Dit scenario illustreert perfect het belang van de oorzaak-analyse. Natuurlijk wil je weten hoe je bedrijf met succes kan worden aangevallen door malware en kwaadwillenden, alleen is er geen perfecte manier voor alle gevallen om dat te doen. Toch moet je een goede inschatting maken van de risico's, en een mooi is dan een analyse van de oorzaken van een succesvolle aanval.

De klant met de besmetting met Conficker was niet echt representatief, maar in de meeste gevallen is de boosdoener een besmette usb-stick. Een gebruiker, meestal een IT-medewerker, steekt die in de computer, waarna de worm automatisch wordt opgestart. En voila! Dat is de allereerste oorzaak van de besmetting van honderden pc's. Die ligt dus niet bij de drive shares, maar bij een besmette usb-stick. Begrijp me niet verkeerd: het aanpakken van het probleem met de share is belangrijk, maar het aanpakken van de allereerste oorzaak is nog belangrijker.

Elk bedrijf zou ernaar moeten streven om cijfers te verzamelen over zulke eerste oorzaken, zodat ze die tegen de tijd kunnen worden afgezet. Elke keer dat er malware of een exploit is gevonden, moeten onderzoekers documenteren hoe zij denken dat die rommel binnen is gekomen. Het verzamelen van dit soort cijfers maakt het mogelijk om trends te zien en daardoor om beter in te spelen op gebeurtenissen.

Veel bedrijven komen aan met de smoes dat ze er geen mankracht voor hebben om iedere keer dat ze met malware worden geïnfecteerd een compleet forensisch onderzoek te starten. Maar het is helemaal niet nodig om zo'n incident tot op de bodem uit te zoeken en elke steen boven te krijgen. Het volstaat als gebruikers aangeven wanneer hun systemen werden besmet. Als je dat consequent doet, en zo veel gegevens op een rij krijgt, dan kun je daar toch al patronen in zien.

Als je van dit soort mechanismen helemaal niet inzet, kun je bij het maken van je inschattingen aangewezen op anekdotes en vermoedens, in plaats van op harde cijfers. En raad nu maar eens waar managers het meest van onder de indruk zullen zijn, als je extra geld of middelen vraagt voor het tegengaan van bedreigingen.

Natuurlijk ontslaat je dit niet van de noodzaak om een volledige risico-analyse te doen, inclusief een inschatting van de dreigingen, de waarschijnlijkheid dat zoiets voorvalt, en mogelijke schade die het toe kan brengen. Een volledige analyse helpt je namelijk bij het opstellen van strategische plannen. Maar een analyse van de eerste oorzaak helpt je om strategisch te reageren.

Het zegt veel over een beveiligingsafdeling als alle werknemers precies kunnen aangeven wat de grootste bedreiging vormt voor hun netwerk. En zeg nou zelf, als jij en je medewerkers niet weten waar de echte problemen liggen, hoe kun je er dan voor zorgen dat de verdediging op orde is?

Bron: Techworld