Detectie en preventie in het beheer van informatiebeveiliging

• Cyberaanvallen blijven te lang onopgemerkt
• De nieuwe ISO/IEC 27001:2022 - belangrijkste veranderingen
• Drie nieuwe controles voor detectie en preventie
• Technische samenvatting
• Wat betekent de update voor uw certificering?
• State-of-the-art ISMS met de expertise van DQS

De implementatie van de maatregelen uit Bijlage A in de huidige versie wordt ondersteund door de identiek gestructureerde implementatierichtlijnen van ISO/IEC 27002:2022, die al in februari zijn bijgewerkt. Generieke controles voor strategische aanvalspreventie en snellere detectie zijn nieuw opgenomen.

Drie nieuwe controles voor detectie en preventie

De nu 93 maatregelen in Bijlage A van ISO/IEC 27001:2022 zijn in het kader van de update onderverdeeld in vier onderwerpen

• Organisatorische maatregelen,
• Persoonlijke maatregelen,
• Fysieke maatregelen en
• Technologische maatregelen.

Drie van de elf nieuw geïntroduceerde controles voor informatiebeveiliging hebben betrekking op de preventie en tijdige detectie van cyberaanvallen. Deze drie controles zijn

• 5.7 Informatie over bedreigingen (organisatorisch).
• 8.16 Bewakingsactiviteiten (technologisch)
• 8.23 Webfiltering (technologisch).

Hieronder gaan we dieper in op deze 3 nieuwe controles.

Informatie over bedreigingen

Organizational control 5.7 gaat over het systematisch verzamelen en analyseren van informatie over relevante bedreigingen. Het doel van de maatregel is om organisaties bewust te maken van hun eigen bedreigingssituatie, zodat ze vervolgens passende maatregelen kunnen nemen om het risico te beperken. Dreigingsgegevens moeten op een gestructureerde manier worden geanalyseerd volgens drie aspecten: strategisch, tactisch en operationeel.

Strategische dreigingsanalyse biedt inzicht in veranderende dreigingslandschappen, zoals typen aanvallen en de actoren, bijv. door de staat gemotiveerde actoren, cybercriminelen, contractaanvallers, hacktivisten. Nationale en internationale overheidsinstanties (zoals BSI - German Federal Office for Information Security, enisa - European Union Agency for Cybersecurity, U.S. Department of Homeland Security of NIST - National Institute of Standards and Technology), evenals non-profitorganisaties en relevante fora, bieden goed onderzochte informatie over bedreigingen in alle sectoren en kritieke infrastructuren.

Cyberaanvallen blijven te lang onopgemerkt

De eminente waarde van informatie en data in de 21e eeuwse zakenwereld dwingt bedrijven en organisaties steeds meer om zich te richten op informatiebeveiliging en te investeren in de systematische bescherming van hun digitale activa. Waarom? In dynamische bedreigingslandschappen worden de tactieken van aanvallers steeds geraffineerder en gelaagder - met als gevolg ernstige schade aan het imago en de reputatie van getroffen bedrijven en miljarden dollars aan jaarlijkse economische verliezen wereldwijd.

Deskundigen zijn het erover eens dat er geen volledige bescherming meer is tegen cyberaanvallen - al was het maar vanwege de menselijke factor van onzekerheid. Dit maakt vroegtijdige detectie van potentiële en daadwerkelijke aanvallen des te belangrijker om hun laterale vector in bedrijfsnetwerken te beperken en het aantal aangetaste systemen zo laag mogelijk te houden. Maar er is nog een enorme inhaalslag te maken op dit gebied: uit onderzoek in het kader van IBM's"Cost of a data breach 2022"-studie blijkt dat het in 2022 gemiddeld 277 dagen duurde om een aanval op te sporen en in te dammen.

De nieuwe ISO 27001:2022

Om bedrijven en organisaties te helpen met een eigentijds, gestandaardiseerd kader voor managementsystemen voor informatiebeveiliging, heeft ISO op 25 oktober 2022 de nieuwe ISMS-norm ISO/IEC 27001:2022 gepubliceerd. Bijlage A biedt controles/maatregelen die op bedrijfsspecifieke basis kunnen worden gebruikt om informatiebeveiligingsrisico's aan te pakken.

De implementatie van de maatregelen uit bijlage A in de huidige versie wordt ondersteund door de identiek gestructureerde implementatierichtlijnen van ISO/IEC 27002:2022, die al in februari zijn bijgewerkt. Generieke controles voor strategische aanvalspreventie en snellere detectie zijn nieuw opgenomen.

Drie nieuwe controles voor detectie en preventie

De nu 93 maatregelen in bijlage A van ISO/IEC 27001:2022 zijn in het kader van de update onderverdeeld in vier onderwerpen

• Organisatorische maatregelen,
• Persoonlijke maatregelen,
• Fysieke maatregelen en
• Technologische maatregelen.

