MDR: Wat brengt de toekomst - Deel 1

Nu de winter achter ons ligt en de lente begint, werpt onze Product Manager voor Detect and Respond-diensten, Grant Paling, een blik op de rest van 2024 en daarna. Hoe ziet de toekomst eruit?

Ik schreef vorig jaar dat de wereld een gekke plek was. 2023 lijkt de chaos niet te hebben verminderd. Zoals ik vorig jaar ook schreef, dringt sociale media steeds verder ons leven binnen en beïnvloedt wat we doen, hoe we ons gedragen en waar we in geloven. Privacy blijft een wereldwijde zorg - niet alleen met betrekking tot hoe bedrijven onze gegevens gebruiken, maar zoals blijkt uit de recente TikTok-controverses, ook met betrekking tot hoe regeringen elkaars gegevens kunnen benaderen. En natuurlijk is de impact van AI niet meer weg te denken uit ons dagelijks leven en de manier waarop wij zakendoen.

Wat betreft cybercriminaliteit, lijken de zaken ook steeds sneller te gaan. De druk neemt nu toe om een cyberbestendig bedrijf te zijn. Zo'n 17 jaar geleden, toen ik begon in cybersecurity, hadden we niets zoals dit. De vraag destijds was: "hebben we het nodig?" De vraag nu is: "hoeveel kunnen we ons veroorloven om te doen?" En dat is niet makkelijk om in balans te brengen. De wereldeconomie blijft onder druk staan en dus moeten we vaak meer doen met minder. Dat is deels de reden waarom bijvoorbeeld Microsoft erin geslaagd is een groot marktaandeel in beveiliging te veroveren, daar kun je hier meer over lezen.

De impact op de samenleving begint ook gevoeld te worden door degenen buiten de getroffen bedrijven zelf. Wanneer we denken aan Colonial Pipeline en andere incidenten, zien we dat dergelijke incidenten invloed hebben op de meest fundamentele dingen waarvan we verwachten dat ze stabiel zijn in ons leven - brandstof, watervoorziening, stroomvoorziening, voedsel, technologiecomponenten - deze lijst gaat zo door. En dit is niet te wijten aan een overvloed aan aanvallen specifiek gericht op OT-infrastructuur zelf, zoals te lezen is in onze blog over dit onderwerp, maar het blijft een zorg en bijna een "wanneer, niet als" scenario. Immers waren ransomware-aanvallen en cyberafpersing (Cy-x) vroeger niet zo gemakkelijk uit te voeren. Dus het vooruitzicht is misschien somber.

Ik zie veel discussie over ChatGPT en AI in het algemeen.

• Kan AI ons echt helpen om ons spel te verbeteren op het gebied van cybersecurity? Om ons een helpende hand te bieden of zelfs hele banen te vervangen?
• Of zal het door cybercriminelen worden gebruikt om ons alleen maar meer ellende te bezorgen?

Mijn huidige neiging is geen van beide. Ik blijf een fan van de geschriften van Rodney Brooks over het onderwerp AI. En de eerste van zijn "zeven dodelijke zonden" is overschatting en onderschatting. Hij verwijst naar de Wet van Amara - "We hebben de neiging om het effect van technologie op de korte termijn te overschatten en het effect op de lange termijn te onderschatten."

Ik herlas die zeer sprekende uitspraak en denk meteen aan de huidige hype rondom generative AI zoals ChatGPT. De realiteit is dat AI al enkele jaren aanwezig is in cybersecurity. AI vertegenwoordigt het vervangen van specifieke functies, niet de volledige replicatie van de menselijke geest. Maar dat is de definitie van AI - helaas wordt het vaak verkeerd geïnterpreteerd door mensen die eigenlijk geen diepgaande kennis hebben van AI zelf, met uitzondering van een paar andere buzzwoorden zoals "machine learning", "deeplearning" en "datascience".

Dus wat is mijn visie op de impact van AI en de impact op cybersecurity?

Ik geloof dat het onze verdedigers zal blijven helpen (en met de groeiende complexiteit van het verdedigen van een bedrijf tegen cyberaanvallen - hebben we het nodig). Ik geloof ook dat het misbruikt zal blijven worden, maar opnieuw niet echt om nieuwe aanvalsvectoren te creëren, maar om de efficiëntie van het gebruik van bestaande te verbeteren. Eerder heb ik in een presentatie aangetoond dat het ChatGPT 40 seconden kostte om voor mij de basis van een mooie nep LinkedIn-profiel te maken. Daar ligt vandaag de dag het primaire gebruik ervan. Sociale manipulatie. Omdat het daar helaas buitengewoon efficiënt in is.

Ik zei in 2022 dat ik vond dat Managed Detection & Response (MDR) nog veel volwassener moest worden. En daarmee moeten ook onze concepten van MDR wellicht opnieuw worden afgestemd.

Er zijn nog steeds enkele onduidelijke kwesties.

