Cyberaanvallen zijn (helaas) een constante factor geworden in onze digitale wereld. Iedere dag lezen we wel berichten over organisaties die digitaal zijn aangevallen. Hier wordt ook vaak bij vermeld wie de vermoedelijke daders van deze cyberaanvallen zijn, hoewel dat niet altijd kan worden achterhaald.
Persoonlijk interesseert het me niet wie er achter de cyberaanval zit. Ik ben vooral geïnteresseerd hoe het heeft kunnen plaatsvinden. Want juist daar kunnen we iets van leren, zodat dergelijke aanvallen in de toekomst kunnen worden voorkomen. Het zou veel beter zijn als security vendors daar meer aandacht aan besteden, in plaats van het constant promoten van hun eigen point-oplossingen.
Scoren
Helaas kom ik dit veel te weinig tegen, en zie ik security vendors vooral aandacht vestigen op de effectiviteit van hun point-producten en hoe goed ze scoren in de Gartner-grafieken. Het zou toch veel beter zijn om te onderzoeken hoe een cyberaanval heeft kunnen plaatsvinden? Hoe heeft de hacker toegang verkregen tot de infrastructuur van de gehackte organisatie? Wat waren de security-tools en processen van het ‘slachtoffer’ die dit hadden moeten voorkomen? En als belangrijkste vraag: waarom hebben deze securitymaatregelen niet goed gefunctioneerd?
Lessons learned
Dat zijn de echte ‘lessons learned’ bij een cyberaanval, want we kunnen veel meer leren van wat er fout ging dan van wat er goed is gegaan. En ja, dat is misschien minder leuk voor de security vendors die de gehackte organisatie zouden moeten beschermen, maar dan wordt wel het kaf van het koren gescheiden binnen de securitybranche. Want met vergelijkingen van security point-producten in Gartner-grafieken gaan we de strijd niet winnen.
Het is tijd dat de echte geleerde lessen van cyberaanvallen worden gedeeld. Dan gaan wij als securitybranche WEL het verschil maken tegenover de boze buitenwereld. Daar geloof ik heilig in!
(dit artikel verscheen in ITchannelPRO magazine 2023-05)