Voordelen van een breed, geïntegreerd en geautomatiseerd beveiligingssysteem

Deze evoluerende infrastructuur brengt ook beveiligingsrisico’s met zich mee. Organisaties moeten het hoofd bieden aan groeiende aanvalsgebieden, geavanceerde bedreigingen, een grotere complexiteit van de infrastructuur en een groeiend regelgevingslandschap. Om hun gewenste DI-resultaten te bereiken en tegelijkertijd risico’s effectief te beheren en complexiteit te minimaliseren, moeten organisaties een cyberbeveiligingsplatform gebruiken, dat zichtbaarheid biedt over hun omgeving en waarmee ze zowel beveiliging, als netwerkactiviteiten eenvoudig kunnen beheren.

De Fortinet Security Fabric lost deze uitdagingen op met brede, geïntegreerde en geautomatiseerde oplossingen, die security-driven networking, zero-trust netwerktoegang, dynamische cloudbeveiliging en beveiligingsactiviteiten op basis van kunstmatige intelligentie (AI) mogelijk maken. Het aanbod van Fortinet wordt aangevuld met een ecosysteem van naadloos geïntegreerde producten van derden, die eventuele hiaten in de beveiligingsarchitectuur van ondernemingen minimaliseren en tegelijkertijd het rendement op investeringen (ROI) voor beveiliging maximaliseren.

In alle economische sectoren wereldwijd, wordt DI gezien als een absolute noodzaak voor bedrijfsgroei en een verbeterde klantervaring. Chief Information Officers (CIO’s) zijn over het algemeen positief over hun DI-initiatieven, waarbij een meerderheid aangeeft dat ze al aanzienlijke cloud-, IoT- en mobiele activiteiten hebben opgezet.

Wist u dat…?
84% van de security executives denkt dat het risico op cyberaanvallen zal toenemen.
77% van de beveiligingsprofessionals geeft aan dat hun organisatie applicaties of infrastructuur naar de cloud heeft verplaatst, ondanks bekende beveiligingsproblemen.

Vanuit het perspectief van de IT- en cyberbeveiligingsleiders van clouddienstverleners, vertaalt DI zich in een verscheidenheid aan veranderingen in hun netwerkomgevingen. Gebruikers worden steeds mobieler en hebben toegang tot het netwerk vanaf locaties en endpoints, die niet altijd onder IT-controle van het bedrijf vallen. Ze maken ook rechtstreeks verbinding met publieke clouds om belangrijke bedrijfsapplicaties te gebruiken, zoals Office 365.

IoT-apparaten, die wijdverspreid zijn en zich vaak op afgelegen en onbewaakte locaties bevinden, overtreffen het aantal, door mensen gecontroleerde, endpoints. Tot slot verspreiden cloud serviceproviders zich over talloze en verafgelegen vestigingen, waarvan de meeste rechtstreeks verbinding maken met cloud- en cellulaire diensten, zonder gebruik te maken van datacenters. Al deze veranderingen maken het concept van een verdedigbare netwerkperimeter achterhaald, waardoor leveranciers van clouddiensten een nieuwe meerlaagse defense-in-depth strategie moeten invoeren.

Migratie van applicaties en workloads naar de cloud

Bijna elk bedrijf is begonnen met het verplaatsen van bepaalde workloads en applicaties naar de cloud – of is in ieder geval van plan dit te doen. Deze beslissingen worden vaak ingegeven door de wens om de kosten te verlagen en de operationele efficiëntie en schaalbaarheid te verbeteren, door te profiteren van de flexibiliteit, die de cloud biedt.

