De afgelopen jaren zie ik in toenemende mate dat de securitymarkt is volgestroomd met bedrijven die 'wij van wc-eend'-achtige producten en deeloplossingen aanbieden, zonder dat het securityprobleem 'allesomvattend en integraal' wordt aangepakt. In de huidige cyber wereld zijn de dreigingen te breed in scope en te geavanceerd om deze niet 'allesomvattend en integraal' aan te pakken.
Ik constateer dat een groeiend aantal organisaties ingaat op de aanbiedingen van deze ‘wij van wc-eend' deeloplossingen zonder dat er een overkoepelende partij met een allesomvattende en integrale aanpak bij betrokken is.
Aan de ene kant begrijp ik dat organisaties alleen voor de deeloplossingen kiezen. Ze denken vaak korte termijn, hebben geen of geen gemandateerde ciso (chief information security officer) in hun organisatie aangewezen (security is dan belegd bij de cio of ergens in deit- afdeling). Ook richten ze zich vooral op de business en willen snel en goedkoop voldoen aan bestaande en nieuwe compliance regelgeving, met de verwachting dat hiermee hun beveiligingsproblematiek ook is opgelost.
Aan de andere kant wil ik het niet begrijpen, want leren wij dan echt niets van 'Lektober', Diginotar en Anonymous? Waarom zijn we als maatschappij nog steeds verbaasd wanneer we in de media lezen dat organisaties zijn gehacked of dat er ‘per ongeluk' gevoelige informatie op straat is gekomen?
Hacks nemen toe
Het is mijn verwachting dat de stroom van hacks de komende periode niet afneemt, sterker nog, ik denk dat de hacks alleen maar toenemen, zolang de 'wij van wc-eend'-producten en oplossingen door organisaties blijvend worden aangeschaft zonder dat een 'allesomvattende en integrale aanpak'. Een aanpak, die bestaat uit procesdenken, ketenintegratie en een gedegen securityanalyse. Een gedegen securityanalyse, die ik de afgelopen jaren in mijn werk als securityconsultant slechts twee keer (!) ben tegen gekomen.
Ik ben dan ook van mening dat iedere organisatie (ja, je leest het goed: iedere organisatie) een gedegen risico analyse moet doen. Een basis voor deze analyse kan een 'risk appetite' van de organisatie zijn. Dit betekent dat het management aangeeft hoeveel risico ze bereid is te lopen. Vaak zie je dat de organisatie voor een risico analyse hier niet over heeft nagedacht met als gevolg dat een 'risk appetite' na de uitkomst van de securityanalyse wordt geformuleerd. Eén ding is zeker, de uitkomsten en de opvolging van een risico analyse hangen samen met de ‘risk appetite' van de organisatie. Althans als het goed is.
De doelstelling van bedrijven is mijns inziens een streven naar een afgewogen niveau van kosten en baten van beveiliging, zoals aangegeven in de 'risk appetite'. Op basis hiervan kan vervolgens een risico analyse plaatsvinden, die in grote lijnen bestaat uit:
– het in kaart brengen van het organisatie-landschap,
– het bepalen van de dreigingen, kwetsbaarheden en inherente risico's,
– het in kaart brengen van de huidige securitycontroles en hun effectitiviteit in het verminderen van bedreigingen,
– de analyse van de overgebleven risico's,
– het voorstellen van additionele mitigatie maatregelen/controls, die niet alleen bestaan uit preventieve maatregelen, maar ook kunnen bestaan uit pro-actieve maatrgelen zoals bijvoorbeeld het gebruiken van monitoring & response als integraal aspect.
Vanzelfsprekend wordt bij een risico analyse gekeken naar zowel externe als interne aspecten (eigen werknemers en systemen).
Nog meer ‘wc-eenden’
Zonder gedegen risico analyse wordt er te veel geld en waarschijnlijk op de verschillende plekken uitgegeven met de kans dat er nog meer hacks en veiligheidsincidenten volgen. Dit kan dan weer tot gevolg hebben dat er nog meer ‘wc-eenden' op de markt komen. Dit zou op zich ook geen probleem zijn als deze deeloplossingen holistisch en integraal zouden worden geïmplementeerd. Maar dit is helaas niet altijd het geval. Daarnaast beschikt geen enkele partij over alle benodigde deeloplossingen en kan geen enkele partij dit alleen implementeren. Samenwerking wordt dan ook een must.
De holistische aanpak begint met een gedegen securityanalyse (zoals hierboven aangegeven) en wordt gevolgd door advies inclusief implementatie. Het is juist die combinatie van de securityanalyse, het advies, de implementatie en de samenwerking met andere partijen, die het verschil maakt. In de huidige wereld is het namelijk onmogelijk om de complexe securityuitdagingen door één partij te laten oplossen. Daarvoor is het domein te breed en is er geen enkele partij ter wereld, die alle benodigde kennis, expertise en ‘bemanning' in huis heeft. Bij een dergelijke gezamenlijke aanpak, ben ik wel een voorstander van een éénhoofdige leiding, zodat de klant één verantwoordelijk aanspreekpunt heeft.
