Word een cybersecurity-MVP: de NFL en CISA over het trotseren van cybersecurity-uitdagingen

Tomás Maldonado, CISO bij de National Football League, en Jeff Greene, uitvoerend adjunct-directeur van de cybersecuritydivisie bij de Cybersecurity and Infrastructure Security Agency (CISA), sloten zich aan bij Bitwarden-CEO Michael Crandell voor een fireside chat tijdens de Open Source Security Summit om zich te verdiepen in best practices voor beveiliging, veelvoorkomende fouten en de brede reeks resources die beschikbaar zijn voor organisaties. Ze bespraken ook hoe individuen en organisaties cybercriminelen te slim af kunnen zijn door regelmatig softwarepatches uit te voeren, alert te zijn op social-engineeringtactieken en beveiligingstools te gebruiken zoals multifactorauthenticatie en wachtwoordbeheerders. 

Na jarenlang als securityprofessional bij vooraanstaande financiële bedrijven te hebben gewerkt, vervulde Maldonado een CISO-functie bij een chemisch productiebedrijf en heeft hij ervaring bij sterk gereguleerde ondernemingen. Maldonado grapte: “De NFL liet me een cybersecurity-combine doorlopen.” 

Bij CISA zijn Greene en zijn team verantwoordelijk voor cybersecurity, het verminderen van cyberdreigingen en uiteindelijk cyberaanvallen op federaal, civiel en uitvoerend niveau. Hoewel elke instantie een eigen CISO heeft, stelt CISA het beleid vast en heeft het de bevoegdheid om richtlijnen uit te vaardigen. Greene, die 15 jaar ervaring heeft in cybersecurity, was eerder advocaat. Voordat hij overstapte naar zijn huidige functie, bekleedde hij functies in de private sector en bij het National Institute of Standards and Technology (NIST).

Inzicht in de aard en omvang van cyberdreigingen is cruciaal in het voortdurend veranderende landschap van cybersecurity. Cybercriminelen verfijnen voortdurend hun tactieken, waardoor beveiligingsteams steeds een stap voor moeten blijven. Nieuwe kwetsbaarheden en hardnekkige problemen zoals phishing en ransomware blijven grote uitdagingen naarmate nieuwe technologieën opkomen.

Cyberdreigingen komen in verschillende vormen voor, elk met unieke risico’s. Malware is bijvoorbeeld een geduchte tegenstander, waarbij aanvallen steeds geavanceerder en heimelijker worden. Deze categorie omvat virussen, wormen, ransomware en cryptojacking, die allemaal grote schade kunnen aanrichten aan systemen en data.

Phishingaanvallen vormen een andere aanhoudende dreiging voor organisaties van elke omvang. Bij deze aanvallen gaat het vaak om misleidende e-mails of berichten die ontvangers ertoe verleiden gevoelige informatie prijs te geven. Educatie, bewustwording en robuuste beveiligingsmaatregelen die deze pogingen detecteren en blokkeren, zijn essentieel om phishing te bestrijden.

Ransomware, een type malware dat data versleutelt en betaling eist voor vrijgave, is een belangrijk aandachtspunt. Organisaties moeten waakzaam zijn en uitgebreide beveiligingsprotocollen toepassen om dergelijke aanvallen te voorkomen en de impact ervan te beperken.

Voorbereiding op deze verschillende soorten cyberdreigingen is essentieel om potentiële aanvalsvectoren te identificeren en effectieve mitigatiestrategieën te organiseren. Door deze dreigingen te begrijpen en proactieve beveiligingsmaatregelen te implementeren, kunnen organisaties hun netwerken, systemen en gevoelige data beter beschermen tegen cyberaanvallen.

De NFL en CISA komen al jaren 12 tot 18 maanden vóór de Super Bowl bij elkaar. Nu de Super Bowl van 2025 in New Orleans plaatsvindt, heeft de NFL ervoor gezorgd dat bedrijven die tijdens de Super Bowl diensten aanbieden bekend zijn met de diensten van CISA, zoals tabletop-oefeningen, trainingen, bewustwordingscampagnes, kwetsbaarheidsscans en penetratietests.

