Cybersecurity preventief tegengaan of actief beheersen?

De vraag is intussen al langere tijd niet meer of je wordt gehackt, maar wanneer en, belangrijker nog, hoe je daarmee omgaat. Organisaties stonden lang voor de keuze tussen voornamelijk preventieve cybersecurity maatregelen treffen of zich te richten op het actief beheersen van aanvallen zodra deze plaatsvinden. Hoewel beide benaderingen noodzakelijk zijn, is het interessant om te onderzoeken hoe organisaties een balans kunnen vinden tussen deze twee strategieën.

Preventie blijft een essentieel onderdeel van elke cybersecurity-strategie. Dit houdt onder andere in dat organisaties proactief mogelijke kwetsbaarheden in hun systemen identificeren en elimineren en ontdekte aanvallen en besmettingen actief tegenhouden. Denk aan het implementeren van firewalls, anti-malware-oplossingen, en regelmatig updaten van software. Echter, zelfs met de meest robuuste preventieve maatregelen, kunnen cybercriminelen nieuwe en onverwachte manieren vinden om een aanval te lanceren. Zero-day exploits, waarbij hackers gebruik maken van onbekende kwetsbaarheden, zijn daar een goed voorbeeld van. Een preventieve aanpak alleen is niet genoeg om hier volledig tegen beschermd te zijn.

Een van de grootste uitdagingen voor organisaties is dan ook het identificeren van waar ze kwetsbaar zijn. Organisaties investeren in vulnerability management, attack surface management systemen of penetratietests om zwakke plekken in hun infrastructuur en systemen te ontdekken, maar zelfs dat biedt in geval van bijvoorbeeld onbekende zero-day kwetsbaarheden geen garantie dat alle risico's zijn afgedekt. De constante evolutie van cyberdreigingen vraagt om een dynamische 'holistische’ aanpak. Het gaat niet alleen om technologie, maar ook bijvoorbeeld om een cultuur van security-awareness binnen de organisatie en effectieve procedures.

Het beheersen van een aanval: snelle detectie en met name response

Hoewel preventie een belangrijke pijler blijft, wordt de nadruk steeds meer gelegd op het snel detecteren en beheersen van aanvallen zodra ze plaatsvinden. Een voorbeeld hiervan is de SolarWinds-aanval in 2020. Deze geavanceerde aanval bleef maandenlang onopgemerkt, ondanks de inzet van sterke preventieve maatregelen door de getroffen organisaties. Het benadrukt hoe belangrijk het is om niet alleen te vertrouwen op preventie, maar ook te investeren in detectie- en responssystemen die snel kunnen handelen zodra er verdachte activiteiten worden opgemerkt.

Het actief beheersen van een aanval begint bij het opstellen van een incident response-plan. Dit plan geeft aan welke stappen genomen moeten worden wanneer een aanval plaatsvindt. Hierin speelt tijd een cruciale rol. Het is bewezen dat organisaties die snel kunnen reageren op een aanval de schade significant kunnen beperken. Een goed getraind team dat direct kan ingrijpen bij een cyberincident is daarom essentieel. Daarnaast is het belangrijk om te investeren in technologieën zoals Security Information and Event Management (SIEM)-systemen en/of specifieke Endpoint of Extended Detection and Response (EDR/XDR) technologieën of diensten die continue monitoring mogelijk maken en helpen bij het detecteren van afwijkingen in het netwerkverkeer of gedrag van gebruikers.

Het is ook belangrijk dat organisaties voorbereid zijn op het ergste scenario: een succesvolle aanval die systemen compromitteert en waarvanuit een datalek en ransomware aanval volgt. In dat geval is het beperken van de impact cruciaal. Dit kan onder andere bijvoorbeeld door het microsegmenteren van netwerken, zodat een aanval zich niet verder kan verspreiden. Het hebben van back-ups die regelmatig getest worden, speelt ook een grote rol in het snel herstellen van verloren of versleutelde data.

Preventie versus beheersing: Een evenwichtige aanpak

In plaats van te kiezen tussen preventie en beheersing, is het verstandig om beide strategieën hand in hand te laten gaan. Organisaties die de focus leggen op een holistische aanpak, waarin zowel preventieve maatregelen als incident management centraal staan, zijn beter voorbereid op de moderne dreigingen. Een realistisch cybersecuritybeleid erkent dat volledige preventie niet haalbaar is, maar dat snelle detectie en effectieve response de schade sterk kunnen beperken. Het bewustzijn van de medewerkers speelt hierin ook een rol. Regelmatige trainingen kunnen ervoor zorgen dat het personeel verdachte activiteiten sneller opmerkt en kan melden.

Wat we vaak zien is dat organisaties die sterk gefocust zijn op preventie soms het belang van detectie en response nog onderschatten. Geavanceerde aanvallers zullen echter vroeg of laat een keer een manier vinden om door de verdediging heen te breken. In zo'n geval is het zaak om de aanval zo snel mogelijk te identificeren en de schade te beperken. Daarom is het essentieel om niet alleen in technologie te investeren, maar ook in processen en mensen die in staat zijn om adequaat te reageren. De eerdergenoemde holistische aanpak.

Preventie en het actief beheersen van aanvallen zijn beide essentiële onderdelen van een moderne cybersecurity-strategie. Organisaties moeten zich bewust zijn van hun kwetsbaarheden, maar ook voorbereid zijn om effectief te reageren wanneer een aanval plaatsvindt. Het is de balans tussen proactief handelen en snel reageren die bepaalt hoe groot de impact van een cyberaanval is. Het integreren van geavanceerde detectie- en response-tools of dienst, gecombineerd met goed opgeleid personeel en gedetailleerde incident response-plannen, zorgt ervoor dat organisaties niet alleen veiliger zijn, maar ook beter voorbereid zijn op de onvermijdelijke cyberincidenten die zich zullen voordoen.