Een korte reactie op het Diginotar-debat.
Stuxnet, Aurora, RSA, Diginotar…….wie volgt? In de afgelopen jaren is de geavanceerde dreiging (advanced persitent threat (APT) genoemd) exponentieel toegenomen en een afname op de korte termijn is onwaarschijnlijk. Cyber security is HOT. Helaas heeft een groot aantal mensen wel een ‘klok gehoord, maar heeft geen idee waar de bewuste klepel hangt. Zeker als het gaat om APT-dreiging.
Het was voor mij dan ook geen verassing dat zelfs leden van de Tweede Kamer zich serieus afvragen of hackers kunnen worden ingezet als de beveiligingsauthoriteit voor de overheids-ict.
Met alle respect voor de hackers – en dat respect heb ik zeker – zij hebben niet de benodigde kennis die nodig is om de huidige en toekomstige APT-dreigingen succesvol te weren, noch beschikken zij over het gehele overzicht waarin verbanden worden gelegd, met als gevolg dat zij structureel geen beargumenteerde voorspellingen kunnen kunnen doen over de verwachte technologische dreigingsontwikkelingen. Juist die verbanden en verwachtingen kunnen het verschil maken tussen een grootschalige (nationale) security breach en een voorkoming hiervan.
De APT-dreiging is dusdanig complex en inventief dat een algehele 100 procent beveiliging tegen dergelijke dreiging niet te garanderen is. Vandaar dat een constante monitoring noodzakelijk is om erger te voorkomen en bij een ‘breach’ de schade zo beperkt mogelijk te houden.
Een manier om een APT-dreiging te beschrijven, is de indeling in vijf fasen, die in meer of mindere mate zijn te ontdekken in de APT-dreigingen. Deze fasen zijn:
1. Verkenning
2. Initiële Infectie
3. Laterale verspreiding
4. Subversie, exfiltratie
5. Opruiming
Complex
Aangezien de aanvallers gebruikmaken van niet-conventionele methoden en procedures, worden de aanvallen niet altijd ontdekt tijdens de eerste en tweede fase. Vaak komt de ontdekking pas in de derde en vierde fase. Dit is dan ook de reden dat zowel het interne netwerk alsook de perimeter van de ict-infrastructuur constant moet worden gemonitord.
Deze monitoring wordt steeds complexer, omdat meer data moeten worden geanalyseerd en aanvallen vaak alleen kunnen worden ontdekt als er spake is van anamoly-detection (oftewel een afwijking van het normale patroon). Hackers kunnen deze vereiste monitoring onmogelijk structureel uitvoeren. Mijns inziens kan deze continue monitoring alleen adequaat worden uitgevoerd door gespecialiseerde en hiervoor geëquippeerde partijen, hetgeen een serieuze investering vereist. Hierbij is zelfs de ondersteuning van specifiek ingerichte research benodigd, omdat de dreiging steeds geavanceerder wordt en alleen met ‘dedicated' research de dreiging kan worden bij gehouden en vaak kan worden vóór gebleven. Daarnaast maken deze gespecialiseerde bedrijven al enkele jaren gebruik van de kennis van (ex-)hackers, vaak door middel van een daadwerkelijke functie binnen de research teams.
Om de ict van de overheid (en gemeenten) zo goed mogelijk te beveiligen, is mijns inziens een ‘in-depth risk assessment' noodzakelijk. Dit assessment dient volgens de onderstaande stappen plaatsvinden:
– (learn) Eerst dient te worden bepaald wat het it-landschap is en waaruit de dreigingen bestaan. Ook de risico's en kwetsbaarheden dienen in kaart te worden gebracht.
– (monitor) Vervolgens zal een ‘real-time' overzicht moeten worden gegenereerd om te bepalen wat er gebeurt in en rondom de organisatie.
– (analyse) Dan moet worden bepaald wat de oorsprong en impact van de gebeurtenissen zijn. Bij dreigingen dient er een gedegen analyse plaats te vinden en worden de resultaten van de analyse gevisualiseerd weergegeven.
– (respond) Acteer, beperk en repareer de schade. Bepaal of en zo ja, in hoeverre de aanval succesvol was. Implementeer eventuele afschrikmethoden en elimineer de ontdekte kwetsbaarheden.
– (learn) Gebruik de geleerde lessen en neem de benodigde maatregelen en begin de cyclus opnieuw.
Serieuze investering
Concluderend kom ik dan tot de volgende stelling: Om de veiligheid van de overheids-ict goed aan te pakken en zeker vwb de APT-dreiging, moet de overheid de hulp inroepen van private gespecialiseerde en geëquipeerde partijen die de beschikking hebben over dedicated research en kennis. En ja, dit vereist een serieuze investering!
Deze partijen hebben goed zicht op de dreigingen, de cyberontwikkelingen en kunnen gericht advies geven over de benodigde acties. Alleen dan kan de ict van de overheid veiliger worden. Dat gaat niet lukken met alleen hackers…
Zelfs als alles waar is wat Fred schrijft, lijkt het mij een goede stap om nu te beginnen met “hackers” (en dan bedoel ik het type ethical hackers en niet de cyber criminals die door de pers ook hackers genoemd worden). Die “hackers” kunnen misschien geen voorspellingen doen over toekomstige bedreigingen, maar zij kunnen in ieder geval al wat zwakheden aantonen zodat die verholpen kunnen worden. Want waarom zou een hacker een geavanceerde aanval uitvoeren als je je doel meet een eenvoudige SQL injection kunt bereiken. Met #Lektober is toch wel duidelijk geworden dat het met onze overheid echt op dit niveau afspeelt.
Door goede en gevarieerde beschermingsmaatregelen kun je het de cyber criminal al behoorlijk lastig maken. Als je focust op bestaande bedreigingen, kom je altijd met maatregelen nadat de bedreiging bekend is. Mosterd na de maaltijd. Als je focust op toekomstige ontwikkelingen, dan zit je er meestal ook naast. Kijk maar eens naar de voorspellingen van enkele jaren geleden en wat daar van uitgekomen is. Met het toepassen van gevarieerde beschermingsmaatregelen ben je verstandig bezig, want je focust dan niet op bedreigingen, maar op de bescherming van datgene dat bescherming behoeft.
Meer weten, http://www.isecom.org/osstmm is een goed begin.
tldr: Geef me geld, en het komt goed.
Veel organisaties letten alleen op wat er op ze af komt en letten te weinig op wat ze versturen. Uitgaande firewall verbindingen geven interessant inzicht, zeker bij APT!