Informatiebeveiliging en spionage zijn zo oud als de mensheid. Ook al vormen computers, software en netwerken het gevechtsterrein voor cybercrime en cyber warfare, toch is de menselijke factor minstens zo belangrijk. Zijn er basisregels voor informatiebeveiliging, al dan niet in cyber space? Hoe deden ze dat toch in de Koude Oorlog?
Op de website van CTOVision kwam ik een interessante bijdrage tegen van redacteur Bob Gourley over de zogeheten ‘Moscow Rules’, een set regels en policies die Amerikaanse spionnen dienden te volgen als ze zich in de hoogtijdagen van de Koude Oorlog op vijandelijk terrein bevonden. Volgens Gourley zijn de Moscow Rules uitstekend van toepassing in cyber defense. Gourley heeft de Rules licht aangepast voor gebruik door de CyberOfficer onder vuur.
Gourley’s ‘Moscow Rules for Cyber Operations’:
1. Vertrouw niet op je buikgevoel en intuïtie. Cyber war is immers geen oorlog van vlees en bloed. Meet, monitor en check alles.
2. Eén enkele informatiebron is geen bron. Ga op zoek naar meerdere bronnen, bij voorkeur van buiten je organisatie.
3. Richt je cyber defense-monitoringsysteem zodanig in dat alle bronnen bij elkaar komen voor ‘big data’-analyse. Dit dient zowel gestructureerde informatie uit het netwerk en de computers te omvatten als ongestructureerde feeds uit adviesrapporten, kwetsbaarheidsrapportages, social media en gespecialiseerde cyber intelligence-bronnen.
4. Maak een back-up van alles wat van belang is voor je werk en bewaar logs die niet te manipuleren zijn. Dit zal je keer op keer redden.
5. Wees je ervan bewust dat je maatregelen worden geobserveerd. Je tegenstander ziet dat je naar hem kijkt; je bent nooit helemaal alleen.
6. Je tegenstander heeft in potentie ieder apparaat in je systeem onder controle. Mogelijk zijn je VoIP-telefoon, Telepresence-systeem, laptop, tablet en zelfs je mobiele telefoon allemaal gecompromitteerd. Ontwikkel een architectuur die waarborgt dat gepenetreerde systemen worden gedetecteerd, geïsoleerd en hun communicatie afgestopt.
7. Zelfs in de complexe, heterogene enterprise it-omgevingen van nu kun je afgrenzingen en controlepunten vinden. Zorg ervoor dat je weet waar ze zijn en hoe je ze in je voordeel kunt benutten. Stel rules op voor elke toegangspoort.
8. Bescherm je belangrijkste data en wees je ervan bewust dat datalekkage je bedrijf ten gronde kan richten. Andere dingen hebben ook bescherming nodig, maar je kunt je waarschijnlijk niet veroorloven alles op dezelfde manier te behandelen.
9. Val je tegenstanders niet lastig. Je wilt je defensie versterken om ze buiten de deur te houden en ze weg te laten gaan. Door woede op te wekken of te versterken bereik je het tegendeel. Het is meer dan waarschijnlijk dat je onvoldoende in staat bent om je eigen onderneming te beschermen, laat staan dat je in het offensief denkt te kunnen gaan. Laat dat maar aan de autoriteiten over.
10. Hou je opties open. Besef dat je tegenstander een slimme, creatieve entiteit is die zal reageren en je zal verrassen. Het team dat je naar buiten weet te werken, kan worden vervangen door een beter team.
11. Beheers je vak en zorg ervoor dat je gehele team dat ook doet. Er zijn veel voorbeelden en best practices beschikbaar.
12. Training en opleiding van je mensen zijn belangrijk, maar ze schieten tekort. Zelfs na alle training van de wereld zullen je mensen uiteindelijk worden misleid door creatieve, vastbesloten tegenstanders. Wees je ervan bewust dat op dit moment iemand in je organisatie iets aan het doen is wat ie niet zou moeten doen.
13. Wees voorzichtig met externe consultants. Het cyber defense-domein trekt helaas charlatans aan die claimen specifieke kennis te hebben over hoe je je moet verdedigen. De enige manier om de ervaring van cyber defenders te toetsen, is om zelf hun prestaties uit het verleden te volgen of ervaringen uit de eerste hand te krijgen van mensen die je vertrouwt.
14. Kies zorgvuldig het tijdstip en de plaats voor actie. Beweeg snel om je belangrijkste data te beschermen. Onderneem actie om je tegenstander uit zijn evenwicht te brengen. Ontwikkel een goed doordachte aanpak om alle andere defensielinies volgens je eigen planning op te richten.
15. Wees je bewust van de menselijke neiging om de dreiging te vergeten zodra de lopende aanval is afgeslagen. Wordt niet het slachtoffer van dit cyber threat-geheugenverlies. Neem de moeite om je eigen defensie te onderzoeken, te prepareren en te testen wanneer je niet meer merkbaar onder vuur ligt.
Indikken
Deze rule set valt natuurlijk uit te breiden. Maar in essentie staan de essentiële maatregelen erin. Je kunt ze zelfs indikken tot de volgende:
1. Zorg dat je alles weet wat je kunt weten (SIEM en cyber intelligence)
2. Je hebt al veel voorzieningen in huis die je kunnen helpen bij beveiliging. Gebruik ze! En knoop ze aan elkaar op één dashboard.
3. Ga er gerust van uit dat je al gehacked bent, concentreer je op het belangrijkste. Vergeet dus niet je uitgaande verkeer te controleren.
4. Je bent geneigd de tegenstander te onderschatten en je eigen mensen en middelen te overschatten.
5. Vertrouw niets en niemand, ook je eigen organisatie niet, en zeker niet een middelmatige outsourcer.
6. Neem je beveiliging net zo serieus als je marketing.
7. Zet een afgewogen mix van detectie en prefentiemiddelen in.
@Louis
De klokkeluiders die je opnoemt zou ik geen gevaar willen noemen. Eerder een aanwinst voor de globale wereldbevolking.
Dat mensen zwakke factoren zijn is echt niet van deze tijd. Het is het westen zelfs gelukt om via de leider van een door de inlichtigen dienst opgerichte Maoistische beweging de hand van Mao zelf te schudden.
Als je tegenwoordig écht wilt wapenen tegen hackers heeft het de meeste zin om de partijkas van de zittende regering te spekken.
Ik vind het wel aan grappig verhaaltje, zou het goed doen op het komende hackers event OHM-2013
Zelf doe ik systeembeheer tegen wil en dank, en security is aan mij al helemaal niet besteed. Immers we lullen wel allemaal graag over dit onderwerp maar veiligheids maatregelen ten koste gaan van facebook en de Telegraaf website, zijn we ineens niet meer zo princypieel.
Laat mij maar lekker code kloppen, leuke embedded dingen designen.
Maar ja wie is daar nu in geintereseerd.