CIO’s verspillen miljoenen aan ineffectieve cybersecurity
6 april 2016 -
Venafi heeft een door Vanson Bourne uitgevoerd onderzoek gepubliceerd over de businessimpact van falende IT-security. Het merendeel van de ondervraagde 300 Europese CIO’s vindt dat de cybersecurity-fundering, gebaseerd op encryptiesleutels en digitale certificaten, onvoldoende wordt beschermd.
Met als risico dat organisaties nieuwe type aanvallen niet zien aankomen en daardoor de business niet kunnen beschermen.
Miljoenen verspillen
De ondervraagde Europese CIO’s erkennen dat zij miljoenen verspillen aan ineffectieve gelaagde securityapparatuur, omdat deze blindelings sleutels en certificaten vertrouwen. Dus onvoldoende in staat zijn onderscheidt te maken tussen welke daarvan wel en niet te vertrouwen zijn. Terwijl Gartner voorspelt dat 50 procent van alle infrastructuuraanvallen de komende jaren via SSL/TLS worden uitgevoerd. Daardoor werken populaire securityoplossingen zoals FireEye maar de helft van de tijd. De CIO’s beseffen dat die ineffectiviteit strategische plannen in gevaar brengt om snelle DevOps-gebaseerde IT-organisaties te bouwen.
Conclusies
De belangrijkste onderzoekconclusies zijn:
87 procent van de Europese CIO’s zijn al slachtoffer, of verwachten dat te worden, van een aanval verborgen in versleuteld verkeer
82 procent van de Europese CIO’s vindt dat hun beveiliging minder effectief is omdat zij geen versleuteld netwerkverkeer kunnen inspecteren
80 procent van de Europese CIO’s denkt dat gestolen encryptiesleutels en digitale certificaten de volgende grote markt voor hackers wordt
73 procent van de Europese CIO’s is van mening dat hun strategie om IT en innovatie te versnellen bedreigt wordt door nieuwe kwetsbaarheden die daaraan gerelateerd zijn
Organisaties vertrouwen op tienduizenden sleutels en certificaten
Organisaties vertrouwen op tienduizenden sleutels en certificaten, als basis voor het vertrouwen van hun websites, virtuele machines, mobiele apparatuur en cloud-servers. Deze technologie is geïmplementeerd voor het oorspronkelijke securityprobleem van Internet, namelijk weten wat te vertrouwen is. Variërend van online bankieren, veilig communiceren en mobiele applicaties, tot en met het ‘Internet of Things’. Elk IP-apparaat gebruikt sleutels en certificaten om een beveiligde en vertrouwde verbinding te creëren. Helaas worden onbeschermde sleutels en certificaten steeds vaker misbruikt door cybercriminelen. Om zich daarmee te verbergen in versleuteld verkeer voor het imiteren van websites, installeren van malware, privileges te verkrijgen en informatie te stelen.
Ineffectieve securityapparatuur
Veel oplossingen voor ‘endpoint’ en ‘advanced threath’ protectie, nieuwe generatie firewalls, netwerkverkeeranalyses, IDS (intrusion detection system) en DLP (data loss prevention), bieden onvoldoende bescherming. Omdat ze niet kunnen onderscheiden welke sleutels en certificaten te vertrouwen zijn, oftewel niet in staat zijn om het merendeel van al het versleuteld netwerkverkeer te inspecteren. Met als gevolg dat er gevaarlijke gaten in de bedrijfsbeveiliging ontstaan. Criminelen maken graag gebruik van die blinde vlekken, door zich te verbergen in versleuteld verkeer en securitycontroles te omzeilen.
Cybersecurityfundering
"Sleutels en certificaten vormen de fundering van cybersecurity en authenticatiesystemen, om te laten zien dat software en apparatuur werkt zoals het hoort,"egt Kevin Bocek, Vice President Security Strategy & Threath Intelligence bij Venafi. "Als die fundering instort zijn de gevolgen groot. Met een nagemaakte of gestolen sleutel en certificaat kunnen aanvallers zich namelijk voordoen als een vertrouwde gebruiker, voor het observeren van target websites, infrastructuren, clouds en mobiele apparatuur. Maar ook communicatie afluisteren waarvan men denkt dat deze veilig is."