Hierin kunnen ook de ‘wc-eenden' van deze wereld een plaats krijgen, maar dan wel als element van één integrale oplossing. De oplossing bestaat dan niet uit óf een Identity & Access management beleid, óf een monitoring tool (inclusief IDS/IPS), óf een security awareness opleiding voor het personeel, óf een applicatie securityoplossing, óf……Nee, volgens mij moet een integrale oplossing bestaan uit: ‘en, en, en en en'. Pas op het moment dat organisaties dit gaan inzien en gaan toepassen, dan pas hebben wij als maatschappij een kans van slagen en kunnen wij daadwerkelijk tegenstand gaan bieden aan de kwaadwillenden.
Ik hoop dan ook dat het ‘wij van wc-eend' verdwijnt en wordt vervangen door ‘wij samen op basis van de risk appetite, de risico analyse en de holistische aanpak'!
Wat zou dat toch mooi zijn…
Check. Voor mij meteen een inspiratie om een risico analyse checklist te schrijven voor cloud computing.
Wat ik nog wel mis is de link naar de gebruiker/werknemer. Want met alle wc-eend van de wereld zal een niet bewuste eindgebruiker een risico factor vormen.
Goed artikel, maar heel erg gericht op een product-aanpak.
Fred heeft inderdaad een heldere kijk op een nog steeds zeer actueel onderwerp.
Ik neem aan dat zijn opmerking ‘het niet kunnen begrijpen waarom we niets van het recente veleden hebben geleerd’ een soort van retorische constatering is.
Immers met securety is het juist ohh zo simpel
We willen er allemaal graag over blaten maar als het puntje bij het paaltje komt willen we er niets aan doen !
Get real ! investeren in securety kost geld, daarvoor moet je gekwalificeerde mensen hebben die kosten nog meer geld, vervolgens moet je maatregelen nemen kost ook weer geld, je moet je spullen in orde houden kost nog meer geld, en als dank krijg je (als je het geluk hebt een werkelijk deskundig advies op te kunnen volgen) een systeem vol met beperkingen, veiligheidscontrolles wachtwoorden, en ander gesodeju waar Truus van de administratie niets mee kan, niets van snapt en dus ook niet mee wil leren omgaan.
(No offence Truus, geloof me je baas is nog een graadje erger die snapt helemaal niet waarom hij zoveel geld moet uitgeven voor iets dan zijn neefje van twaalf zonder al die beperkingen voor elkaar had gekregen)
Zolang gebruikers nog zelf de updates van hun systemen moeten bijhouden
Zolang we nog webinterfacejes gebruiken om servers te beheren
Zolang we nog ftp gebruiken om onze bestandjes naar de webserver te versturen,
Zolang we nog zo nodig moeten kunnen internetten op systemen die gekoppeld zijn aan het kantoornetwerk,
Zolang de directeur vind dat hij op alle systemen als admin/root of whatever moet kunnen inloggen (en beheerders ook niet in staat zijn dat anders te regelen),
Zolang we nog lekke of anderszinds slecht geconfigureerde systemen op gebruiken op plaatsen waar gevoelige data bewaard of verwerkt wordt,
(en zo kunnen we allemaal wel het lijstje aanvullen)
Heeft het totaal geen zin om over security te kwekken.
Het zal nog wel even duren voor de ‘gewone (ict) man’ het licht gaat zien.
Als ex-Security Consultant kan ik bovenstaand verhaal 100% onderschrijven.
We zitten al een jaar of 10 in een impasse, dilemna of noem maar op.
ICT-security is uitermate complex. Managers die in het algemeen weinig van techniek (willen) afweten, snappen bij God niet wat het probleem is ergo bagatelliseren het zelfs…mijn neefje weet wel hoe het moet….
Het kost alleen maar geld en levert niets op, je hebt desondanks beveiligingsincidenten, we lopen toch geen risico, het zijn allemaal veraf ‘indianen’-verhalen, het is werk van hobbyisten, techneuten, whizzkids…allemaal dooddoeners waar we niets mee opschieten.
Security professionals moet denken vanuit de business, denken in processen, certificeren en ga maar door. Maar in een complex werkveld is het en…en en heb je zowel papieren securitymensen nodig diet het certificaat verzorgen, professionals die hun techniscge (security)vak verstaan, (anti-hackers) en all-rounders/globalisten die coordineren en managen. Alleen dan , met een holistische aanpak, kun je afdoende verweer bieden.
Pas als de eigen beurs wordt aangetast, de bankrekening wordt leegeroofd, er (imago-)schade is ontstaan dan, en pas dan, wordt men wakker maar is altijd weer iemand anders de schuldige die het heeft gedaan of een fout heeft gemaakt.
Een manager maakt geen fouten per definitie!
De professionele cybercriminelen moet dat als muziek in de oren klinken en die kunnen zo al vele jaren wel geld verdienen met cybersecurity.
Grappig dat in dit “Wij van WC Eend” ook een preek voor eigen parochie is terug te vinden.