Ja, als branche zeggen we nog steeds: "Ik wil AWS monitoren" en "Ik wil Azure monitoren". Dus ik ga een beetje herhalen wat ik vorig jaar heb geschreven - niet omdat ik lui ben (immers, ik had ChatGPT het kunnen laten schrijven als ik dat wilde, toch?) maar omdat alles wat ik toen heb gezegd, nog steeds relevant is.

Het belangrijkste bericht van MDR dat we aan onze klanten overbrengen, is altijd geweest: "doe de basis goed". Aanpassing kan later komen, maar de meerderheid van de bedreigingen waarmee we vandaag de dag worden geconfronteerd, komen via vrij gestandaardiseerde technieken. Cybercriminaliteit is big business en dat betekent dat het ecosysteem moet meegroeien met de vraag. Dit heeft op zijn beurt "bedrijven" voortgebracht zoals Ransomware-as-a-Service. De focus leggen op belangrijke, veelvoorkomende bedreigingen is een goed startpunt en als het gaat om de cloud, geldt dezelfde mantra. De basisprincipes zijn in dit geval misschien iets anders, maar er zijn nog steeds essentiële zaken die we kunnen doen die een enorme impact zullen hebben op het stoppen van aanvallen voordat het te laat is. Voorbeelden hiervan zijn:

• het detecteren van gecompromitteerde identiteiten/accounts die verdachte activiteiten uitvoeren in je cloudomgeving;
• het detecteren van blootgestelde gegevens op onbeveiligde cloudresources, zoals gekoppelde opslag, blootgestelde databases of GitHub-pagina's;
• het detecteren van misbruik van op de cloud gebaseerde samenwerkingstechnologieën om ervoor te zorgen dat ze geen achterdeur openen naar het bedrijf;
• het aanpassen van processen en procedures voor incidentrespons om rekening te houden met het gedeelde verantwoordelijkheidsmodel in de cloud.

Er zijn nog steeds verschillende manieren (allemaal binnen het vermogen van de traditionele SOC-driehoek van log-, endpoint- en netwerkgebaseerde detectie) om aanvallen in de cloud te detecteren, maar we moeten beginnen met de risico's.

Samengevat is "de cloud" geen risico. Het is een bron van veel risico's. En dus moeten we de risico's herkennen om ze te kunnen detecteren en hierop te kunnen reageren. Als je meer wilt weten, kom dan praten over de risico's die we zien en die moeten worden aangepakt in cloudbeveiliging op verschillende niveaus van beveiligingsvolwassenheid. We helpen je graag op weg met een uitgebreide detectiestrategie, of je nu een Azure-, AWS-, GCP- of een multi-cloudomgeving hebt.

SOAR is de nieuwe SIEM.

Ik maak geen grap, ik heb het afgelopen jaar meerdere verzoeken ontvangen waarin ons wordt gevraagd of we enige vorm van automatisering en orchestratie kunnen doen. Of we een beheerde service bieden rond SOAR-technologie?

Mijn antwoord is altijd hetzelfde: "Natuurlijk... wat wil je automatiseren?"

Automatisering is een krachtige strategie en een die we allemaal moeten omarmen; daaraan twijfel ik geen seconde. Als je niet zoveel mogelijk automatiseert, is je bedrijf niet zo efficiënt als het zou kunnen zijn.

Maar tegelijkertijd zul je zien dat ik automatisering als een strategie heb genoemd. Omdat het moet worden overwogen, geprogrammeerd, gepland en continu uitgevoerd. Je kunt niet automatiseren wat je nog niet doet. Je kunt processen niet efficiënter maken als ze niet bestaan.

Dus hoewel de technologie er is, kost het tijd. Het bouwen van demo's waarin een eenvoudige playbook in een paar minuten wordt gemaakt, helpt misschien niet. Ze creëren de illusie van eenvoud als het gaat om automatisering en orchestratie. Het is niet zo eenvoudig.

Laten we dus naar de resultaten kijken. Ik begon met de uitspraak "SOAR is de nieuwe SIEM" omdat het zeer vergelijkbare technologieën zijn in die zin dat ze zeer flexibel en krachtig zijn, maar als je niet weet wat je doet of nog belangrijker waarom, kunnen ze zeer kostbare fouten worden.

We zijn hier om te voorkomen dat je die fouten maakt! We werken zelf hard aan automatisering, om voortdurend kansen te signaleren en die kansen te evalueren en prioriteit te geven. Het komt allemaal voort uit een solide continu verbeteringsproces. Automatiseringsprogramma's moeten daar deel van uitmaken, en dan zul je merken dat er veel te winnen valt.

Dit zijn enkele belangrijke punten die ik zie die de toekomst van Managed Detection and Response (MDR) bepalen.

In het tweede deel van deze blog kijken we naar naar het groeiende belang van asset intelligence in MDR en waarom dit het verschil kan maken.