Beveiligingsoperaties:moet automatisering automatisch betekenen?

De respons op incidenten zal ongetwijfeld steeds meer geautomatiseerd worden, aangezien machine learning en AI veel potentieel hebben om het hele proces efficiënter, maar automatisering moet met de nodige voorzichtigheid en tot op zekere hoogte gebeuren, zonder het menselijke element op te geven en CISO's controle te laten houden over alle cyberbeveiligingsgebeurtenissen, vanwege de onvervangbare kennis en expertise die ze hebben en vanwege de duidelijke tekortkomingen van deze technologieën die nog moeten worden opgelost

Vooruitgang op het gebied van machine learning en AI zijn de afgelopen jaren steeds meer merkbaar geworden in de cyberbeveiligingsindustrie. Verschillende oplossingen die zijn ontworpen om de inspanningen op het gebied van incidentrespons te stroomlijnen en effectiever te maken, maken tegenwoordig gebruik van deze technologieën.

Het staat buiten kijf dat het automatiseren van bepaalde taken binnen het incidentresponsproces – met name die met routinematig en mechanisch werk – organisaties helpt om weerbaarder te worden tegen cyberaanvallen. Maar sommige cyberbeveiligingsprofessionals hebben de neiging om het automatiseren van sommige aspecten van het proces gelijk te stellen aan het automatiseren van het hele proces, wat eigenlijk twee verschillende concepten zijn.

Het is belangrijk op te merken dat, als het gaat om respons op cyberincidenten, automatisering en automatisch niet als synoniemen moeten worden beschouwd.

>Zie ook: Beveiligingsautomatisering:de IT-productiviteit en netwerkbestendigheid vergroten

In wezen helpt automatisering, in combinatie met een orkestratie-oplossing, de reactietijden te verminderen door de meest repetitieve en routinematige taken te vervangen die gewoonlijk een groot deel van de tijd in beslag nemen van beveiligingsprofessionals die zich bezighouden met cyberbeveiligingsgebeurtenissen, terwijl ze controle kunnen houden over de hele proces en behoud de mogelijkheid om menselijk oordeel te gebruiken tijdens de besluitvormingsfasen.

Automatisch betekent daarentegen in feite dat een machine de volledige controle over de incidenten krijgt, wat in sommige gevallen onjuiste resultaten kan opleveren en zelfs ernstige schade kan toebrengen aan een organisatie.

Hoe CISO's navigeren door de "nieuwe geautomatiseerde versus automatische wereld"

In deze nieuw gecreëerde omgeving, waar het idee van automatisch reageren steeds meer ingang krijgt, is een van de belangrijkste vragen die zich voordoen binnen de gemeenschap van cyberbeveiligingsprofessionals hoe CISO's erin navigeren en of ze graag volledige automatisering willen implementeren of dat ze zich bewust van de mogelijke risico's die het met zich meebrengt en zijn vastbesloten om vast te houden aan een georkestreerde aanpak.

Er kan worden gezegd dat er veel CISO's zijn die in de verleiding komen om automatische respons op incidenten te omarmen, maar wat ze moeten weten voordat ze dat doen, is dat er tal van uitdagingen en hindernissen zijn verbonden aan een dergelijke stap.

Er zijn bijvoorbeeld specifieke compliancerisico's die kunnen voortvloeien uit dit soort scenario's. Naleving van de wetgeving inzake de melding van gegevensinbreuken is van het grootste belang op het gebied van incidentrespons, aangezien organisaties verplicht zijn hun klanten op de hoogte te stellen van inbreuken en binnen een bepaalde periode rapporten over die inbreuken in te dienen bij de bevoegde autoriteiten.

>Zie ook: Mobiliteit vereist dat beveiliging hand in hand gaat met automatisering

Om dat soort naleving te kunnen bereiken, kunnen organisaties eenvoudigweg niet vertrouwen op een automatisch incidentresponssysteem, omdat het menselijke input vereist tijdens het beoordelingsproces van de reikwijdte, ernst en impact van inbreuken, dat moet worden voltooid voordat de organisatie kan beslissen of een specifieke inbreuk onder de meldingswetten valt.

