Video: De Zwakste Schakel - Chazia is on a roll (November 2024)
De jaarlijkse conferentie over informatiebeveiliging van Black Hat is slechts een paar weken verwijderd. Beveiligingsprofessionals, leidinggevenden, leveranciers en hackers komen samen in Las Vegas om de nieuwste kwetsbaarheden, verdedigingen, beveiligingslekken en hacktechnieken te leren en te delen. Vooruitlopend op de conferentie heeft Black Hat de resultaten vrijgegeven van een onderzoek dat topbeveiligingsdeskundigen ondervroeg over hun zorgen en standpunten. Je kunt verschillende betekenissen in de resultaten lezen, maar mijn eigen afhaalrestaurant is dit: jij bent de zwakste schakel. (Ja, ik bedoel jou.)
De respondentenpool voor de enquête is gekozen op basis van expertise en praktijkervaring. Van de 460 beveiligingsprofessionals en managers was bijna tweederde afkomstig van bedrijven met ten minste 1.000 werknemers. Functietitels voor meer dan 60 procent van hen bevatten het woord 'beveiliging' en een kwart van de groep fungeert als beveiligingsmanager van hun organisatie. Deze mensen zitten in de loopgraven en werken onvermoeibaar om de veiligheid van hun bedrijven te handhaven.
Zorgen versus realiteit
Een groot deel van de enquête bracht respondenten met 15 beveiligingsbedreigingen en uitdagingen. Ze werden gevraagd om de top drie uitdagingen aan te gaan die hen het meest zorgen baren, de top drie die hun tijd in beslag nemen en de top drie die het grootste deel van het budget krijgen. Logischerwijs zou je denken dat deze nauw zouden volgen; in de praktijk is dat niet het geval.
De grootste zorg van allemaal, met 57 procent, was het verdedigen tegen gerichte aanvallen, geavanceerde pogingen om de beveiliging te doorbreken. Slechts 20 procent van de respondenten meldde echter dat consumenten zich vaak voorbereiden op en omgaan met dergelijke aanvallen.
De volgende meest zorgwekkende uitdaging was phishing en andere social engineering-aanvallen. Met 46 procent is het ver boven alle andere problemen in de enquête, behalve voor gerichte aanvallen. Het beste beveiligingssysteem ter wereld helpt niet als een frauduleus bericht een van uw werknemers overtuigt om het uit te schakelen, en opruimen na dergelijke problemen kan een echte beer zijn. Inderdaad, voor zover de beveiligingsprofessionals hun tijd doorbrengen, hebben twee van de top drie zorgen te maken met menselijke fouten. Sociaal netwerken is er een, maar de allerbeste time-sink is het omgaan met beveiligingsproblemen die worden geïntroduceerd door interne ontwikkelingsteams.
Andere zorgen, zoals surveillance door onze overheid of een andere, insideraanvallen en digitale aanvallen op IoT-apparaten (Internet of Things), verbruiken gewoon niet dezelfde hoeveelheid mentale of financiële middelen. De hoogste kosten voor de respondenten van deze enquête zijn in feite het per ongeluk lekken van gegevens door slordige gebruikers, nogmaals mensen. Ook behoren tot de top paar kostbare zorgen over menselijke fouten waardoor het bedrijf niet meer voldoet en repareren van problemen veroorzaakt door werknemers die zijn gevallen voor social engineering-aanvallen.
Zullen we slimmer worden?
Aan de respondenten werd ook gevraagd om dezelfde set van 15 uitdagingen aan te gaan en er drie te kiezen die over twee jaar de grootste zorgen zouden zijn. Interessant genoeg kwamen alle op mensen gebaseerde problemen veel lager op deze lijst. Beveiligingsproblemen die worden veroorzaakt door interne ontwikkeling, liggen met 7 procent onderaan. De volgende is fouten die het bedrijf met 8 procent uit compliance halen. En gegevensdiefstal door kwaadwillende insiders komt op 9 procent. Zorgen over social engineering blijven aanzienlijk, maar zijn lang niet in de top.
Binnen twee jaar denken de experts (36 procent van hen) dat IoT-aanvallen de grootste zorg zullen zijn, gevolgd door gerichte aanvallen (tot 33 procent van de huidige 57 procent). Geen van de top zes zorgen betreft menselijke fouten. Het lijkt erop dat we slimmer worden!
Jij bent de zwakste schakel
Veel van de rest van de uitgebreide enquête omvat beveiligingspersoneel, aanwerving en carrièregroei, onderwerpen die minder interessant zijn voor mensen die niet direct betrokken zijn bij de beveiligingsgemeenschap. U kunt het volledige rapport hier lezen.
Eén punt verdient absoluut aandacht. Gevraagd naar de zwakste schakel in de huidige IT-beveiliging, stellen respondenten webgebaseerde bedreigingen, beveiligingshulpmiddelen die niet met elkaar praten en eindpuntkwetsbaarheden helemaal onderaan de lijst, die elk slechts 3 procent van de stemmen krijgen. Wat staat er bovenaan? Meer dan een derde zei: "Eindgebruikers die het beveiligingsbeleid schenden en gemakkelijk voor de gek worden gehouden door social engineering-aanvallen."
Het rapport concludeert dat de meeste organisaties niet voldoende beveiligingspersoneel hebben en de tijd en het budget van het personeel niet richten op de belangrijkste problemen. Overweegt u een carrière in de beveiliging? Je toekomst ziet er rooskleurig uit! Maar u moet erachter komen hoe u kunt voorkomen dat werknemers per ongeluk of lui uw inspanningen ontsporen.
