Iedere organisatie kampt met dezelfde uitdaging: hoe behoud ik het overzicht in deze tijden van Bigdata, complexe cyber aanvallen, aangepaste eisen en regelgeving van klanten/overheden/instanties en (ex-)werknemers? Nu denkt u mischien: De eerste paar redenen begrijp ik, maar wat heeft die laatste categorie er nu mee te maken? Ik zal dit toelichten.
De basis van een goede alomvattende security strategie voor een organisatie begint bij het identificeren en onderkennen van alle dreiging, dus ook die van binnenuit, ook wel ‘insiders threat’ genoemd. Het is dan ook zaak om deze security strategie bekend te maken binnen de organisatie, zodat eenieder op de hoogte is van deze strategie (cyber awareness). Indien dit zorgvuldig wordt aangepakt, dan zijn ook de werknemers (en toekomstige ex-werknemers) op de hoogte van het feit dat de organisatie insiders threat onderkend.
Helaas is een dergelijke aanpak voor cyber awareness eerder uitzondering dan regel en zullen organisaties hierin moeten investeren om toekomstige veiligheidsincidenten met eventuele ex-werknemers te voorkomen, want een goede cyber awareness invulling kan mijns inziens wel degelijk bijdragen tot een ‘afschrikeffect’ voor ex-werknemers. Vandaar ook deze opinie.
Constant monitoren
Naast deze ‘preventieve' aanpak, zal een allesomvattende security strategie ook moeten ingaan op het constant monitoren van de organisatie, inclusief de eigen werknemers. Deze monitoring is essentieel om het benodigde overzicht van de organisatie te verkrijgen. Deze monitoring dient te worden 'uitgevoerd' met daadwerkelijke effectieve en volledige tooling. Deze tooling bestaat uit de 'open deuren' als een goede password policy of intrusion detection/prevention systemen, maar wordt vooral gevormd door de combinatie van een goede Identity Management, Access Management en siem-oplossing (security information en event management). Juist die combinatie zorgt ervoor dat de organisatie minder kwetsbaar is geworden voor dreigingen van binnenuit.
Een Identity Management, een Acces Management of een standaard siem-oplossing alleen zal vaak niet afdoende zijn, want de organisatie mist het algehele overzicht. Juist de combinatie van deze drie elementen zorgen ervoor dat de organisatie redelijk goed is beveiligd. De verschillende elementen voeden elkaar met essentiële informatie, die vervolgens kan worden geanalyseerd.
Door de toevoeging van intelligentie, worden er verbanden gelegd, die door een enkele oplossing niet altijd kunnen worden geïdentificeerd. De kracht van de verdediging is juist het samenwerken van de verschillende elementen, zodat alle mogelijke gevaren door één of meerdere oplossingen kunnen worden onderkend en worden 'aangepakt'.
Essentieel
Vooral de siem-oplossing is essentieel in dit verhaal, want zonder een goede siem-oplossing, is het vereiste overzicht van de netwerken lastig te verkrijgen. Hierbij doel ik op tweede generatie siem-oplossingen, want de eerste generatie oplossingen zijn niet meer adequaat tegen de huidige dreigingen. De tweede generatie siem-oplossingen worden ondersteund en ge-update door specifieke r&d en zijn in staat om in de pre-exploit fase mogelijke kwetsbaarheden te ontdekken, want het gaat meer en meer om proactieve onderkenning van mogelijke gevaren.
Een goed inzicht in de huidige configuraties op alle systemen, bestaande vulnerabilities/kwetsbaarheden, security- en compliance policies, assets en anomaliën is essentieel. Daarnaast is de mogelijkheid al deze informatiebronnen te koppelen aan siem-informatie en overall correlatie en predictive analysis te kunnen doen middels 'security intelligence' van onschatbare waarde voor organisaties om zich te wapenen tegen nieuwe bedreigingen en tegen ‘insiders threat'.
Mijns inziens is het niet de vraag of u hiermee in aanraking komt, maar moet de vraag zijn: wanneer? De voorbeelden uit het recente verleden spreken voor zich. De ene keer is er een miljardenbedrag aan geld ontvreemd door een eigen werknemer en de andere keer is er zeer gevoelige informatie ‘gelekt' door een ex-werknemer. Kenmerkend bij deze voorbeelden is het feit dat het organisaties betreft, die geen actieve en moderne drie-eenheid van identity management, access management en siem hadden ingevoerd.
