Bijna de helft van de Nederlandse securityprofessionals is van plan om het komende jaar personeel aan te nemen voor een snellere en effectievere vulnerability response – het reageren op vulnerabilities. Maar uit onderzoek door het Ponemon Institute in opdracht van ServiceNow blijkt dat meer mensen aannemen niet per definitie zorgt voor betere security. Wanneer de achterliggende patching-processen niet worden aangepakt, wordt het securitybeleid niet verbeterd door simpelweg meer personeel aan te nemen.
Bedrijven worstelen met patchen omdat ze gebruikmaken van handmatige processen en niet kunnen prioriteren. Het onderzoek Today’s State of Vulnerability Response: Patch Work Demands Attention laat zien dat efficiënte processen voor vulnerability response belangrijk zijn omdat tijdig patchen de meest succesvolle tactiek is voor bedrijven om security breaches te voorkomen.
ServiceNow heeft bijna 3.000 securityprofessionals in negen landen, waaronder 340 uit Nederland, gevraagd naar de effectiviteit van de tools en processen die zij gebruiken om te reageren op vulnerabilities. Vulnerability response is het proces dat bedrijven gebruiken om fouten in de software die zouden kunnen dienen als aanvalsvectoren te prioriteren en te herstellen.
“Alleen het aannemen van meer talent lost het probleem waarmee securityteams tegenwoordig te maken hebben niet op. Dit noemen we de ‘patching paradox’,” aldus Michael Maas, Area Vice President Noord-Europa van ServiceNow. “Het automatiseren van routinematige processen en het prioriteren van vulnerabilities helpt bedrijven deze paradox te voorkomen. Op deze manier kunnen ze hun mensen inzetten voor bedrijfskritische werkzaamheden die de kans op een beveiligingslek aanzienlijk verminderen.”
Meer personeel voor vulnerability response
Cybersecurityteams besteden al een aanzienlijk deel van hun resources aan patching. Dit aantal zal alleen maar toenemen:
- Nederlandse bedrijven besteden gemiddeld 309 uur per week (vergeleken met 321 uur wereldwijd) – het equivalent van ongeveer acht fulltime medewerkers – aan het beheren van de processen rondom vulnerability response.
- Bijna de helft van de Nederlandse respondenten (49%) is voornemens om in het komende jaar meer personeel aan te nemen voor het patchen, vergeleken met 64% wereldwijd.
- De Nederlandse respondenten zijn van plan om gemiddeld 4 personen in te zetten voor vulnerability response – een stijging van 44% vergeleken met de huidige bezetting.
Teams worstelen met inefficiënte processen
Het aannemen van cybersecurity talent kan mogelijk een probleem worden. Volgens ISACA, een wereldwijde non-profit belangengroep voor de IT, loopt het wereldwijde tekort aan cybersecurityprofessionals op tot twee miljoen in 2019.
Het onderzoek van ServiceNow laat zien dat het aannemen van extra mensen het probleem rondom vulnerability response niet oplost voor Nederlandse bedrijven:
- 59% geeft aan meer tijd te besteden aan het in goede banen leiden van handmatige processen dan aan het oplossen van vulnerabilities.
- Nederlandse securityteams verloren gemiddeld 10 dagen aan het handmatig coördineren van patching-activiteiten door verschillende teams.
- 79% zegt dat ze het lastig vinden om te bepalen wat als eerste gepatcht moet worden (vergeleken met 65% wereldwijd).
- 65% geeft aan dat handmatige processen ervoor zorgen dat ze achter de feiten aan lopen als het gaat om het patchen van vulnerabilities.
- 62% is van mening dat hackers bedrijven voorbijstreven met technologieën als machine learning en kunstmatige intelligentie (vergeleken met 54% wereldwijd).
- Het aantal cyberaanvallen steeg afgelopen jaar met 16%, en de ernst nam met 22% toe.
“De meeste datalekken worden veroorzaakt doordat er niet gepatcht wordt en veel bedrijven hebben de basis van patching niet onder de knie,” aldus Maas. “Aanvallers beschikken over de nieuwste technologieën en securityteams blijven achterlopen als ze hun aanpak niet veranderen.”
Snel detecteren en patchen vermindert risico’s aanzienlijk
Organisaties die te maken hebben gehad met een lek worstelen met hun processen rondom vulnerability response in vergelijking met organisaties die niet te maken hebben gehad met een lek:
- 52% van de Nederlandse bedrijven was in de afgelopen twee jaar slachtoffer van een datalek, vergeleken met 48% wereldwijd.
- Een meerderheid van de bedrijven die te maken heeft gehad met een lek (68%) zegt dat ze weer slachtoffer zijn geworden van een vulnerability waar al wel een patch voor beschikbaar was (vergeleken met 57% wereldwijd).
- 33% van de Nederlandse securityprofessionals was op de hoogte van het feit dat ze kwetsbaar waren voordat ze slachtoffer werden van een lek.
- Nederlandse bedrijven die een lek hebben weten te voorkomen zijn volgens eigen zeggen 40% sneller met patchen (vergeleken met 41% wereldwijd) dan organisaties die wel slachtoffer zijn geworden.
- 39% van de bedrijven die te maken heeft gehad met een lek zegt niet te monitoren op vulnerabilities.
“Als je op zee water maakt met je schip, zijn extra handen welkom bij het hozen,” verklaart Maas. “Het onderzoek toont aan dat veel bedrijven in zo’n geval alleen op zoek zijn naar extra emmers in plaats van onderzoek te doen naar de grootte en de ernst van het lek.”