Aanbieders van clouddiensten bieden een breed scala aan mogelijke implementatiemodellen. Bedrijven kunnen gebruikmaken van SaaS-toepassingen (Software-as-a-Service) en -diensten, zoals Salesforce of Box. Als alternatief kunnen applicaties, die zijn ontworpen en geïmplementeerd in on-premises omgevingen, worden overgeheveld naar Infrastructure-as-a-Service (IaaS) of Platform-as-a-Service (PaaS) implementaties zoals Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Oracle Cloud Infrastructure, en IBM Cloud. Veel organisaties zijn op hun hoede voor lock-in van cloudserviceproviders en streven ernaar elke applicatie en workload in te zetten in de cloud waarvoor deze het meest geschikt is, en hebben daarom gekozen voor een multi-cloudinfrastructuur. De keerzijde van een dergelijke keuzevrijheid is de noodzaak om de eigenaardigheden van elke cloudomgeving te leren kennen. Bovendien moeten zij verschillende tools gebruiken om de omgeving en de bijbehorende beveiligingsvoorzieningen te beheren, wat het overzicht vertroebelt en het gebruik van meerdere beheerconsoles nodig maakt, voor beleidsbeheer, rapportage en meer.

En die functies, gecombineerd met brede inzetbaarheid, diepe integratie tussen beveiligingstools en tussen beveiliging en het netwerk, en dynamische automatisering aangevuld met AI, zijn de kenmerken van elk beveiligingssysteem dat de huidige dynamische netwerken en verbonden ecosystemen kan verdedigen.

Overvloed aan endpoints in meerdere omgevingen

Endpoints zijn aantoonbaar de meest kwetsbare knooppunten in het netwerk van de clouddienstverlener. De grotere providers hebben duizenden werknemers, die elk meerdere werk- en privé-apparaten gebruiken, om toegang te krijgen tot netwerkbronnen. Het waarborgen van cyberhygiëne en up-to-date endpointbeveiliging op al deze apparaten, is een formidabele taak. Nog ontmoedigender is de snelle uitbreiding van het aantal IoT-apparaten. Eind 2019 bedroeg het aantal actieve apparaten meer dan 26,66 miljard, en in de loop van 2020 zal dit aantal volgens schattingen van deskundigen oplopen tot 31 miljard.

IoT-apparaten zijn aanwezig in tal van bedrijfscontexten. Ze bieden gepersonaliseerde ervaringen aan retail- en horecaklanten, volgen voorraden in productie en logistiek, en monitoren apparaten op fabrieksvloeren of in energiecentrales.

IoT-apparaten zijn vaak robuust en energiezuinig en richten zich op prestaties, vaak ten koste van beveiligingsfuncties en veilige communicatieprotocollen. En in tegenstelling tot de meeste netwerkapparaten, wordt IoT-apparatuur vaak ingezet op afgelegen locaties, buiten de deur, of in onbemande of weinig bemande faciliteiten (zoals energiecentrales). Vanaf deze onveilige locaties verstuurt de apparatuur vaak kritieke, gevoelige gegevens naar datacenters op locatie en naar clouddiensten.

Grotere aanwezigheid van bedrijven op verschillende markten en in verschillende regio’s

Naarmate bedrijven hun mondiale aanwezigheid uitbreiden, door nieuwe vestigingen, filialen en andere satellietlocaties te openen, krijgen ze steeds meer te maken met bandbreedtebeperkingen in het wide-area network (WAN). Hoewel SaaS-applicaties, video en Voice over IP (VoIP) de productiviteit verhogen en nieuwe diensten mogelijk maken, dragen ze ook bij aan een exponentiële groei van het WAN-verkeersvolume. Het zeer betrouwbare multiprotocol label switching (MPLS) is al vele jaren de WAN-connectiviteitstechnologie bij uitstek. Met MPLS is het echter moeilijk om het gebruik van de WAN-bandbreedte te optimaliseren en de quality-of-service-niveaus te variëren, naargelang de behoeften voor verschillende toepassingen. Als gevolg hiervan kunnen filiaaluitbreidingen en serviceverbeteringen, al snel leiden tot exploderende WAN-kosten.

