De beveiliging van ict-systemen is sterk gericht op de technische infrastructuur. Cybercriminelen gebruiken echter meer en meer de applicaties om data te ontvreemden. Dit stelden diverse experts tijdens de vakbeurs Infosecurity in Londen.
Op de vloer van Infosecurity 2009, de grootste ict-beveiligingsbeurs van Europa in Londen, boden tientallen bedrijven geavanceerde hardware en software aan. Een aantal sprekers hield juist hun gehoor voor dat die aanpak helemaal verkeerd is, omdat ze uitgaat van de gedachte dat je een digitale schil om een organisatie kunt bouwen.
'Negentig procent van de aanvallen gaat tegenwoordig door poort 80', aldus Bart Vansevenant van infrastructuurspecialist Verizon, dat een rapport ('2009 Data Breach Investigations Report') publiceerde over de schaal van dataverlies in 2008 (zeven keer zoveel als in 2007). 'Firewalls laten verkeer op die poort standaard door, omdat het http-protocol er gebruik van maakt en een server nu eenmaal is aangesloten op internet om ergens toegang toe te bieden.'
Vansevenant kreeg bijval van Dan Haagman van 7Safe, een bedrijf dat forensische diensten levert aan creditcardmaatschappijen. 'Bij de incidenten die wij onderzoeken vormt sql-injectie het grootste probleem. Dat is een heel oude methode, waarmee echter ook subtiele aanvallen zijn uit te voeren. Die gaan vaak dwars door de firewall heen.'
Zwakte
De zwakte zit erin dat de applicaties geen goed onderscheid kunnen maken welke informatie wel opgevraagd mag worden en welke niet. Daarvoor zouden de beveiligers zich beter moeten verdiepen in de informatie zelf, in plaats van zich te concentreren op algemene infrastructurele maatregelen.
'IT'ers verkopen echter liever techniek dan services, omdat het eerste lucratiever is', constateerde Martin Smith, voorzitter van de Security Awareness Special Interest Group, die zich bezig houdt met beveiliging in de meest brede zin van het woord. Volgens hem pikken anderen nu de steken op die ict'ers laten vallen.
Overigens wilde niemand het belang van infrastructuur onderschatten. Slecht gepatchte software en openstaande poorten vormen nog altijd een majeur probleem, omdat hackersoftware ze automatisch kan vinden. Volgens Haagman kost aangepaste software om een specifieke applicatie bij een specifiek bedrijf aan te vallen, inmiddels echter nog maar een paar honderd dollar om te laten maken. Dat vraagt om tegenzetten op applicatieniveau.
Lees ook: Ict-beveiligers moeten beter luisteren
Pas wanneer je er 100% zeker van bent dat je infrastructuur – lees je digitale ict fundament – potdicht zit, kun je je focus gaan verleggen naar hogerop.
Doet u dit niet, zult u altijd weer, back to the /roots van uw ict gebeuren worden teruggedwongen om uw security strategie – van daaraf – te herzien.
Pas een solide basis kun u verder bouwen, de rest stort vroeg of laat weer in, met alle kosten van dien.
“Met een lekke boot blijft u ook hozen en kunt u niet genieten van de rondvaart en het uitzicht”
Weer zo een onzin artikel van COMPUTABLE!
het laatste was: ondanks crisis tekort aan ICT-ers….
kunnen ze beter over het weer of Prive van Telegraaf schrijven!
IT-beveiliging dient gericht te zijn op de informatie / data. Een goede IT-beveiling begint bijvoorbeeld met goed storage encryptie van mobiele data. Als de onzekerheid van de locatie van de data op een gegeven moment bij onbevoegden groot genoeg is, is de data per definitie veilig. Storage encryptie zorgt voor de beveiliging van de data (bijvoorbeeld als de storage gestolen wordt). Communicatie kan gezien worden als storage met snelheid > 0. Daar gelden dus dezelfde principes voor. Een operationeel systeem dat dit ondersteund voor onconditionele, rekenkundige en public-key beveiliging is te zien op de link https://www.wuala.com/freemovequantumexchange