Meerderheid organisaties niet voorbereid op geavanceerde cyberdreigingen
21 april 2015 -
Uit het ‘global breach readiness-onderzoek’ dat RSA heeft laten uitvoeren, blijkt dat de meerderheid van de organisaties wereldwijd niet goed voorbereid is op de geavanceerde cyberdreigingen van tegenwoordig. Ook doen zij vrijwel niets met beschikbare incident response best practises.
Dit onderzoek werd uitgevoerd in dertig landen en is naast onderzoek van de Security for Business Innovation Council (SBIC), een groep top security-leiders van de Global 1000, gelegd. RSA heeft de resultaten van beide onderzoeken gebundeld om kwantitatief inzicht te verschaffen in real world security best practises, om te laten zien waar de technologie tekort schiet en om gericht te kunnen adviseren over hoe deze kloof het beste gedicht kan worden.
Het onderzoek richt zich op maatregelen binnen vier belangrijke deelgebieden van Breach Readiness & Response: Incident Response, Content Intelligence, Analytic Intelligence en Threat Intelligence. De resultaten laten zien dat organisaties nog steeds moeite hebben met de adoptie van technologieën en best practices die hen in staat stellen cyberaanvallen, die uiteindelijk resulteren in breaches, te detecteren en te verstoren.
Incident Response
Incident Response is een activiteit die continu ontwikkeld en aangescherpt moet worden om het hoofd te blijven bieden aan het toenemend aantal cyberaanvallen. De onderzoeksresultaten laten zien dat, terwijl alle SBIC-leden beschikken over een vorm van incident response, 30 procent van de ondervraagde organisaties in het global breach readiness-onderzoek (GBR) geen formeel calamiteitenplan heeft. Bovendien geeft 57 procent van de organisaties die wel een plan hebben aan, dat ze deze plannen nooit update of herziet.
Content Intelligence
Met Content Intelligence wordt in dit onderzoek bedoeld: inzicht dat verkregen wordt door de inzet van tools, technologie en processen voor het identificeren en monitoren van belangrijke assets. Terwijl alle leden van het SBIC de mogelijkheid hebben data te verzamelen en alarm te slaan wanneer dat nodig is, heeft 55 procent van de ondervraagde organisaties dit niet, wat hen blind maakt voor veel bedreigingen. Het kunnen identificeren van false positives lijkt nog steeds een moeilijke taak. Slechts 50 procent van de GBR-respondenten blijkt in staat te zijn false positives te identificeren terwijl meer dan 90 procent van de SBIC-leden geautomatiseerde cyber security-technologie en -processen hebben om informatie te updaten om de kans op toekomstige incidenten te verkleinen.
De meeste organisaties erkennen dat het verzamelen van belangrijke log-gegevens met behulp van SIEM-systemen slechts een gedeeltelijk beeld schetst van hun omgeving. Uit het onderzoek blijkt dat 72 procent van de GBR-respondenten toegang heeft tot malware- of endpoint forensics, terwijl slechts 42 procent van de respondenten beschikt over de mogelijkheid voor meer verfijnde network forensics, waaronder packet capture en netflow-analyse.
Tactieken en motieven
Externe threat intelligence en het delen van informatie daarover is belangrijk voor organisaties om op de hoogte te blijven van de nieuwste tactieken en motieven van aanvallers. De onderzoeksresultaten laten zien dat slechts 43 procent van de GBR-respondenten een externe threat intelligence-bron gebruikt als aanvulling op zijn eigen kennis daarover. Hackers maken nog regelmatig gebruik van bekende, maar vaak niet gepatchte kwetsbaarheden. Ondanks dat iedereen dat wel weet, heeft slechts 40 procent van de ondervraagden in het onderzoek een actief vulnerability management-programma. Dit maakt het voor velen een nog grotere uitdaging om aanvallers voor te blijven.
Dave Martin, Chief Trust Officer, RSA, de security-divisie van EMC: "Organisaties hebben moeite zicht te krijgen op de operationele risico’s van hun organisatie. Organisaties worden steeds vaker digitaal, daarom moet informatiebeveiliging ook een belangrijk onderdeel gaan uitmaken van hun operationele risicostrategie. Ondanks dat veel organisaties het gevoel hebben dat ze hun beveiligingsrisico’s goed onder controle hebben, maakt het nog zelden onderdeel uit van de totale operationele risicostrategie. Hierdoor weten ze niet precies aan welke risico’s ze daadwerkelijk blootgesteld worden."