De problematiek van vandaag de dag is dat we aan de ene kant alle cyber-criminaliteit hebben en aan de andere kant nieuwe gagdets, BYOD, HNW en onveilige populaire software/systemen.
Wellicht een beetje off-topic, maar is zoiets als single-sign on (wat een grote vlucht neemt) niet een voorbeeld van hoe ’t _niet_ moet? (Zoals deze school dat bijvoorbeeld doet: http://www.informaticavo.nl/archive/3863-De+Password+Reset+Tool+van+Tools4Ever. Maar er zijn legio scholen die single-sign on gebruiken of dat binnenkort willen gebruiken.)
Als er dan immers één wachtwoord op straat ligt, kan men bij _al_ je accounts.
@M: Single Sign-On is juist heel goed. Het zorgt voor een enkel wachtwoord ipv hele losse slechte wachtwoorden.
Veel moeilijke wachtwoorden onthou je niet makkelijk, dus gaat iedereen makkelijke wachtwoorden bedenken, die maar net voldoet aan de complexiteitsrestricties.
De wachtwoorden te vaak laten verlopen, werkt ook contra-beveiligend.
“Het zorgt voor een enkel wachtwoord ipv hele losse slechte wachtwoorden.”
Dat is net mijn bezwaar; het zorgt voor één enkel wachtwoord :).
Qua handigheid/onthouden is dat natuurlijk veel beter, maar qua beveiliging m.i. juist niet.
Dat men te zwakke wachtwoorden neemt (daar waar sprake is van géén single sign-on) kan worden voorkomen door de complexiteitseis steviger in te stellen. Een probleem is trouwens dat wachtwoorden tot zo’n 14 karakters tegenwoordig allemaal te kraken zijn middels bruteforce.
“De wachtwoorden te vaak laten verlopen, werkt ook contra-beveiligend.”
Dat ben ik eens. De standaardinstelling van Microsoft om elke 42 dagen je wachtwoorden aan te passen, heb ik altijd zwaar te kort gevonden.
Ik vind dat je mensen niet moet verplichten dezelfde wachtwoorden te gebruiken op verschillende systemen. Daarme zou je mensen verplichten m.i. onveiliger te werken. Dus geen single sign-on opdringen.
Echter als de gebruiker het wil kàn dat wel; ze kunnen toch gewoon zelf overal hetzelfde wachtwoord instellen? (Doorgaans wordt het niet geblokkeerd datn men zelf een wachtwoord instelt.)
@M, 07-11-2012 12:35:
Als je je beveiliging op orde hebt, dan is bruteforcen niet echt mogelijk. De authenticatieinterface hoort niet toe te staan dat iemand herhaaldelijk wachtwoorden kan proberen bij accounts. De server waar de wachtwoorden op staan hoort afgeschermd te zijn en als die al gecompromitteerd wordt staan de wachtwoorden daar als het goed is op een dusdanige manier (hashing, salting) opgeslagen dat daar ook weinig succesvol te bruteforcen valt.
En juist een geïntegreerde I&AM oplossing die single-sign-on (of single credential) biedt kan daar een boel aan bijdragen door allerlei houtje touwtje decentrale login mechanismes te vervangen.
Ook regelmatig het wachtwoord laten veranderen is een stuk minder vervelend voor gebruikers als ze maar 1 wachtwoord hebben, ipv 37.
Zoals in dit artikel wordt betoogd dat security in zijn geheel moet worden beschouwd geldt dat ook voor de verschillende onderdelen van die holistische oplossing. Niet een deeltje access control hier en een stukje daar, maar een goed doordachte integrale aanpak over de hele organisatie.
Daar kan dan prima uitkomen dat sommige zeer kritische systemen te risicovol zijn om achter de standaard single-sign-on authenticatie te hangen, maar dat is heel wat anders dan SSO bij voorbaat afkeuren omdat het minder veilig zou zijn.
Single Signon, gecombineerd met Smart-Card gebaseerde certificaat authenticatie, waarbij de PIN gevalideerd wordt met een token is echt niet te kraken, en er valt niets te verliezen. Zelfs als je je smartcard kwijt raakt, of zelfs je card en je token, dan nog is er niets aan de hand (effe centraal het certificaat intrekken of de token disablen). Alleen een SIngle Signon tool die met alle exotische software (die vaak ook zelf interne accounts bijhouden) is voor een enterprise oplossing al lastig genoeg.
@Frank: Als de wachtwoord hash tabel eenmaal op straat komt te liggen, dan zit er niets anders op dan alle ww’s te laten resetten.
De rekenkracht van de moderne processors en de toepassing van rainbow tables maakt bruutforcen tot een zeer toepasselijke methodiek. De tijd dat we weken nodig hadden om een ww te achterhalen, zijn voorbij.
Wat wel een punt is, maar dit stond in het oorspronkelijke stuk ook. Dat de focus niet alleen op een onderdeel moet liggen; een zeer strenge rollen en rechten matrix aan maar bijvoorbeeld zeer lakse fysieke toegangscontrole.
@Erwin: Jij hebt het over two-factor authentication wat sowieso al een stuk beter is, dan enkel een wachtwoord