Belangrijkste afhaalrestaurants
- Cybersecurity beschermt systemen, netwerken en gegevens tegen aanvallen, schade en ongeoorloofde toegang
- De discipline omvat zeven domeinen: netwerk-, endpoint-, applicatie-, cloud-, identiteits-, data- en AI-beveiliging
- Vertrouwelijkheid, integriteit en beschikbaarheid zijn de drie eigenschappen die elke beveiligingscontrole moet beschermen
- De meeste succesvolle aanvallen maken gebruik van fundamentele fouten: niet-gepatchte systemen, hergebruikte wachtwoorden en ongetraind personeel
- IBM's 2024 Cost of a Data Breach Report schat de wereldwijde gemiddelde inbreukkosten op $ 4,88 miljoen
- NIS2 en GDPR leggen wettelijke verplichtingen op aan de manier waarop Europese organisaties gegevens beschermen en incidenten melden
Wat cyberbeveiliging omvat
Cybersecurity is niet één discipline.Organisaties worden geconfronteerd met bedreigingen op meerdere lagen van hun technologie, die elk verschillende controles vereisen.Zeven domeinen bestrijken de volledige reikwijdte.
1
Netwerkbeveiliging
Bescherming van de infrastructuur die gegevens tussen systemen en naar internet transporteert.Firewalls, inbraakdetectiesystemen, VPN's en netwerksegmentatie zitten hier.Netwerkbeveiliging bepaalt welk verkeer uw omgeving binnenkomt en verlaat en beperkt wat een aanvaller kan bereiken als hij binnenkomt.
2
Eindpuntbeveiliging
Bescherming van individuele apparaten: laptops, servers, mobiele telefoons en werkstations.Endpoint Detection and Response (EDR)-tools controleren op kwaadwillige activiteiten op apparaatniveau.Elk beheerd apparaat is een potentieel toegangspunt, waardoor eindpuntbeveiliging een fundamentele laag voor elk programma wordt.
3
Beveiliging van applicaties
Het beveiligen van de software die uw organisatie bouwt en gebruikt.Penetratietesten, veilige codebeoordeling, firewalls voor webapplicaties en afhankelijkheidsscans richten zich op deze laag.Veel van de belangrijkste inbreuken van de afgelopen jaren zijn ontstaan door kwetsbaarheden in applicaties die publiekelijk bekend waren en niet waren verholpen.
4
Cloud-beveiliging
Het beveiligen van werklasten, gegevens en identiteiten in cloudomgevingen.Verkeerd geconfigureerde cloudopslagbuckets, serviceaccounts met te veel machtigingen en ontoereikende logboekregistratie behoren tot de meest voorkomende bronnen van blootstelling aan de cloud.Cloudbeveiliging vereist dat zowel de controles van de provider als uw eigen configuratiebeslissingen correct zijn.
5
Identiteits- en toegangsbeheer
Bepalen wie en wat toegang heeft tot welke systemen en gegevens.Dit omvat zowel menselijke gebruikersaccounts als
machine-identiteiten: de API-sleutels, serviceaccounts en certificaten die systemen gebruiken om met elkaar te authenticeren.
Authenticatie met meerdere factoren, single sign-on, privileged access management en op rollen gebaseerde toegangscontrole zijn de belangrijkste tools.Bij de meeste inbreuken komen gecompromitteerde inloggegevens voor, waardoor identiteitsbeheer een van de controlegebieden met de hoogste invloed is.
6
Gegevensbeveiliging
Bescherming van gevoelige gegevens in rust en onderweg.Encryptie, tools ter voorkoming van gegevensverlies en toegangscontrole bepalen wie uw meest gevoelige informatie kan lezen, kopiëren of verzenden.Gegevensbeveiliging is ook waar wettelijke verplichtingen zoals AVG en NIS2 de meest directe technische vereisten stellen.
7
AI-beveiliging
AI-systemen en -applicaties beschermen tegen aanvallen en AI gebruiken om de verdediging te versterken.Aanvallers gebruiken snelle injectie, gegevensvergiftiging en modelextractie om AI-systemen te manipuleren of te stelen.Volgens IBM-onderzoek is momenteel slechts 24% van de generatieve AI-initiatieven beveiligd.AI-beveiliging richt zich zowel op de bescherming van AI-tools als op het gebruik van AI-gestuurde analyses om bedreigingen sneller te detecteren en erop te reageren.
