Een van mijn favoriete Einstein-citaten gaat als volgt: "Als ik een uur zou hebben om de wereld te redden, zou ik 55 minuten besteden aan het begrijpen van het probleem en 5 minuten aan de oplossing." Een van de problemen die ik zie in de beveiliging is dat IT'ers niet sceptisch genoeg zijn en niet de juiste vragen stellen.

Bepekte aanvallen

Dat is een thema dat steeds terugkomt en het zorgt ervoor dat we niet de juiste middelen inzetten of ons druk maken om de verkeerde meetgegevens gebruiken. Veel beveiligers wordt gevraagd om honderden datapunten te verzamelen om de risico's van de omgeving te kwantificeren. Een handvol controlemiddelen, bijvoorbeeld rondom patchen en social engineering, kwantificeren de meeste risico's in de meeste omgevingen. Maar zelfs voor deze middelen zitten veel informatiebeveiligers ernaast.

Zo denken ze bijvoorbeeld vaak dat waterdicht patchen vereist is, vooral als het om Windows-systemen gaat, om beveiligd te zijn. Maar in werkelijkheid is het zinvoller om browser-addons op werkstations en web- en databaseprogramma's op servers te patchen dan het OS of enkele honderden andere programma's om je zorgen over te maken. Er zijn wel aanvallen daarop, maar die zijn beperkt en behoren niet tot de belangrijkste risico's.

Verkeerde statistieken

Een ander voorbeeld gaat om malwarestatistieken. Of je nu wel of niet gelooft in het "AV is dood"-verhaal, je wordt waarschijnlijk voor gek versleten als je geen AV of een moderner Endpoint Detection and Response (EDR) draait. Antimalware is zeker niet perfect, maar het vangt een hoop van de troep op die op onze netwerken wordt afgevuurd, dus bijna iedereen gebruikt dit.

Om de effectiviteit ervan aan te tonen, wordt er gekeken naar de detectiegraad of het aantal malwareprogramma's dat is opgeruimd gedurende een bepaalde periode. Veel mensen denken dat als een product meer detecties toont, het nauwkeuriger is. Maar zonder te weten wat het exacte aantal van detecties van potentiële programma's zou moeten zijn versus wat daadwerkelijk is opgemerkt, weten we niet hoe accuraat de software eigenlijk is.

Hoe lang tussen infectie en detectie?

Maar het is ook de verkeerde vraag om te stellen. Net als een firewall die een verdacht pakketje niet doorlaat, is de taak van een antimalwareprogramma volbracht als de malware wordt opgemerkt en verwijderd. De betere vraag is hoe lang de malware aanwezig was op het systeem voordat het werd gedetecteerd en verwijderd. Het risico zit 'm in wat het programma heeft gedaan, of wat de gebruiker heeft gedaan in de tijd voordat het werd gedetecteerd en verwijderd.

Als het antmalwareprogramma malafide programma's detecteert bij de download, is het risico voor het apparaat of netwerk nihil. Dat is hetzelfde als een firewall dat een pakketje afkaatst voor het een apparaat kan bereiken. Het echte risico is in de tijd tussen infectie en detectie. Als dat enkele dagen is op een systeem waar kritieke operaties op worden uitgevoerd, is de risicoscore veel hoger. Maar het verschil tussen onmiddellijke detectie en verwijdering na enkele weken zie je niet terug in zulke statistieken.