Onlangs bracht TNO een rapport uit met de titel ‘Security at machine speed’. In het rapport wordt geconcludeerd dat het informatiebeveiliging landschap snel verandert en dat organisaties grote moeite hebben om bij te blijven. Het is voor de meeste organisaties simpelweg niet mogelijk om het tempo vol te houden en in te spelen op alle nieuwe vormen van dreigingen en aanvalsmethoden. Dit komt mede doordat ervaren en gekwalificeerde securityspecialisten schaars zijn. De kloof tussen beschikbare expertise en de vraag vanuit de markt zal de komende jaren alleen maar toenemen. Voor TNO is duidelijk dat technologie ervoor kan zorgen dat de trend doorbroken wordt, iets waar we het binnen Guardian360 volledig mee eens zijn!

Security engineers blijven schaars

Momenteel zijn informatiebeveiliging bedrijven op zoek naar starters met 20 jaar ervaring. Een beetje flauw misschien, maar de senior securityspecialisten die nu tot de top van onze branche behoren hebben nu eenmaal 20 jaar ervaring. Zij begonnen met informatiebeveiliging toen het nog niet hip was en managers er geen business case voor konden verzinnen. Intrinsiek gemotiveerd om de digitale wereld een veiligere plek te maken en/of gedreven door de drang naar kennis hebben zij zich informatiebeveiliging eigen gemaakt.

Hoewel informatiebeveiliging de afgelopen jaren meer aandacht gekregen heeft en er daardoor meer informatiebeveiligers beschikbaar komen, kun je bepaalde ervaring simpelweg niet leren. Je kunt leren over netwerkarchitecturen, over webontwikkeling en hoe je bepaalde tools gebruikt. Maar echte ervaring komt met de jaren: door een support-rol vervuld te hebben, netwerkengineer geweest te zijn en/of webapplicatie ontwikkeling gedaan te hebben. In dat werk loop je aan tegen allerlei uitdagingen, leer je hoe een engineer werkt en wat de beperkingen van systemen zijn. Zodat je weet wat je moet oplossen.

De praktijk zal zijn dat we nog zeker tot 2030 een tekort zullen hebben aan ervaren en skilled security engineers.

Repeterend werk kun je automatiseren

Daar staat tegenover dat informatiebeveiliging steeds meer commodity wordt. Was het jaren geleden hoog specialistisch werk, tegenwoordig zijn er veel meer tools, frameworks en informatiebronnen beschikbaar die het werk makkelijker maken. Een paar jaar geleden moest je nog handmatige securityscans in netwerken uitvoeren, tegenwoordig kan dat geautomatiseerd, bijvoorbeeld met het Guardian360 platform. Ook het uitvoeren van phishingcampagnes en detecteren van afwijkingen van normeringen is steeds verder geautomatiseerd.

Het voordeel van deze automatisering is dat security engineers minder repeterend werk hoeven te doen en dat ze dus effectiever ingezet kunnen worden. Het Guardian360-team streeft ernaar om zoveel mogelijk manuele handelingen weg te automatiseren, want er is simpelweg nog te veel handwerk.

Machine learning en artificial intelligence

In het rapport van TNO wordt gerefereerd aan de inzet van machine learning en artificial intelligence. Hoewel dit veelbelovende technieken zijn, is het in de praktijk niet zo eenvoudig die goed in te zetten. Omdat dreigingen voor organisaties verschillend zijn, de risk appetite voor iedereen anders is en de opvolging ook steeds anders is, is het lastig om een grote gemene deler te vinden.

Wanneer machine learning wordt ingezet zul je nog een behoorlijke tijd mensen in moeten zetten voor het supervised deel. Machine learning is simpelweg nog niet goed genoeg om er alleen een bak data uit verschillende bronnen in te kieperen, even te wachten en vervolgens perfecte resultaten terug te krijgen. Correlatie en causale verbanden moeten, zeker in het begin, nog door een mens worden beoordeeld. Het risico dat je bepaalde zaken mist blijft daarnaast ook aanwezig, dus je zult ook regelmatig terug moeten gaan naar de brondata. Voor wat betreft artificial intelligence staan we naar mijn mening absoluut nog aan het begin, of we daar op korte termijn profijt van zullen hebben is de vraag.

Adversary simulation

Een van de zaken waar Guardian360 de afgelopen periode aan gewerkt heeft is adversary simulation. Met deze dienst willen we handmatige pentesten en red teaming activiteiten gaan automatiseren. We pretenderen niet dat we handmatige handelingen daar op korte termijn helemaal mee kunnen vervangen, maar ook bij deze activiteiten heb je te maken met repeterend werk. Veel aanvallen verlopen op dezelfde manier, inmiddels is de werkwijze van bekende criminele groeperingen in kaart gebracht en weten we dus hoe ze te werk gaan. Momenteel testen we delen van deze dienst in onze eigen afgeschermde omgeving, het is nog niet duidelijk wanneer we deze dienst gaan aanbieden. Wel hebben we er al over gesproken tijdens onze meetup op 20 juni 2019. Houd ons YouTube kanaal (https://www.youtube.com/channel/UCsvLKjJrvjjU77Z_A-N6mOA) in de gaten, de presentaties zijn namelijk opgenomen en verschijnen daar online.