Vertrouwelijkheid, integriteit en beschikbaarheid
Drie eigenschappen liggen ten grondslag aan elke beveiligingsbeslissing.Beveiligingsprofessionals noemen dit de CIA-triade.Elke controle die u implementeert, beschermt ten minste één van deze drie eigenschappen, en het begrijpen van welke eigenschap verduidelijkt de betrokken afwegingen.
C
Vertrouwelijkheid
Informatie is alleen toegankelijk voor degenen die geautoriseerd zijn om deze te zien.Encryptie, toegangscontroles en beleid met de minste rechten beschermen de vertrouwelijkheid.Een inbreuk op de vertrouwelijkheid betekent dat gegevens iemand bereiken die deze niet mag hebben.
I
Integriteit
De gegevens zijn accuraat en er is niet mee geknoeid.Hashing, digitale handtekeningen en auditlogboeken detecteren of voorkomen ongeoorloofde wijzigingen.Een integriteitsschending betekent dat iemand zonder toestemming gegevens heeft gewijzigd.
A
Beschikbaarheid
Systemen en gegevens zijn toegankelijk wanneer het bedrijf ze nodig heeft.Back-ups, redundantie, patching en DDoS-bescherming ondersteunen de beschikbaarheid.Een inbreuk op de beschikbaarheid betekent dat uw systemen of gegevens niet toegankelijk zijn op het moment dat u ze nodig heeft.
De meest voorkomende bedreigingen
$ 4,88 miljoen
mondiale gemiddelde kosten van een datalek in 2024 (IBM)
68%
bij de inbreuken is sprake van een menselijk element (Verizon DBIR 2024)
25%+
van de inbreukincidenten is sprake van ransomware (Verizon DBIR 2024)
1
Phishing en social engineering
Aanvallers manipuleren het personeel om inloggegevens vrij te geven, op kwaadaardige links te klikken of frauduleuze transacties te autoriseren.Phishing is de meest voorkomende vector voor initiële toegang omdat het zich rechtstreeks op mensen richt en technische controles omzeilt.Zakelijke e-mailcompromis, spearphishing en smishing (sms-phishing) zijn allemaal variaties op dezelfde aanpak.
2
Ransomware
Malware die bestanden versleutelt en betaling vraagt voor de decoderingssleutel.Het aantal ransomware-incidenten is sinds 2023 afgenomen, deels omdat steeds meer organisaties weigeren te betalen en de rechtshandhaving verschillende grote groepen heeft uitgeschakeld.Herstel is hoe dan ook duur: het herstellen van systemen, het informeren van klanten en het beheersen van de daaruit voortvloeiende verstoring kost vaak meer dan het losgeld.Schone, offline back-ups met getest herstel zijn de meest effectieve verdediging.
3
Credential-aanvallen
Met brute kracht, het opvullen van inloggegevens en het verspreiden van wachtwoorden wordt misbruik gemaakt van zwakke of hergebruikte wachtwoorden.Aanvallers kopen gegevensdumps van eerdere inbreuken en proberen deze op grote schaal uit tegen bedrijfsinlogportals.
Authenticatie met meerdere factoren stopt het merendeel van de geautomatiseerde credential-aanvallen.
4
Aanvallen op de toeleveringsketen
Het compromitteren van een vertrouwde leverancier, softwarepakket of managed service provider om downstream-klanten te bereiken.Eén enkel compromis in veelgebruikte software kan duizenden organisaties tegelijk treffen.Vendor risk management en software bill of materials (SBOM)-praktijken verminderen de blootstelling hier.
5
Bedreigingen van binnenuit
Medewerkers, opdrachtnemers en voormalig personeel met legitieme toegang kunnen door nalatigheid of opzet schade veroorzaken.Bedreigingen van binnenuit zijn moeilijker te detecteren dan aanvallen van buitenaf, omdat de toegang geautoriseerd is.Toegang met de minste privileges, off-boarding-procedures en analyse van gebruikersgedrag zijn de belangrijkste controlemechanismen.
6
DDoS-aanvallen
Aanvallers overspoelen systemen of netwerken met verkeer, zodat deze niet meer beschikbaar zijn voor legitieme gebruikers.DDoS-aanvallen kunnen de bedrijfsvoering verstoren zonder dat daarvoor een inbreuk op de systemen zelf nodig is.Cloudgebaseerde DDoS-beperkingsdiensten absorberen volumetrische aanvallen voordat ze uw infrastructuur bereiken.
