Beveiligingsteams maken vier ‘onmogelijke’ afwegingen bij het afweren van bedreigingen. Ze moeten beslissen welke aanvallen prioriteit krijgen; kiezen welke kwetsbaarheden te verhelpen; preventie of detectiecontroles optimaliseren; en tot slot besluiten wat te loggen en waarvoor te waarschuwen. Dat meldt Picus Security naar aanleiding van een deze maand uitgebracht rapport.

Op basis van een analyse van meer dan 14 miljoen gesimuleerde cyberaanvallen, belichten de auteurs van het rapport vier ‘onmogelijke afwegingen’ die het vermogen van hedendaagse beveiligingsteams inperken:

Prioriteiten

De beveiligingsmaatregelen van organisaties (zoals next-gen firewalls en oplossingen voor inbraakpreventie) voorkomen gemiddeld slechts zes van elke tien aanvallen. Sommige aanvalstypen worden echter veel effectiever voorkomen dan andere. Organisaties kunnen bijvoorbeeld 73 procent van de malwaredownloads voorkomen, maar slechts 18 procent van de aanvallen voor data-exfiltratie.

Organisaties voorkomen ook minder dan de helft van complexe meertrapsaanvallen. Dit is met name zorgwekkend in het licht van eerdere bevindingen van dit jaar waaruit bleek dat meer dan een derde van de malware samples twintig of meer tactieken, technieken en procedures (TTP’s) van aanvallers vertoont.

Het onderzoek laat ook grote verschillen zien in het vermogen van organisaties om specifieke bedreigingen te voorkomen. Meer dan een derde van de organisaties kan bijvoorbeeld Black Basta en BianLian ransomware aanvallen voorkomen, maar slechts zeventien procent kan Mount Locker voorkomen. Dit ondanks het feit deze malware in 2021 opdook vóór de andere twee malware-aanvallen.

Kwetsbaarheden

Ook de beperkingen in de aanpak van beveiligingsteams bij het beheren van veelvoorkomende kwetsbaarheden en blootstellingen (common vulnerabilities and exposures: CVE’s) worden in het rapport belicht. Analyse van de gesimuleerde aanvallen laat zien dat de lijst van top 10 CVE’s waaraan teams het meest blootgesteld blijven voornamelijk kritieke kwetsbaarheden en kwetsbaarheden met een hoog risico bevat, evenals CVE’s die al jaren bekend zijn. Sommige CVE’s die in 2019 zijn ontdekt, blijven voor ruim 80 procent van de organisaties een bedreiging vormen.

Preventie- of detectiecontroles

Over het algemeen geldt dat hoe beter een organisatie is in het voorkomen van bedreigingen, hoe zwakker zij is in het detecteren ervan, en vice versa. Wereldwijd is de gezondheidszorg bijvoorbeeld de minst effectieve sector in het voorkomen van aanvallen, maar is twee keer zo succesvol als de gemiddelde organisatie als het gaat om het detecteren ervan. Noord-Amerikaanse organisaties zijn bijna twee keer zo succesvol in het voorkomen van aanvallen als in het activeren van waarschuwingen om aanvallen te detecteren.

Wat loggen en waarvoor waarschuwen

Organisaties die gebruikmaken van SIEM-oplossingen (Security Event and Incident Management) worden ook geconfronteerd met beslissingen over hoeveel zij moeten investeren in aanvalsdetectie. In de meeste gevallen geven organisaties routinematig prioriteit aan loggen boven waarschuwen, maar ze doen geen van beide erg goed. Uit simulatiegegevens blijkt dat organisaties gemiddeld vier op de tien aanvallen loggen, maar slechts voor twee op de tien aanvallen waarschuwingen genereren.

“Net als een te korte deken die alleen iemands hoofd of voeten bedekt, kunnen beveiligingsteams hun tijd, geld en middelen maar aan een beperkt aantal problemen tegelijk besteden”, zegt medeoprichter en VP van Picus Labs, Suleyman Ozarslan. “Maar door te kiezen voor een uniformere aanpak, waarin inzichten uit aanvalssimulaties worden gecombineerd met gegevens over het aanvalsoppervlak en kwetsbaarheden, kunnen beveiligingsteams resources efficiënt en effectief toewijzen om hun meest kritieke blootstelling aan te pakken. Hierdoor kunnen ze tegelijkertijd hun vermogen om aanvallen te voorkomen en te detecteren verbeteren, in plaats van compromissen te sluiten.”