Drie van de elf nieuw geïntroduceerde controles voor informatiebeveiliging hebben betrekking op de preventie en tijdige detectie van cyberaanvallen. Deze drie controles zijn

• 5.7 Informatie over bedreigingen (organisatorisch).
• 8.16 Bewakingsactiviteiten (technologisch)
• 8.23 Webfiltering (technologisch).

Hieronder gaan we nader in op deze 3 nieuwe controles.

Bedreigingsintelligentie

De organisatorische controle 5.7 heeft betrekking op het systematisch verzamelen en analyseren van informatie over relevante bedreigingen. Het doel van de maatregel is organisaties bewust te maken van hun eigen bedreigingssituatie, zodat zij vervolgens passende maatregelen kunnen nemen om het risico te beperken. Dreigingsgegevens moeten op gestructureerde wijze worden geanalyseerd aan de hand van drie aspecten: strategisch, tactisch en operationeel.

Strategische dreigingsanalyse biedt inzicht in veranderende dreigingslandschappen, zoals typen aanvallen en de actoren, bijvoorbeeld staatsgemotiveerde actoren, cybercriminelen, contractaanvallers, hacktivisten. Nationale en internationale overheidsinstanties (zoals BSI - Duits Federaal Bureau voor Informatiebeveiliging, enisa - Agentschap voor Cyberveiligheid van de Europese Unie, U.S. Department of Homeland Security of NIST - National Institute of Standards and Technology), alsook non-profitorganisaties en relevante fora, bieden goed onderbouwde informatie over bedreigingen in alle sectoren en kritieke infrastructuren.

Tactische dreigingsinformatie en de evaluatie daarvan bieden beoordelingen van de methoden, tools en technologieën van aanvallers.

Operationele evaluatie van specifieke bedreigingen biedt gedetailleerde informatie over specifieke aanvallen, met inbegrip van technische indicatoren, bijvoorbeeld de huidige extreme toename van cyberaanvallen door ransomware en varianten daarvan in 2022.

Dreigingsanalyse kan op de volgende manieren ondersteuning bieden:

• Procedureel om dreigingsgegevens te integreren in het risicobeheerproces,
• Technisch preventief en detectief, bijvoorbeeld door het bijwerken van firewallregels, inbraakdetectiesystemen (IDS), anti-malwareoplossingen,
• met inputinformatie voor specifieke testprocedures en testtechnieken tegen informatiebeveiliging.

De gegevenskwaliteit uit organisatorische controle 5.7 voor het bepalen van de bedreigingssituatie en het analyseren daarvan is rechtstreeks van invloed op de twee hieronder besproken technische controles voor bewakingsactiviteiten (8.16) en webfiltering (8.23), die ook nieuw zijn voor ISO/IEC 27002.

Bewakingsactiviteiten

De controle 8.16 voor het opsporen en corrigeren van informatiebeveiliging met betrekking tot het technisch monitoren van activiteiten is gericht op het opsporen van anomalieën als methode om bedreigingen af te wenden. Netwerken, systemen en toepassingen gedragen zich volgens verwachte patronen, zoals gegevensdoorvoer, protocollen, berichten, enz. Elke verandering of afwijking van deze verwachte patronen wordt gedetecteerd als een anomalie.

Om dit ongewone gedrag te detecteren, moeten relevante activiteiten worden gemonitord in overeenstemming met de bedrijfs- en informatiebeveiligingseisen en moeten eventuele anomalieën onder andere worden vergeleken met bestaande bedreigingsgegevens (zie hierboven, eis 5.7). De volgende aspecten zijn relevant voor het monitoringsysteem:

• Inkomend en uitgaand netwerk-, systeem- en applicatieverkeer,
• Toegang tot systemen, servers, netwerkapparatuur, bewakingssystemen, kritische toepassingen, enz,
• Systeem- en netwerkconfiguratiebestanden op administratief of missiekritisch niveau;
• Logboeken van beveiligingsinstrumenten [bv. antivirus, inbraakdetectiesystemen (IDS), inbraakpreventiesystemen (IPS), webfilters, firewalls, preventie van gegevenslekken],
• Gebeurtenislogboeken met betrekking tot systeem- en netwerkactiviteiten,
• Controle of uitvoerbare code in een systeem integer en geautoriseerd is,
• Gebruik van middelen, bijvoorbeeld processorkracht, schijfcapaciteit, geheugengebruik, bandbreedte.

De basisvereisten voor een functionerende monitoring van activiteiten zijn een schoon en transparant geconfigureerde IT/OT-infrastructuur en goed functionerende IT/OT-netwerken. Elke verandering ten opzichte van deze basistoestand wordt gedetecteerd als een potentiële bedreiging voor de functionaliteit en dus als een anomalie. Afhankelijk van de complexiteit van een infrastructuur is de uitvoering van deze maatregel een grote uitdaging, ondanks relevante oplossingen van leveranciers. Het belang van systemen voor anomaliedetectie werd bijna gelijktijdig erkend met voorschrift 8.16 van ISO/IEC 27002:2022 voor exploitanten van zogenaamde kritieke infrastructuren. In het nationale toepassingsgebied van relevante, wettelijke voorschriften is er dus een verplichting voor deze om effectief zogenaamde systemen voor aanvalsdetectie met termijnen toe te passen.