7
AI-aangedreven aanvallen
Aanvallers gebruiken generatieve AI om overtuigende phishing-e-mails, deepfake-audio en verzonnen bedrijfsdocumenten op grote schaal te produceren en om sneller dan voorheen kwaadaardige code te schrijven.Ze richten zich ook rechtstreeks op AI-systemen: snelle injectie manipuleert AI-tools om gevoelige gegevens vrij te geven of onbedoelde acties te ondernemen.Naarmate de adoptie van AI groeit, groeit ook het aanvalsoppervlak dat het creëert.
De zakelijke en regelgevende casus
Bij de meeste organisaties zijn er twee factoren die de investeringen in cyberbeveiliging aandrijven: de directe kosten van incidenten en de wettelijke verplichting om deze te voorkomen.
IBM's 2024 Cost of a Data Breach Report schat de wereldwijde gemiddelde inbreukkosten op $ 4,88 miljoen, een stijging van 10% ten opzichte van het voorgaande jaar en het hoogste geregistreerde cijfer.Dat omvat detectie, inperking, juridische kosten, klantmelding en verloren omzet.Organisaties die losgeld betalen, tellen daar het losgeld bij op.Voor kleinere organisaties zijn de kosten per record vaak hoger dan het gemiddelde, omdat vaste kosten zoals juridische kosten en kennisgevingskosten minder efficiënt worden geschaald.Wereldwijd kost cybercriminaliteit de wereldeconomie naar schatting jaarlijks 10,5 biljoen dollar.
Het tekort aan beveiligingsvaardigheden vergroot het risico.Uit een onderzoek van het World Economic Forum blijkt dat de kloof tussen beschikbare cyberbeveiligingsmedewerkers en openstaande vacatures in 2030 85 miljoen zou kunnen bedragen. IBM's gegevens over inbreuken laten zien dat organisaties met een aanzienlijk tekort aan beveiligingsvaardigheden te maken krijgen met gemiddelde inbreukkosten van $ 5,74 miljoen, vergeleken met $ 3,98 miljoen voor degenen met tekorten op een lager niveau.De kloof tussen goed bemande en onderbemande beveiligingsprogramma’s is nu meetbaar in dollars per incident.
Patching, MFA en back-ups stoppen de meeste aanvallen.Organisaties die deze systemen hebben geïmplementeerd en goed worden onderhouden, hebben minder incidenten dan organisaties met geavanceerdere tools en minder discipline rond de basisprincipes.
Het regelgevingsbeeld in Europa is duidelijk.De AVG vereist dat organisaties die persoonlijke gegevens van EU-inwoners verwerken, passende beveiligingsmaatregelen implementeren en inbreuken binnen 72 uur na ontdekking melden aan toezichthoudende autoriteiten.De boetes bedragen 4% van de wereldwijde jaaromzet. NIS2, dat de EU-lidstaten tegen oktober 2024 in nationale wetgeving hebben omgezet, breidt de verplichte cyberbeveiligingscontroles en vereisten voor het melden van incidenten uit op het gebied van energie, transport, gezondheidszorg, het bankwezen, water, digitale infrastructuur en beheerde diensten.Organisaties die in aanmerking komen, moeten binnen 24 uur na detectie risicobeheersmaatregelen implementeren, beveiligingsbeoordelingen uitvoeren en de autoriteiten op de hoogte stellen van belangrijke incidenten.
NIS2-bereik
NIS2 omvat essentiële en belangrijke entiteiten in 18 sectoren.Als uw organisatie in een gedekte sector actief is of diensten levert aan organisaties die dat wel doen, is NIS2 waarschijnlijk van toepassing.De nationale autoriteiten hebben hun omzetting in nationaal recht tegen oktober 2024 gepubliceerd. De boetes voor niet-naleving bedragen voor belangrijke entiteiten €10 miljoen of 2% van de mondiale omzet, en €20 miljoen of 4% voor essentiële entiteiten.
Veel voorkomende cybersecurity-mythen
Verschillende hardnekkige misvattingen leiden ertoe dat organisaties hun beveiligingsuitgaven te weinig investeren of verkeerd toewijzen.
1
‘Sterke wachtwoorden zijn voldoende’
Een wachtwoord van 16 tekens is veel moeilijker te kraken dan een kort wachtwoord, maar wachtwoorden worden gestolen en niet alleen geraden.Phishing, keyloggers, markten voor inloggegevens op het dark web en databases maken inbreuk op de geldige wachtwoorden van alle handaanvallers zonder dat ze iets hoeven te kraken.
MFA adresseert wat sterke wachtwoorden niet kunnen.