De Algemene Verordening Gegevensbescherming (AVG) bijvoorbeeld, die in mei 2018 van kracht wordt, is een van die strikte voorschriften die bepaalde organisaties die een datalek hebben ervaren binnen 72 uur nadat ze zich bewust werden van de inbreuk, en personen die door die inbreuk zijn getroffen op de hoogte stellen als wordt vastgesteld dat de inbreuk een nadelige invloed heeft gehad.

Om deze feiten vast te stellen en te beslissen of een inbreuk moet worden gemeld, hebben organisaties cyberbeveiligingsprofessionals nodig die op de hoogte zijn van het bestaan ​​van dergelijke regelgeving en deze tot in detail kennen, en reageren in overeenstemming met die regelgeving, iets dat een automatisch incidentresponssysteem is niet in staat om te doen. De sancties voor het niet naleven van deze voorschriften kunnen behoorlijk streng zijn, inclusief hoge boetes die de winst van een organisatie ernstig kunnen schaden.

Zal cyberbeveiliging het menselijke element in de toekomst behouden?

Een andere belangrijke vraag die in de cybersecurity-gemeenschap wordt gesteld, is of er nog steeds behoefte is aan het menselijke element bij het reageren op incidenten. Snelle ontwikkelingen op het gebied van machine learning en kunstmatige intelligentie hebben deze vraag aan het licht gebracht, waarbij voorstanders van automatisering beweren dat dit de logische en onvermijdelijke volgende stap is voor cyberbeveiliging.

Hoewel het idee van automatische incidentrespons misschien aantrekkelijk klinkt, is de meer redelijke en gefundeerde mening dat het menselijke element een belangrijke rol zal blijven spelen in cyberbeveiliging, om verschillende belangrijke redenen. Eerst en vooral, zoals hierboven vermeld, is er het feit dat menselijk oordeel nog steeds nodig is in veel belangrijke aspecten van de respons op incidenten, zoals het zorgen voor naleving van de regelgeving.

>Zie ook: Automatisering:een netwerknoodzaak

Vervolgens zijn ervaren en hoogopgeleide cyberbeveiligingsprofessionals een onlosmakelijk onderdeel van het orkestratieproces van incidentrespons en dat moeten ze blijven. Orkestratie is noodzakelijk voor beveiligingsteams om het gehele incidentresponsproces effectief en efficiënt uit te voeren zonder de controle te verliezen over enkele essentiële aspecten ervan, zoals herstel en uitroeiing, naast voorbereiding en analyse na incidenten, waarvoor menselijke inbreng nodig is.

Bovendien wordt van CISO's ongetwijfeld verwacht dat ze deel blijven uitmaken van enkele van de meer uitgebreide activiteiten met betrekking tot respons op incidenten, zoals het vergroten van het cyberbeveiligingsbewustzijn bij alle werknemers binnen hun organisatie en het verbeteren van de weerbaarheid van hun organisatie tegen toekomstige cyberaanvallen.

Kort gezegd, de respons op incidenten zal ongetwijfeld meer en meer geautomatiseerd worden, aangezien machine learning en AI veel potentieel hebben om het hele proces efficiënter te maken, maar automatisering moet met de nodige voorzichtigheid gebeuren en tot op zekere hoogte, zonder te geven door de onvervangbare kennis en expertise die ze hebben en vanwege de duidelijke tekortkomingen van deze technologieën die nog moeten worden opgelost.

Gebaseerd op Dario Forte, oprichter en CEO van DFLabs

De grootste conferentie van het Verenigd Koninkrijk voor tech-leiderschap, Tech Leaders Summit, keert op 14 september terug met meer dan 40 topmanagers die zich hebben aangemeld om te spreken over de uitdagingen en kansen rond de meest ontwrichtende innovaties waarmee de onderneming tegenwoordig wordt geconfronteerd. Beveilig uw plaats op deze prestigieuze top door u hier te registreren