Op dit moment is slechts tussen de 1% en 2% van de informatiebeveiliging professionals wereldwijd werkloos. Doordat de vraag alleen maar toeneemt staan tarieven onder druk. De markt van vraag en aanbod heeft nu eenmaal als effect dat iets dat schaars is, alleen maar duurder wordt. Tegelijkertijd kunnen we constateren dat er slechts een handjevol goede informatiebeveiligers uit de schoolbanken komt.
Groot tekort aan security professionals
Onderzoek wijst uit dat er in 2022 zo’n 350.000 informatiebeveiliging professionals meer nodig zullen zijn, dan er beschikbaar zijn in de markt (Bron: https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWS.pdf). Dit terwijl bedrijven steeds meer beginnen te onderkennen dat het op orde hebben van informatiebeveiliging essentieel is om in de toekomst zaken te kunnen doen. Niet alleen om gegevens veilig te houden, maar ook om te kunnen voldoen aan wetgeving zoals de GDPR en de diverse informatiebeveiliging normen.
Wat mij opvalt, is dat er nu vooral gefocust wordt op hoe we meer informatiebeveiliging professionals kunnen opleiden om aan de toenemende vraag te voldoen. Niemand lijkt zich af te vragen of de huidige professionals hun tijd efficiënt besteden. Ik betwijfel dat ten zeerste: informatiebeveiliging professionals zijn nu veel tijd kwijt aan het beoordelen van false positives, het zoeken naar kwetsbaarheden, het oplossen van kwetsbaarheden en het bijhouden van kennis voor specifieke security ‘oplossingen’.
Fake news?
Systemen zoals Intrusion detection, vulnerability scanning en threath intelligence genereren een hoop data. Security specialisten worden geacht om al die data door te nemen, te beoordelen en vervolgacties in gang te zetten. Veel van die data bevat geen bruikbare informatie, laat staan dat een organisatie er echt veiliger van wordt. Daarbij wordt voorbij gegaan aan de feiten dat software nou eenmaal kwetsbaarheden bevat en voorlopig nog wel zal blijven bevatten. Mede daardoor wordt er onvoldoende aandacht geschonken aan oplossingen die wél zin hebben.
Tijd steken in echte informatie
Het wordt tijd dat informatiebeveiliging systemen echte informatie gaan opleveren, zodat mensen geen tijd meer hoeven te steken in false positives en andere zinloze meldingen. Wanneer je bijvoorbeeld meerdere vulnerability scanners inzet, dan kun je ervoor zorgen dat deze elkaars resultaten testen, toetsen en ontdubbelen. Zo voorkom je veel false positives en besteedt een security specialist zijn tijd zinvol.
Vraag je af of threath intelligence echt wat toevoegt: wanneer een honeypot in China aangevallen wordt, betekent dat niet automatisch dat deze aanval ook in jouw netwerk gaat plaatsvinden. Wat heeft het dan voor zin om daar tijd aan te besteden?
Systemen die baseline netwerkverkeer monitoring uitvoeren genereren, zeker in de eerste tijd na implementatie, een hoop false positives. Elke keer dat een netwerkgebruiker iets doet dat het systeem nog niet eerder geconstateerd heeft, wordt er een melding gegeven. Ondanks dat de gebruiker niets vreemd doet, moet een security engineer toch de melding beoordelen.
Geautomatiseerd pentesten
Ook het uitvoeren van penetratietesten zal in de komende jaren steeds minder intensief worden als daar de juiste middelen voor ingezet worden. Een computer zal voorlopig niet de intelligentie van een goede penetratietester evenaren. Het automatiseren van standaard handelingen die elke penetratietester kan echter wel. Daardoor zullen pentesten aanzienlijk verkort kunnen worden. Een security specialist houdt daardoor meer tijd over om relevante informatie te interpreteren en risicobeheersing toe te passen. Bijkomend voordeel is dat je door automatisering nog eens vaker kunt pentesten voor hetzelfde budget!
Blijf kritisch!
Organisaties zullen kritischer moeten worden op de ‘oplossingen’ die ze inkopen. Gaat het systeem ervoor zorgen dat de security specialisten effectiever en efficiënter kunnen werken? Wordt de organisatie er echt veiliger van? Is er niet al een systeem aangeschaft dat hetzelfde kan, maar nog niet goed is geconfigureerd?
Laten we ons dus alsjeblieft niet alleen focussen op meer mensen, maar ook goed kijken of we computers niet het vuile werk kunnen laten doen!