De NFL en CISA werken ook samen om geavanceerde aanhoudende dreigingen en geavanceerde, langdurige cyberaanvallen te identificeren en te beperken die erop gericht zijn gevoelige informatie te stelen of bedrijfsactiviteiten te saboteren. Cloudcomputing brengt unieke cybersecurity-uitdagingen met zich mee, waardoor het cruciaal is om cloudinfrastructuur te beveiligen tegen verkeerde configuraties en ontoereikende toegangscontroles.

Een donutwinkel in de buurt van de Super Bowl kan bijvoorbeeld gebruikmaken van tools zoals een openbare scan van de publiek toegankelijke websites van de winkel, om te controleren of er geen kwetsbaarheden zijn die kunnen worden misbruikt. CISA kan ook basisbeveiligingsdoelen bieden die organisaties ideeën geven om hun beveiliging te verbeteren.

CISA heeft in elke staat cybersecurityadviseurs die contact kunnen leggen met bedrijven die met potentiële dreigingen te maken hebben. Hoewel het type dreiging waarmee een energiebedrijf te maken kan krijgen waarschijnlijk ernstiger is dan dat van een donutwinkel, verwerkt zelfs een donutwinkel waarschijnlijk grote hoeveelheden persoonsgegevens en kan deze profiteren van kwetsbaarheidsscans. CISA richt zich ook sterk op het helpen van bedrijven bij het voorkomen en triëren van ransomwareaanvallen. Greene zei: “Als we denken dat een bedrijf op dit moment wordt aangevallen of doelwit is, nemen we rechtstreeks contact op en adviseren we op welke maatregelen tegen cyberaanvallen ze zich moeten richten.”

Wachtwoordbeheerders helpen beschermen tegen ransomware doordat gebruikers sterke en unieke wachtwoorden kunnen genereren voor elke site die ze bezoeken. Dit verkleint het risico op hergebruik van wachtwoorden en voorkomt dat mensen terugvallen op zwakkere wachtwoorden enkel omdat die makkelijk te onthouden zijn, waardoor de kans op diefstal van inloggegevens afneemt.

Cybersecurity-uitdagingen bij het beheren van gevoelige data 

Bedrijven die opereren als een “organisatie van organisaties” hebben te maken met veel unieke cybersecurity-uitdagingen. De NFL houdt toezicht op 32 clubs, die elk hun eigen aanvullende bedrijfsactiviteiten uitvoeren.

“De beveiligingspraktijken, -protocollen en -programma’s die we hebben ontworpen, zijn afgestemd op de cybersecurity-aanbevelingen van NIST. Natuurlijk zorgen we er ook voor dat we gebruikmaken van de diensten die CISA aanbiedt. De afzonderlijke clubs begrijpen hoe de league hen kan helpen en ook hoe ze lokaal kunnen profiteren van cybersecuritydiensten van de overheid.” - Tomás Maldonado

Afzonderlijke clubs werken vaak nauw samen met lokale bedrijven en diensten, en geven de best practices op het gebied van beveiliging die ze waarnemen door aan hun leveranciers in de toeleveringsketen.

Het voorkomen van cyberaanvallen vereist een alomvattende aanpak om risico’s te beperken en gevoelige gegevens te beschermen. Bedrijven moeten investeren in oplossingen die hun systemen beschermen tegen zowel interne als externe dreigingen.

Wachtwoordbeheerders kunnen gebruikers helpen complexe wachtwoorden veilig te genereren en op te slaan. Het stimuleren van sterke, unieke wachtwoorden en het bevorderen van een cybersecuritycultuur kan voorkomen dat cybercriminelen toegang krijgen tot systemen en medewerkers voorzien van de tools en middelen om potentiële dreigingen te herkennen en te escaleren. Het implementeren van multifactorauthenticatie (2FA) voegt een extra beveiligingslaag toe doordat gebruikers twee vormen van identificatie moeten verstrekken voordat ze toegang krijgen tot systemen. Dit verkleint het risico op ongeautoriseerde toegang, zelfs als wachtwoorden zijn gecompromitteerd. Het versleutelen van gevoelige gegevens zorgt ervoor dat ze zonder de decryptiesleutel niet kunnen worden gelezen, zelfs niet als ze worden onderschept. Door waarschuwingen in te stellen voor verdachte of kwaadaardige activiteit kunnen beveiligingsteams snel reageren op potentiële dreigingen. Door in deze oplossingen te investeren en best practices toe te passen, kunnen bedrijven effectief reageren op cyberaanvallen en hun gevoelige gegevens beschermen tegen compromittering.