Snel op de hoogte zijn
Zeker in de huidige tijd van onzekerheid, gedwongen ontslagen en de technische mogelijkheden van gegevensdragers, is het van belang om op ieder moment precies te weten wat de werknemers doen en waartoe zij toegang hebben. Niet om constant ‘Big Brother is watching you' uit te hangen, maar wel om bij een dergelijk voorval zeer snel op de hoogte te zijn, zodat erger kan worden voorkomen. Sterker nog, als de drie-eenheid functioneert en dit ook is gecommuniceerd binnen de eigen organisatie, dan ben ik van mening dat de kans op een dergelijk voorval tot een minimum wordt beperkt. Dat er meer aandacht moet worden besteed aan insiders threat is zeker, want het zijn niet alleen de Duqu, Stuxnet en Anonymous, die bedreigend zijn voor uw organisatie. Een eigen werknemer kan namelijk zowel een ‘friend' als een ‘foe' zijn of worden……
Wat ik mis in dit verhaal is dat het allemaal in de eerste plaats begint bij de beveiliging van de data in alle lagen van de onderneming middels versleuteling van alle gegevensdragers (fysieke en virtuele opslag media). De volgende stap is de individuele versleuteling van alle bestanden, zowel in flat files als in databases (Dit staat los van de versleuteling van de gegevensdrager op zich). Zijn deze stappen gedaan dan kan men op basis van de identiteit en rol van de gebruiker ontsleuteling en toegang met de bijbehorende gebruikersrechten voor de opgevraagde data regelen in het Identity Management, Access Management proces waarover u schrijft.
Ik sluit mij aan bij de mening van Eric. Beveiliging dient op verschillende niveaus en lagen ingeregeld te worden. Maar er komt meer bij kijken dan alleen techniek.
Bijvoorbeeld een pre-employment screening van de werknemer is in veel gevallen ook geen overbodige luxe om op voorhand al te weten hoe “braaf” een werknemer in het verleden geweest is. Gelukkig wordt dit door steeds meer werkgevers toegepast.
En last but not least goede voorlichting,training en heldere richtlijnen voorkomt ook een hoop problemen.
Terecht dat er aandacht gevraagd wordt voor de interne bedreigingen maar artikel richt zich wel sterk op extrinsieke controlemechanismen die ook weer misbruikt kunnen worden zoals we kunnen leren van de megafaude bij een Franse bank. Eric haalt dan ook een goed punt aan met Role Based Access Control (RBAC) maar ook hier hangt de beveiliging af van de zwakste schakel wat uiteindelijk de mens is. En daar helpt ook geen pre-employment screening tegen zoals Ruud voorstelt en we kunnen leren van Wikileaks.
Intrinsieke beveiliging begint en eindigt dus bij de mens die informatie niet alleen digitaal verwerkt en opslaat maar deze ook onthoudt en gebruikt. Als je het dus over een drie-eenheid hebt dan zou deze eigenlijk moeten bestaan uit vertrouwen, controle en verantwoordelijkheid. Gevoelige informatie kan, net als in een spionage film namelijk ook gewoon van het beeldscherm gekopieerd worden met bijvoorbeeld een mobiele telefoon. En dat kan heel eenvoudig weer op sociale netwerken gedeeld worden. Met technische maatregelen dwing je dus alleen extrinsiek gedrag af wat ook niet echt goed past binnen het concept van het nieuwe werken en Bring Your Own Device.
Bewustwording van de risico’s en wijzen op gedrag zal veel effectiever zijn en voorkomt onnodige investeringen. Want er zijn legio werknemers die gaan lunchen zonder hun desktop te blokkeren en daarmee RBAC, wachtwoord policies en andere technische maatregelen ondermijnen. De kracht van de verdediging ligt dus vooral in bewustwording van de risico’s die door alle ontwikkelingen steeds meer toenemen. Soms geven maatregelen een vals gevoel van veiligheid, zoals airbags in een auto die ons wel beschermen tegen letsel maar ongelukken niet voorkomen.
Het accent van beveiliging verschuift van netwerkbeveiliging naar databeveiliging. Data heb je in twee categorieën: gestructureerd en ongestructureerd. Gestructureerde data zit doorgaans in databases en worden ontsloten door applicaties. De rechten tot deze data wordt geregeld binnen de applicaties. Een IAM oplossing zorg ervoor dat je deze toegangsrechten beter kan beheersen.
Ongestructureerde data echter is veel lastiger. Data is vaak opgeslagen op shares, in de mail of in DMS systemen. Er is ook een groter risico dat deze data lekt omdat men er geen controle over heeft. Je kan de opslag van de data wel beveiligen middels encryptie (bv versleutelde harde schijf of USB stick e.d.) of het transport via Secure e-mail en/of VPN verbindingen. Het probleem hierbij is echter dat je nog steeds geen controle hebt over de data. De ontvangende partij kan de data vervolgens gewoon doorsturen of uitprinten ook al wil je dat als documenteigenaar niet. Voor het beveiligen van ongestructureerde informatie zou je kunnen overwegen om naar Information Rights Management te kijken.
Natuurlijk sluit ik me ook aan bij de vorige sprekers, dat bewustwording en gedrag, maar ook dataclassificatie belangrijke randvoorwaarden zijn om de beveiliging te optimaliseren.
Monitoren waar je bestanden blijven (vdss.nl) lijkt voor de toekomst een essentieel onderdeel van je automatiseringsbeleid. Problem solved…?