteiten van bedreigende actoren-dus, de firewalls en webfilters doen in feite niets!

Blokkeer standaard alle uitgaande poorten behalve HTTP (80) en HTTPS (443) op gebruikerssubnetten/VLAN's: Gebruikers zouden niet in staat moeten zijn om naar het internet te gaan via andere poorten dan de poorten die nodig zijn om te browsen. Uiteraard zijn er enkele organisatorische toepassingen die andere poorten naar het internet vereisen naast poort 80 en 443; deze poorten mogen echter alleen bij uitzondering worden geopend met bron-, poort- en bestemmingsscopes - waar mogelijk intensief geïnspecteerd door de perimetercontrole.

Blokkeer internettoegang tot subnetten/VLAN's die niet door gebruikers worden gebruikt: Servers en beheer/administratieve en printernetwerken, als voorbeelden, zouden geen toegang tot het internet mogen hebben op poorten of protocollen. Deze netwerken zouden alleen uitgaand op het internet moeten kunnen komen op de specifieke poorten die nodig zijn voor de applicaties die erop draaien. Alle poorten en protocollen zouden standaard geblokkeerd moeten worden en selectief alleen toegestaan moeten worden als dat nodig is voor toepassingsfuncties.

Eis dat al het gebruikersverkeer altijd wordt geïnspecteerd en gefilterd, ongeacht de locatie van het eindpunt: Vaak wordt het verkeer van gebruikers niet met dezelfde intensiteit geïnspecteerd wanneer de gebruiker thuis werkt (of in een coffeeshop). De organisatie moet dus controles implementeren om al het gebruikersverkeer door dezelfde filters en inspecties te dwingen, ongeacht waar het zich bevindt.

Applicaties mogen niet toegankelijk zijn vanaf niet-goedgekeurde apparaten met bekende goede referenties en zonder MFA, ongeacht het netwerk: Gebruikers mogen geen toegang hebben tot applicaties die door de organisatie worden aangeboden zonder dat ze zich op door de organisatie goedgekeurde apparaten bevinden met de juiste referenties en MFA. Gebruikers moeten worden verplicht om referenties en MFA te tonen, intern en extern, niet minder dan elke dag - d.w.z. sessietokens moeten niet minder dan dagelijks verlopen (bij voorkeur dagelijks).

Verbied alle systemen voor het delen van bestanden en wachtwoordkluizen, behalve die welke door IT zijn goedgekeurd: Bedreigers gebruiken vaak gangbare systemen voor het delen van bestanden om gegevens te exfiltreren, en cloudgebaseerde wachtwoordkluizen zijn een schatkamer voor hackers. IT zou doorgelichte, goedgekeurde systemen moeten kiezen en alle andere moeten weigeren. Dit moet het operationele paradigma van de organisatie worden: "Kies een tool en blokkeer alle andere."

Begin met het inschakelen van beveiligingsfuncties (ga er niet vanuit dat standaardinstellingen je veilig houden): Beveiligingstools en -platforms zoals firewalls en endpoint detection and response (EDR) worden geleverd met veel beveiligingsfuncties die niet zijn ingeschakeld (of te open zijn) in hun standaardinstellingen. Veel moderne firewalls kunnen bijvoorbeeld veel van de methoden die worden gebruikt door bedreigingsactoren voorkomen; de functies van de firewall zijn echter zelden allemaal ingeschakeld. Vaak staan ze standaard ALLE TCP/UDP-poorten naar buiten toe; de meeste gebruikers hebben echter alleen de poorten TCP 80 (HTTP) en TCP 443 (HTTPS) nodig. Bedreigers gebruiken dit in hun voordeel - dit is nog een voorbeeld waarbij elk systeem moet worden geëvalueerd en selectief, opzettelijk geblokkeerd of toegestaan moet worden op basis van de behoefte.

EDR-tools bieden ook sterke beschermingsmogelijkheden, maar organisaties schakelen vaak niet alle functies van deze applicaties in om het maximale uit de investering te halen. Bovendien vullen ze deze oplossingen vaak niet aan met andere gestapelde controles, ondanks het advies in de documentatie van deze bedrijven om dit wel te doen.

De hindernissen voor deze aanpak

Er zijn verschillende redenen waarom het blokkeren en orkestreren niet gebeurt op het niveau dat vandaag vereist is en in plaats daarvan dragen gebruikers de grootste verantwoordelijkheid voor inbreuken. Ten eerste kan het impopulair zijn bij gebruikers (en de leiding) - het blokkeren van de toegang tot persoonlijke sites, het beperken van de toegang tot favoriete platformen en het vertragen van de toegang tot systemen door filtering/inspectie kan leiden tot ontevredenheid bij de gebruiker. Bovendien verwacht en vreest de leiding deze ontevredenheid van gebruikers. Sommige van de benodigde hulpmiddelen zijn ook duur. Maar dit is een educatieve oefening, die buy-in vereist op het executive niveau van de organisatie.

IT moet zowel problemen als oplossingen verwoorden in termen die leiders kunnen horen en begrijpen. Ze moeten in staat zijn om de zeer reële risico's en de resultaten van falen te presenteren aan hun C-level en directies, zodat de juiste controles en bijbehorende kosten kunnen worden toegewezen. Gebruikers kunnen dan worden voorgelicht over waarom deze controles van bovenaf nodig zijn; op die manier kan het beveiligingsbewustzijnsonderwijs verschuiven naar de volgende evolutie van "klik niet en hier is waarom" naar "We blokkeren de meeste dingen standaard en hier is waarom". Of, als leiders er na de voorlichting nog steeds voor kiezen om niet agressiever te investeren in tools en processen, dan hebben ze nu zelf de touwtjes in handen en nemen ze persoonlijk het risiconiveau op zich dat ze voor de organisatie willen accepteren.

Vaak hebben IT-teams ook te weinig personeel, zijn ze overwerkt en gefocust op de dagelijkse werkzaamheden van het bedrijf. Ze kunnen geen risico's beperken die ze niet zien, geen voorlichting geven over bedreigingen die ze niet kennen of tools inschakelen waarvoor ze niet zijn opgeleid. Ze hebben niet altijd de gegevens, cyberspecifieke vaardigheden of invloed om te blokkeren, te orkestreren of de buy-in te krijgen die nodig is om het bedrijf volledig te beveiligen. Ze zitten ook niet dagelijks midden in inbreuken, zoals wij incidentresponders, die het bloedbad aanschouwen. Teams zonder deze zichtbaarheid zouden diepgaande beoordelingen van hun controles, configuraties en orkestratie moeten overwegen van gekwalificeerde, deskundige bedrijven (zoals Athena7). In sommige gevallen zouden organisaties moeten overwegen om gebruik te maken van externe, gekwalificeerde, beheerde beveiligingsbedrijven, zoals Grypho5voor het implementeren, orkestreren, beheren, monitoren en rapporteren van specifieke controles, zoals back-ups, firewalls en endpoints.

Eén ding is zeker: hoeveel training we ook geven, gebruikers zullen altijd fouten maken. We kunnen en mogen niet toestaan dat één klik organisaties zo in gevaar brengt. Het is essentieel om de mogelijkheden voor gebruikers om te klikken tot een minimum te beperken en er vervolgens voor te zorgen dat, wanneer ze klikken, er veel gelaagde controles zijn om de voortgang van de aanvalsketen te verstoren.