Daarom schakelen organisaties over op software gedefinieerd WAN (SD-WAN), dat efficiënt gebruikmaakt van MPLS, internetverbindingen en zelfs telecommunicatieverbindingen. Bovendien routeert SD-WAN, dynamisch, elk soort verkeer over de meest optimale link.

Vier overwegingen voor ontwerp van beveiligingsarchitectuur

Terwijl organisaties enthousiast doorgaan met DI-initiatieven, worden de implicaties voor netwerkbeveiliging vaak over het hoofd gezien of geminimaliseerd. In feite voegt bijna 80% van de organisaties sneller nieuwe digitale innovaties toe, dan ze deze kunnen beveiligen tegen cyberbedreigingen.

IT-leiders worden geconfronteerd met vier belangrijke uitdagingen bij het ontwerpen van veilige architecturen voor hun digitaal innoverende bedrijven:

Wist u dat…?
Tot 40% van de nieuwe malware gedetecteerd op een willekeurige dag is zero day of voorheen onbekend

Groeiend bedreigingsgebied

Gevoelige gegevens kunnen zich potentieel overal bevinden – en via talloze verbindingen, die buiten de controle van de onderneming vallen. Toepassingen in de cloud staan in direct verbinding met het internet, zodat elke nieuwe cloud instance een nieuw facet aan het bedreigingsgebied van de onderneming toevoegt. IoT-apparaten breiden mogelijke aanvalspunten uit, tot afgelegen of onbemande locaties. In deze minder primaire delen van een netwerk kunnen inbraken weken of maanden onopgemerkt voortwoekeren en een ravage aanrichten in de rest van de onderneming. Mobiele apparaten en endpoints, die eigendom zijn van de gebruiker maken de dreiging onvoorspelbaar, aangezien gebruikers van de ene bedrijfslocatie naar de andere, door openbare ruimten en over internationale grenzen zwerven. Uitgebreide cloudmigratie, intensief gebruik van mobiele platforms en intensief gebruik van IoT-apparaten zijn factoren, die de kosten per record van een datalek met honderdduizenden euro’s doen toenemen.

Door dit uitgebreide, dynamische bedreigingsgebied verdwijnt de eens zo goed gedefinieerde netwerkperimeter en de bijbehorende beveiligingsmaatregelen. Het is veel gemakkelijker voor aanvallers om in het netwerk te infiltreren, en als ze eenmaal binnen zijn, vinden ze vaak weinig obstakels om zich vrij en onopgemerkt naar hun doelwitten te begeven. Daarom moet de beveiliging in DI-ondernemingen meerlagig zijn, met controles op elk netwerksegment, ervan uitgaande dat de perimeter vroeg of laat zal worden doorbroken. En de toegang tot netwerkresources moet gebaseerd zijn op het beginsel van “least privilege” en voortdurend geverifieerd vertrouwen.

Landschap van geavanceerde bedreigingen

Het landschap van cyberbedreigingen groeit snel, nu kwaadwillenden traditionele verdedigingsmaatregelen tegen cyberbeveiliging proberen te omzeilen en te verslaan. Tot 40% van de nieuwe malware, die op een willekeurige dag wordt ontdekt, is ‘zero-day’ of voorheen onbekend. Of dit nu komt door het toegenomen gebruik van polymorfe malware of de beschikbaarheid van malware toolkits, de groei van ‘zero-day’-malware maakt traditionele, op handtekeningen gebaseerde algoritmen voor de detectie van malware minder effectief. Bovendien blijven kwaadwillenden gebruik maken van social engineering, door misbruik te maken van statische vertrouwensmethoden, die in traditionele beveiligingsomgevingen n worden gebruikt. Uit onderzoek blijkt dat 85% van de organisaties het afgelopen jaar te maken heeft gehad met phishing of social engineering aanvallen.