Filteren van het web

Het internet is zowel een zegen als een vloek. De toegang tot dubieuze websites blijft een toegangspoort voor kwaadaardige inhoud en malware. Informatiebeveiligingscontrole 8.23 Webfiltering heeft als preventief doel de eigen systemen van een organisatie te beschermen tegen het binnendringen van malware en de toegang tot ongeoorloofde webbronnen te voorkomen. Organisaties moeten voor dit doel regels opstellen voor een veilig en passend gebruik van online bronnen - met inbegrip van verplichte toegangsbeperkingen tot ongewenste of ongepaste websites en webgebaseerde toepassingen. De toegang tot de volgende soorten websites moet door de organisatie worden geblokkeerd:

• Websites met een uploadfunctie - tenzij dit om legitieme, zakelijke redenen noodzakelijk zou zijn,
• Bekende of zelfs verdachte kwaadaardige websites,
• Commando- en controleservers,
• Kwaadaardige websites die als zodanig uit de dreigingsgegevens blijken (zie ook maatregel 5.7),
• websites met illegale inhoud.

De maatregel webfiltering werkt alleen echt met opgeleid personeel dat zich voldoende bewust is van het veilig en passend gebruik van online bronnen.

Technische conclusie

De hier beschreven nieuwe detectie- en preventiecontroles spelen een sleutelrol bij de verdediging tegen georganiseerde cybercriminaliteit, en ze zijn terecht opgenomen in de huidige versies van ISO/IEC 27001 en ISO/IEC 27002. Met het voortdurend bijwerken en analyseren van beschikbare dreigingsinformatie, het uitgebreid monitoren van activiteiten in hun eigen IT-infrastructuur en het beveiligen van hun eigen systemen tegen dubieuze websites, versterken bedrijven duurzaam hun bescherming tegen het binnendringen van gevaarlijke malware. Zij plaatsen zichzelf ook in een positie om in een vroeg stadium passende responsmaatregelen te nemen.

Bedrijven en organisaties moeten nu de drie gepresenteerde controles/maatregelen dienovereenkomstig implementeren en consequent in hun ISMS integreren om aan de eisen van toekomstige certificeringsaudits te voldoen. DQS heeft meer dan 35 jaar uitgebreide expertise op het gebied van onpartijdige audits en certificeringen - en ondersteunt u graag bij het verandermanagement van uw informatiebeveiligingsmanagementsysteem conform ISO/IEC 27001:2022.

Wat betekent de update voor uw certificering?

ISO/IEC 27001:2022 is gepubliceerd op 25 oktober 2022. Dit resulteert in de volgende deadlines en tijdschema's voor gebruikers om over te stappen:

• Gereedheid voor certificering naar ISO/IEC 27001:2022 verwacht vanaf juni/juli 2023 (afhankelijk van onze accreditatie-instelling DAkkS, Deutsche Akkreditierungsstelle GmbH).
• Laatste datum voor initiële/hercertificeringsaudits volgens de "oude" ISO 27001:2013 is 31 oktober 2023. Na 31 oktober 2023 zal DQS alleen nog initiële en hercertificeringsaudits uitvoeren volgens de nieuwe ISO/IEC 27001:2022-norm.
• Conversie van alle bestaande certificaten volgens de "oude" ISO/IEC 27001:2013 naar de nieuwe ISO/IEC 27001:2022: vanaf 31 oktober 2022 geldt een overgangsperiode van drie jaar. Certificaten die zijn afgegeven volgens ISO/IEC 27001:2013 of DIN EN ISO/IEC 27001:2017 blijven geldig tot uiterlijk 31 oktober 2025 of moeten op die datum worden ingetrokken.

State-of-the-art ISMS met de expertise van DQS

Bij de overgang naar de nieuwe versie van ISO/IEC 27001 hebben organisaties nog even de tijd. Huidige certificaten op basis van de oude norm verliezen hun geldigheid op 31.10.2025. Niettemin doet u er goed aan in een vroeg stadium met de gewijzigde ISMS-eisen om te gaan, passende veranderingsprocessen in gang te zetten en deze dienovereenkomstig te implementeren.

Als experts voor audits en certificeringen met een ervaring van meer dan drie decennia ondersteunen wij u bij de implementatie van de nieuwe norm. Informeer bij onze talrijke ervaren auditors naar de belangrijkste veranderingen en hun relevantie voor uw organisatie - en vertrouw op onze expertise. Samen bespreken we uw verbeteringsmogelijkheden en ondersteunen we u totdat u het nieuwe certificaat ontvangt. We kijken ernaar uit van u te horen.