43% van de tijd besteed aan IT-security, gaat naar preventie

Preventie en de noodzaak van detectie en respons

Een wereld zonder cyberrisico’s is helaas een utopie. Gelukkig kunnen organisaties veel ellende zelf voorkomen en wanneer er toch sprake is van een aanval, deze adequaat oplossen. Organisaties zijn zich goed bewust van het gevaar van cyberaanvallen, blijkt uit het cybersecurity benchmarkonderzoek dat Conscia in samenwerking met commercieel marktonderzoekbureau The Blue Hour uitvoert.

Zo geeft 43% van de respondenten aan dat de meeste tijd die zij besteden aan IT-security, uitgaat naar preventie. Met 85% is ‘Awareness & Training’ een belangrijke maatregel die wordt genomen om cybersecurity incidenten te voorkomen. Als er echter sprake is van een incident, blijkt uit onderzoek dat het meestal meer dan 200 dagen duurt voordat het incident wordt opgemerkt. Maarten Werff, Solution Consultant Cybersecurity bij Conscia: “Daarom blijft het noodzakelijk dat er naast preventie ook detectie & response maatregelen worden getroffen, om tevens zicht te krijgen op de aanvallen die niet door preventieve maatregelen wordt tegengehouden. Dit lijkt een klein percentage, maar kan nog steeds een hoop ellende veroorzaken.”

SOC: zelf bouwen of uitbesteden?

Een Security Operations Center (SOC) kan hierbij uitkomst bieden. De algehele opinie is vaak dat een SOC hoge kosten met zich meebrengt, veel tijd, kennis en energie van de medewerkers vraagt en dus alleen is weggelegd voor grote organisaties. Maar is dat ook zo?

Een simpele rekensom: uit onderzoek van Forrester blijkt dat organisaties gemiddeld 14 FTE aan security analisten nodig hebben om een eigen SOC-functie op te bouwen en te onderhouden (11 FTE voor organisaties met minder dan 5.000 medewerkers en 20 FTE voor organisaties met meer dan 5.000 medewerkers). Hierbij wordt er rekening mee gehouden dat mensen dag en nacht werken en ook weleens op vakantie gaan.

Kijkende naar de kosten van een externe Managed Detection & Response (MDR) dienst met 24/7 monitoring voor 1.000 medewerkers, komt dat uit op zo’n 6.000 euro per maand. Dat is dus nog minder dan 1 FTE. Als organisaties een eigen SOC inrichten, hebben zij – naast de juiste mensen – ook een passend technologisch platform nodig. Dit drijft de Total Costs of Ownership van een eigen SOC op tot driemaal de kosten van een uitbesteed SOC (met hoge CAPEX).

Security analisten aantrekken en behouden

Nu heeft het bouwen van een eigen SOC-functie ook zeker voordelen. Organisatie specifieke risico’s worden sneller en beter begrepen door eigen mensen. Daar staat tegenover dat het lastig is om goede mensen te vinden en vast te houden. Het is ook niet de minste taak die zij hebben. Forrester stelt dat 96% van de security analisten een persoonlijke impact ervaart na een incident. Denk aan lange werkdagen, stress mee naar huis nemen, slecht slapen. Allemaal het resultaat van de zogenaamde ‘Alert Fatigue’.

Met dit probleem hebben organisaties niet te kampen wanneer zij de SOC-functie uitbesteden, evenals de mogelijkheden voor opschaling. Uit het benchmarkonderzoek blijkt dat 15% van de respondenten de SOC-functie reeds heeft uitbesteed.  In 55% van de gevallen vindt de monitoring en analyse van security alerts plaats vanuit het eigen IT-team. Daarnaast geeft 6% van de organisaties aan een eigen SOC te hebben welke tijdens kantooruren (3%) of 24/7 (3%) monitort en analyseert. Bijna een kwart van de respondenten heeft de detectie van security alerts niet of op een andere manier geborgd.

Dreigingslandschap vraagt andere aanpak

Volgens Maarten Werff is er nog een goede reden om over te stappen op MDR: “De laatste tien jaar focusten we ons vooral op het netwerk, maar door het veranderende dreigingslandschap vanwege een toename in thuiswerken, cloud en encryptie, is de zichtbaarheid via de traditionele netwerk security maatregelen veel minder. Security vraagt tegenwoordig om een andere benadering. We moeten securitymaatregelen nemen voor dat wat we willen beschermen; onze informatie, onze gebruikers en onze endpoints.”

Momenteel geeft 41% van de respondenten aan maatregelen op het gebied van endpoint protection te hebben genomen. Het is geen nieuws als we zeggen dat medewerkers – met alle respect – vaak het grootste probleem zijn. In geval van aanwezigheid van abnormale bestandstoegang en versleutelde bestanden zegt 46% van de respondenten een waarschuwing te krijgen. Inmiddels ziet 21% welke bestanden zijn getroffen bij een cyberincident en kan deze herstellen.

Volgens Maarten Werff maken technologische ontwikkelingen zoals EDR, SOAR en XDR het mogelijk om de detectie-strategie te wijzigen. Kijkende naar deze oplossingen beschikken de respondenten in 15% van de gevallen over EDR en 3% over SOAR. “Door de identiteit en de endpoint centraal te zetten in de detectie- en respons-strategie, ontstaat materieel meer zichtbaarheid op alerting en kan er sneller worden ingegrepen. Deze aanpak is niet gericht op het zoeken naar ‘de speld in de hooiberg’ en is daarmee ook minder kostenintensief.”