Naarmate cyberdreigingen geraffineerder worden, zijn gegevensincidenten en -inbreuken moeilijker op te sporen en te verhelpen. Tussen 2018 en 2019 is de tijd om een datalek te identificeren en in te dammen, gegroeid van 266 naar 279 dagen. Naast het vermogen om een poging tot aanval te detecteren en te voorkomen, moeten organisaties ook in staat zijn om een succesvolle aanval snel te identificeren en te neutraliseren. Het overgrote deel van de organisaties heeft aangegeven, het afgelopen jaar ten minste één incident te hebben meegemaakt, wat aantoont dat alle organisaties het risico lopen op een aanval en dat cyberveerkracht van cruciaal belang is.

Grotere complexiteit van het ecosysteem

Volgens bijna de helft van de CIO’s is de toegenomen complexiteit de grootste uitdaging van een groeiend bedreigingsgebied. Deze toegenomen complexiteit is te wijten aan het feit dat veel organisaties voor de beveiliging vertrouwen op een reeks niet-geïntegreerde puntproducten. In feite gebruikt de gemiddelde onderneming meer dan 75 verschillende beveiligingsoplossingen.

Dit gebrek aan beveiligingsintegratie betekent dat deze organisaties niet kunnen profiteren van automatisering, bij de inzet van hun beveiliging. 30% van de CIO’s noemt het aantal handmatige processen zelfs als een van de belangrijkste beveiligingsproblemen in hun organisatie. Zonder automatisering van de beveiliging hebben CIO’s meer geschoolde cyberbeveiligingsprofessionals nodig om hun netwerk te bewaken en te beveiligen.

Veel organisaties zijn echter niet in staat om het cyberbeveiligingstalent te vinden dat ze nodig hebben. Volgens schattingen zijn er momenteel meer dan 4 miljoen cyberbeveiligingsposities onvervuld, en dit aantal groeit gestaag. Dit gebrek aan toegang tot het benodigde talent brengt organisaties in gevaar, waarbij 67% van de CIO’s zegt dat het tekort aan cyberbeveiligingsvaardigheden hen belemmert om het tempo van de veranderingen bij te houden.

Aanvallers begrijpen deze uitdagingen maar al te goed, en gebruiken ze in hun voordeel.

Wist u dat…?
Een derde van de ondernemingen heeft te maken gehad meteen inbreuk op bedrijfskritische gegevens in het afgelopen jaar, wat kan leiden tot boetes

Toenemende eisen op het gebied van regelgeving

De General Data Protection Regulation (GDPR) van de Europese Unie (EU) en de California Consumer Privacy Act (CCPA) zijn twee van de bekendste verordeningen inzake gegevensbescherming. Ze zijn echter lang niet de enige. Elke Amerikaanse staat heeft momenteel een wet inzake de melding van inbreuken in verband met gegevens, en veel staten zijn bezig met de vaststelling van aanvullende privacybescherming voor consumenten. Onder politieke en maatschappelijke druk zal de regelgeving de komende jaren naar verwachting nog verder worden uitgebreid, en de boetes voor niet-naleving worden steeds hoger en vaker opgelegd.

De noodzaak om de regelgeving na te leven en te blijven naleven, heeft aanzienlijke gevolgen voor het vermogen van een organisatie om haar doelstellingen op het gebied van beveiligingstransformatie te verwezenlijken. Van 71% van de organisaties, die cloudgebaseerde applicaties hebben teruggebracht naar on-premise datacenters, heeft 21% dit bijvoorbeeld gedaan om de naleving van de regelgeving te handhaven.

Tot zover deel 2 van onze reeks artikelen over onze visie op netwerkbeveiliging anno 2021. Centraal daarbij, staat het inzetten van een strategische opzet, met behulp van een Fortinet Security Fabric. De Security Fabric bundelt de technologieën van Fortinet tot een intelligente, meer gecoördineerde beveiligingsstructuur.

In deel 3 belichten we hoe Security Fabric de hierboven genoemde beveiligingsuitdagingen aanpakt door te voorzien in breed inzicht in en controle over het gehele digitale aanvalsoppervlak van een organisatie volledige digitale aanvalsoppervlak om risico’s te minimaliseren.