“In de jaren sinds [SolarWinds] hebben we ongelooflijke vooruitgang geboekt bij de implementatie van endpointdetectie en -respons bij meer dan 60 federale instanties. Nu kunnen we cyberdreigingen analyseren en de bekende puntjes tussen instanties met elkaar verbinden. We hebben onze middelen kunnen gebruiken om kwaadaardige activiteit te detecteren die onze endpointdetectietechnologieën had omzeild, omdat we, toen we alles samenbrachten, beseften dat er iets niet klopte. We hebben kunnen stoppen wat wij beschouwen als een aantal aanvallen van de volgende generatie.” - Jeff Greene

Overstappend van bedrijfsbeveiliging en de aanwezige kansen en uitdagingen, wees Crandell erop dat menselijke fouten, ondanks onze geavanceerde beveiligingstechnologieën, een van de belangrijkste oorzaken van datalekken blijven. Hij vroeg Maldonado en Greene naar strategieën en praktijken die kunnen worden toegepast om beter gedrag te stimuleren.

“Ik probeer binnen mijn team bewustwording en educatie te stimuleren over de soorten dreigingen waarmee we als organisatie te maken hebben,” zei Maldonado. “Ik richt me ook op beveiligingsdreigingen waarmee mensen in hun privéleven te maken kunnen krijgen. Hoewel mensen hun personeel misschien graag zien als de zwakste schakel, bekijk ik het vanuit het perspectief dat onze medewerkers ons grootste kapitaal zijn. Als ik 15.000 mensen in mijn organisatie heb, heb ik mogelijk 15.000 beveiligingsevangelisten.”

“Als ik hen kan bereiken en hen beter kan onderwijzen in cybersecurity, kunnen ze goede kanaries of evangelisten zijn voor bepaalde beveiligingsmaatregelen … Uiteindelijk hebben mensen goede bedoelingen en willen ze het juiste doen.” - Tomás Maldonado

Maldonado merkte ook op dat mensen nog steeds sterk vertrouwen op gebruikersnamen en wachtwoorden. Hij zei dat de NFL heeft geprobeerd over te stappen van wachtwoorden naar wachtwoordzinnen, omdat hij gelooft dat die voor tegenstanders moeilijker te kraken zijn en tegelijkertijd voor mensen makkelijker te onthouden.

Bitwarden-gebruikers die op zoek zijn naar een alternatief voor wachtwoorden die bestaan uit willekeurig gegenereerde tekens, kunnen ook baat hebben bij wachtwoordzinnen. Wachtwoordzinnen kunnen worden gemaakt met de Bitwarden-wachtwoordzingenerator of de pop-up voor het aanmaken van een item in de kluis.

“Als je mensen leert hoe ze hun persoonlijke informatie kunnen beschermen, of het nu gaat om creditcardgegevens of bankrekeninggegevens, nemen ze die vaardigheden vrijwel automatisch mee naar hun professionele leven,” zei Greene. “Maar dit alles richt zich op het kortetermijnprobleem, en er is een fundamenteler probleem op de langere termijn … We zouden niet moeten leven in een omgeving waarin een kortstondige vergissing ertoe kan leiden dat een cybercrimineel een bankrekening leeghaalt, nationale veiligheidsgeheimen steelt of kritieke infrastructuur platlegt. Dat gebeurt omdat de software en technologie waarop we vertrouwen onveilig zijn gebouwd.”