Schijnveiligheid
"De systemen die we hebben geïnstalleerd voor het creëren en verifiëren van online vertrouwen keren zich in toenemende mate tegen ons. Nog erger, leveranciers die zeggen dat ze ons kunnen beschermen, zijn daar onvoldoende toe in staat. Veel firewalls, IDS, DLP en andere oplossingen zijn waardeloos omdat ze een gevoel van schijnveiligheid creëren. Dit onderzoek toont aan dat Europese CIO’s beseffen dat ze miljoenen verspillen, omdat securitysystemen als FireEye niet eens de helft van alle aanvallen kunnen tegenhouden. Gartner voorspelt dat in 2017 meer dan de helft van alle aanvallen op organisaties, versleuteld verkeer gebruiken om controles te omzeilen. Wie zich realiseert dat de zakelijke netwerksecuritymarkt wereldwijd zo’n 74 miljard Euro bedraagt, beseft dat er veel geld wordt verspild aan oplossingen die maar een deel van de tijd effectief zijn."
Afnemend vertrouwen in cybersecurity
"Het afnemend vertrouwen in cybersecurity is zelfs te zien op de financiële markt. In dezelfde periode dat 87 procent van de ondervraagde Europese CIO’s toegeeft miljoenen te verspillen aan ineffectieve oplossingen is namelijk het HACK cybersecurity fonds met 25 procent gedaald (vanaf november 2015). Terwijl sindsdien de S&P500-index in zijn totaliteit slechts tienprocent is gezakt."
Ponemon onderzoek
De risico’s gerelateerd aan onbeheerde en onbeschermde sleutels en certificaten worden groter naarmate het aantal toeneemt. Uit onderzoek van het Ponemon Institute blijkt dat organisaties gemiddeld ruim 23.000 sleutels en certificaten gebruiken. Terwijl 54 procent van de ondervraagde securityprofessionals toegeeft niet te weten waar deze allemaal worden gebruikt en beheerd en wie er eigenaar van is. CIO’s maken zich daarom zorgen dat het toenemend gebruik van sleutels en certificaten voor nieuwe IT-toepassingen het probleem alleen maar vergroot.
Encryption Everywhere
In het licht van ‘Encryption Everywhere’ plannen, aangejaagd door de onthullingen van Edward Snowden, sprak 93 procent van de Europese CIO’s hun bezorgdheid uit over het kunnen beschermen van alle encryptiesleutels en certificaten. Als de snelheid van IT-veranderingen verder toeneemt, door het creëren en beschikbaar stellen van flexibel schaalbare services, groeit het aantal sleutels en certificaten exponentieel. Gevraagd naar hun mening over het feit of de DevOps-trend het lastiger maakt om te onderscheiden wat te vertrouwen is, antwoordde 73 procent van de CIO’s met ja.
Tweeledige IT-infrastructuur
"Gartner voorspelt dat in 2017 driekwart van alle organisaties transformeert naar een tweeledige IT-infrastructuur," vervolgt Bocek. "Bestaande uit een stabiel gedeelte voor bestaande toepassingen en een snel veranderend deel voor de IT in innovatieve en transformerende businessprojecten. Toch kan het gebruik van agile-methoden en DevOps tot ongewenst hoge risico’s en chaos leiden. In dat soort nieuwe omgevingen komt security vaak in het gedrang en kan het bijzonder moeilijk worden om te monitoren wat nog wel en niet te vertrouwen is."
Immuunsysteem voor het Internet
"Om sleutels en certificaten beter te beschermen, is een immuunsysteem voor het Internet nodig,"concludeert Bocek. "Net zoals bij het menselijk lichaam laat zo’n systeem direct zien welke sleutels en certificaten wel en niet te vertrouwen zijn. Pas als dat volledig duidelijk is, neemt ook de waarde van andere investeringen in securityoplossingen toe."