2
‘We zijn te klein om een doelwit te zijn’
Aanvallers kiezen hun doelwitten niet op basis van hun grootte.Ze kiezen op basis van kwetsbaarheid.Geautomatiseerde tools scannen het internet 24 uur per dag op niet-gepatchte systemen, openbaar gemaakte inloggegevens en verkeerd geconfigureerde services.Uit het Hiscox Cyber Readiness Report blijkt dat 41% van de kleine Amerikaanse bedrijven in één jaar tijd te maken kreeg met een cyberaanval.
3
‘Onze sector loopt geen risico’
Elke sector wordt geconfronteerd met blootstelling aan cyberbeveiliging.Ransomwaregroepen richten zich nu naast financiële instellingen ook op lokale overheden, ziekenhuizen, scholen en logistieke bedrijven.Supply chain-aanvallen treffen elke organisatie die software gebruikt, en dat geldt ook voor alle organisaties.
4
"We hebben antivirus, dus we zijn beschermd"
Antivirus detecteert bekende bedreigingen door patronen in de handtekeningdatabase te matchen.Zero-day-exploits, bestandsloze malware en phishing-aanvallen die gebruikers omleiden naar legitiem ogende pagina's omzeilen de handtekeningdetectie volledig.Antivirus bestaat uit één laag;het is geen beveiligingsprogramma.
5
"Cyberrisico's zijn goed begrepen en beperkt"
Het bedreigingslandschap verandert sneller dan de meeste organisaties kunnen volgen.Jaarlijks worden duizenden nieuwe kwetsbaarheden onthuld.AI creëert nieuwe aanvalscategorieën.Cloud, IoT en gedistribueerd werk hebben het aanvalsoppervlak uitgebreid tot buiten de grenzen die oudere beveiligingsmodellen moesten beschermen.
Waar organisaties beginnen
Voor de meeste inbreuken zijn geen geavanceerde technieken nodig.Aanvallers maken misbruik van gaten in de basiscontroles die organisaties nog niet hebben gedicht.
Zes controles die de meeste blootstelling tegen de laagste kosten afsluiten:
1
Eén gecompromitteerd wachtwoord zou niet voldoende moeten zijn om toegang tot uw systemen te verlenen.MFA blokkeert het merendeel van de geautomatiseerde credential-aanvallen en is de controle met de grootste impact en de laagste kosten die de meeste organisaties kunnen inzetten.
2
Patchbeheer
Niet-gepatchte kwetsbaarheden behoren tot de meest misbruikte toegangspunten.Een gestructureerd patchingproces met gedefinieerde tijdlijnen voor kritieke en zeer ernstige reparaties elimineert het grootste deel van deze blootstelling.Het merendeel van de succesvolle exploits maakt gebruik van kwetsbaarheden waarvoor al maanden patches beschikbaar zijn.
3
Back-ups met getest herstel
Ransomware wordt geneutraliseerd door schone, offline back-ups en een herstelproces dat daadwerkelijk is getest.Back-ups die nooit succesvol zijn hersteld, zijn niet betrouwbaar.Hersteltesten horen op de kalender, niet op het verlanglijstje.
4
Netwerksegmentatie
Een aanvaller die één systeem bereikt, mag niet automatisch toegang hebben tot alle andere.Segmentatie beperkt de zijdelingse beweging en verandert een potentiële volledige inbreuk in een ingeperkt incident.
5
Beveiligingsbewustzijnstraining
Bij de meeste aanvallen is een menselijk element betrokken.Medewerkers die phishing-pogingen kunnen herkennen, vangen op wat technische controles over het hoofd zien.Regelmatige training waarbij gebruik wordt gemaakt van realistische scenario's is effectiever dan jaarlijkse nalevingsvinkjes.
6
Beheer van aanvalsoppervlakken
Je kunt niet verdedigen wat je niet kunt zien.Het beheer van aanvalsoppervlakken omvat het voortdurend ontdekken en monitoren van internetgerichte activa, het identificeren van risico's en het prioriteren van herstel.Veel inbreuken komen binnen via vergeten activa: oude servers, schaduw-IT of verkeerd geconfigureerde cloudopslag waarvan beveiligingsteams niet wisten dat ze bestonden.
Hoe Cyvra helpt
Cyvra biedt advies op het gebied van cyberbeveiliging voor evaluatie, implementatie en beheerde services.Wij helpen organisaties te identificeren waar hun exposure zit, elkaar te ontmoeten NIS2 en AVG-verplichtingen, en controles inbouwen die evenredig zijn aan het werkelijke risico ervan.Als u op zoek bent naar een startpunt, a cyberveiligheidsbeoordeling is de snelste manier om te begrijpen wat aandacht nodig heeft en in welke volgorde.