“Op korte termijn moeten we alles doen wat we hebben besproken, en op lange termijn moeten we veranderen hoe deze technologie wordt gebouwd. We hebben nodig dat die vanaf het begin ijzersterk is. We hebben security by design nodig.” - Jeff Greene

Voorbeelden van security by design zijn:

• Het gebruik van multifactorauthenticatie.

• Het melden van bekende kwetsbaarheden.

• Het hebben van een systeem om kwetsbaarheden te detecteren.

• Ervoor zorgen dat geen enkel apparaat of systeem wordt geleverd met een standaardgebruikersnaam en -wachtwoord.

Organisaties moeten standaardgebruikersnamen en -wachtwoorden onmiddellijk wijzigen in sterke en unieke wachtwoorden of wachtzinnen, bij voorkeur beheerd en beveiligd met een versleutelde end-to-end wachtwoordbeheerder zoals Bitwarden.

Greene moedigt ook iedereen aan om de CISA-website te bekijken voor meer informatie over de officiële Secure by Design-belofte.

Nu cyberdreigingen blijven evolueren en steeds geavanceerder worden, wordt de rol van AI en machinelearning in cybersecurity steeds belangrijker. Het is essentieel dat bedrijven technologieën inzetten die cyberdreigingen realtime kunnen detecteren en erop kunnen reageren, waardoor het risico op datalekken en andere cyberaanvallen aanzienlijk afneemt. Met realtime dreigingsdetectie kunnen AI- en machinelearningalgoritmen snel enorme hoeveelheden data analyseren en patronen en afwijkingen identificeren die op een cyberdreiging kunnen wijzen. Door historische data te analyseren, kan AI toekomstige cyberdreigingen voorspellen en organisaties helpen zich voor te bereiden op mogelijke aanvallen.

“Naarmate AI gangbaarder wordt, moeten beveiligingsprofessionals beter begrijpen welke potentiële beveiligingsrisico’s generatieve AI met zich meebrengt en hoe we secure-by-designprincipes kunnen toepassen om een sterke basis voor databeveiliging te leggen,” aldus Maldonado. Hij vindt dat security-by-designprincipes al vroeg moeten worden geïntegreerd, wanneer toekomstige ontwikkelaars leren code te schrijven. “Ontwikkelaars hebben een prikkel om heel snel te leren programmeren, zodat ze zo snel mogelijk een product op de markt kunnen brengen,” zei Maldonado.

“We moeten afstappen van een mentaliteit waarin bedrijven worden beloond omdat ze snel producten uitbrengen, en overstappen naar het belonen van bedrijven die beveiliging vanaf het begin zorgvuldig prioriteren en inbouwen. Bedrijven kunnen hun marktdoelen halen en tegelijkertijd gebruikers beschermen tegen het in gevaar komen van hun gegevens.” - Tomás Maldonado

Deze proactieve aanpak stelt beveiligingsteams in staat cybercriminelen een stap voor te blijven en risico’s te beperken voordat ze werkelijkheid worden. AI-gestuurde systemen kunnen automatisch reageren op gedetecteerde dreigingen en deze neutraliseren voordat ze aanzienlijke schade veroorzaken. Dit vermindert de belasting van beveiligingsteams en zorgt voor een snelle en effectieve reactie op cyberaanvallen. Door AI en machinelearning in te zetten, kunnen organisaties hun cybersecurityniveau verbeteren en hun data beter beschermen tegen opkomende dreigingen.

“We hebben allemaal de mogelijkheid om de beveiliging van ons digitale leven en onze bedrijven te verbeteren. Hoe eng het ook lijkt, de meeste cyberaanvallen zijn niet geavanceerd en de meeste aanvallers zijn lui. Als je als individu of klein bedrijf de eenvoudige dingen doet - updates en patches uitvoeren, beveiligingstools zoals wachtwoordbeheerders installeren en multifactorauthenticatie gebruiken - ben je de meeste cybercriminelen een stap voor.” - Jeff Greene

Klaar om met wachtwoordbeheer een cybersecurity-MVP te worden? Begin met een 7-daagse gratis zakelijke proefperiode, of meld je aan voor een gratis individueel account.