‘Extra personeel geen garantie voor betere security’

23 april 2018

Bijna de helft van de Neder­landse secu­ri­ty­pro­fes­si­o­nals is van plan om het komende jaar personeel aan te nemen voor een snellere en effec­tie­vere vulne­ra­bi­lity response – het reageren op vulne­ra­bi­li­ties. Maar uit onderzoek door het Ponemon Institute in opdracht van Servi­ceNow blijkt dat meer mensen aannemen niet per definitie zorgt voor betere security. Wanneer de achter­lig­gende patching-processen niet worden aangepakt, wordt het secu­ri­ty­be­leid niet verbeterd door simpelweg meer personeel aan te nemen.

Bedrijven worstelen met patchen omdat ze gebruik­maken van hand­ma­tige processen en niet kunnen prio­ri­teren. Het onderzoek Today’s State of Vulne­ra­bi­lity Response: Patch Work Demands Attention laat zien dat effi­ci­ënte processen voor vulne­ra­bi­lity response belang­rijk zijn omdat tijdig patchen de meest succes­volle tactiek is voor bedrijven om security breaches te voorkomen.

Servi­ceNow heeft bijna 3.000 secu­ri­ty­pro­fes­si­o­nals in negen landen, waaronder 340 uit Nederland, gevraagd naar de effec­ti­vi­teit van de tools en processen die zij gebruiken om te reageren op vulne­ra­bi­li­ties. Vulne­ra­bi­lity response is het proces dat bedrijven gebruiken om fouten in de software die zouden kunnen dienen als aanvals­vec­toren te prio­ri­teren en te herstellen.

“Alleen het aannemen van meer talent lost het probleem waarmee secu­ri­ty­teams tegen­woordig te maken hebben niet op. Dit noemen we de ‘patching paradox’,” aldus Michael Maas, Area Vice President Noord-Europa van Servi­ceNow. “Het auto­ma­ti­seren van routi­ne­ma­tige processen en het prio­ri­teren van vulne­ra­bi­li­ties helpt bedrijven deze paradox te voorkomen. Op deze manier kunnen ze hun mensen inzetten voor bedrijfs­kri­ti­sche werk­zaam­heden die de kans op een bevei­li­gingslek aanzien­lijk verminderen.”

Meer personeel voor vulnerability response

Cyber­se­cu­ri­ty­teams besteden al een aanzien­lijk deel van hun resources aan patching. Dit aantal zal alleen maar toenemen:

  • Neder­landse bedrijven besteden gemiddeld 309 uur per week (verge­leken met 321 uur wereld­wijd) – het equi­va­lent van ongeveer acht fulltime mede­wer­kers – aan het beheren van de processen rondom vulne­ra­bi­lity response.
  • Bijna de helft van de Neder­landse respon­denten (49%) is voor­ne­mens om in het komende jaar meer personeel aan te nemen voor het patchen, verge­leken met 64% wereldwijd.
  • De Neder­landse respon­denten zijn van plan om gemiddeld 4 personen in te zetten voor vulne­ra­bi­lity response – een stijging van 44% verge­leken met de huidige bezetting.

Teams worstelen met inefficiënte processen

Het aannemen van cyber­se­cu­rity talent kan mogelijk een probleem worden. Volgens ISACA, een wereld­wijde non-profit belan­gen­groep voor de IT, loopt het wereld­wijde tekort aan cyber­se­cu­ri­ty­pro­fes­si­o­nals op tot twee miljoen in 2019.

Het onderzoek van Servi­ceNow laat zien dat het aannemen van extra mensen het probleem rondom vulne­ra­bi­lity response niet oplost voor Neder­landse bedrijven:

  • 59% geeft aan meer tijd te besteden aan het in goede banen leiden van hand­ma­tige processen dan aan het oplossen van vulnerabilities.
  • Neder­landse secu­ri­ty­teams verloren gemiddeld 10 dagen aan het handmatig coör­di­neren van patching-acti­vi­teiten door verschil­lende teams.
  • 79% zegt dat ze het lastig vinden om te bepalen wat als eerste gepatcht moet worden (verge­leken met 65% wereldwijd).
  • 65% geeft aan dat hand­ma­tige processen ervoor zorgen dat ze achter de feiten aan lopen als het gaat om het patchen van vulnerabilities.
  • 62% is van mening dat hackers bedrijven voor­bij­streven met tech­no­lo­gieën als machine learning en kunst­ma­tige intel­li­gentie (verge­leken met 54% wereldwijd).
  • Het aantal cyber­aan­vallen steeg afgelopen jaar met 16%, en de ernst nam met 22% toe.

“De meeste data­lekken worden veroor­zaakt doordat er niet gepatcht wordt en veel bedrijven hebben de basis van patching niet onder de knie,” aldus Maas. “Aanval­lers beschikken over de nieuwste tech­no­lo­gieën en secu­ri­ty­teams blijven achter­lopen als ze hun aanpak niet veranderen.”

Snel detecteren en patchen vermindert risico’s aanzienlijk

Orga­ni­sa­ties die te maken hebben gehad met een lek worstelen met hun processen rondom vulne­ra­bi­lity response in verge­lij­king met orga­ni­sa­ties die niet te maken hebben gehad met een lek:

  • 52% van de Neder­landse bedrijven was in de afgelopen twee jaar slacht­offer van een datalek, verge­leken met 48% wereldwijd.
  • Een meer­der­heid van de bedrijven die te maken heeft gehad met een lek (68%) zegt dat ze weer slacht­offer zijn geworden van een vulne­ra­bi­lity waar al wel een patch voor beschik­baar was (verge­leken met 57% wereldwijd).
  • 33% van de Neder­landse secu­ri­ty­pro­fes­si­o­nals was op de hoogte van het feit dat ze kwetsbaar waren voordat ze slacht­offer werden van een lek.
  • Neder­landse bedrijven die een lek hebben weten te voorkomen zijn volgens eigen zeggen 40% sneller met patchen (verge­leken met 41% wereld­wijd) dan orga­ni­sa­ties die wel slacht­offer zijn geworden.
  • 39% van de bedrijven die te maken heeft gehad met een lek zegt niet te monitoren op vulnerabilities.

“Als je op zee water maakt met je schip, zijn extra handen welkom bij het hozen,” verklaart Maas. “Het onderzoek toont aan dat veel bedrijven in zo’n geval alleen op zoek zijn naar extra emmers in plaats van onderzoek te doen naar de grootte en de ernst van het lek.”

Robbert Hoeffnagel

Editor @ Belgium Cloud

onderzoek ServiceNow

Pin It on Pinterest

Share This