Informatiebeveiliging en spionage zijn zo oud als de mensheid. Ook al vormen computers, software en netwerken het gevechtsterrein voor cybercrime en cyber warfare, toch is de menselijke factor minstens zo belangrijk. Zijn er basisregels voor informatiebeveiliging, al dan niet in cyber space? Hoe deden ze dat toch in de Koude Oorlog?
Op de website van CTOVision kwam ik een interessante bijdrage tegen van redacteur Bob Gourley over de zogeheten ‘Moscow Rules’, een set regels en policies die Amerikaanse spionnen dienden te volgen als ze zich in de hoogtijdagen van de Koude Oorlog op vijandelijk terrein bevonden. Volgens Gourley zijn de Moscow Rules uitstekend van toepassing in cyber defense. Gourley heeft de Rules licht aangepast voor gebruik door de CyberOfficer onder vuur.
Gourley’s ‘Moscow Rules for Cyber Operations’:
1. Vertrouw niet op je buikgevoel en intuïtie. Cyber war is immers geen oorlog van vlees en bloed. Meet, monitor en check alles.
2. Eén enkele informatiebron is geen bron. Ga op zoek naar meerdere bronnen, bij voorkeur van buiten je organisatie.
3. Richt je cyber defense-monitoringsysteem zodanig in dat alle bronnen bij elkaar komen voor ‘big data’-analyse. Dit dient zowel gestructureerde informatie uit het netwerk en de computers te omvatten als ongestructureerde feeds uit adviesrapporten, kwetsbaarheidsrapportages, social media en gespecialiseerde cyber intelligence-bronnen.
4. Maak een back-up van alles wat van belang is voor je werk en bewaar logs die niet te manipuleren zijn. Dit zal je keer op keer redden.
5. Wees je ervan bewust dat je maatregelen worden geobserveerd. Je tegenstander ziet dat je naar hem kijkt; je bent nooit helemaal alleen.
6. Je tegenstander heeft in potentie ieder apparaat in je systeem onder controle. Mogelijk zijn je VoIP-telefoon, Telepresence-systeem, laptop, tablet en zelfs je mobiele telefoon allemaal gecompromitteerd. Ontwikkel een architectuur die waarborgt dat gepenetreerde systemen worden gedetecteerd, geïsoleerd en hun communicatie afgestopt.
7. Zelfs in de complexe, heterogene enterprise it-omgevingen van nu kun je afgrenzingen en controlepunten vinden. Zorg ervoor dat je weet waar ze zijn en hoe je ze in je voordeel kunt benutten. Stel rules op voor elke toegangspoort.
8. Bescherm je belangrijkste data en wees je ervan bewust dat datalekkage je bedrijf ten gronde kan richten. Andere dingen hebben ook bescherming nodig, maar je kunt je waarschijnlijk niet veroorloven alles op dezelfde manier te behandelen.
9. Val je tegenstanders niet lastig. Je wilt je defensie versterken om ze buiten de deur te houden en ze weg te laten gaan. Door woede op te wekken of te versterken bereik je het tegendeel. Het is meer dan waarschijnlijk dat je onvoldoende in staat bent om je eigen onderneming te beschermen, laat staan dat je in het offensief denkt te kunnen gaan. Laat dat maar aan de autoriteiten over.
10. Hou je opties open. Besef dat je tegenstander een slimme, creatieve entiteit is die zal reageren en je zal verrassen. Het team dat je naar buiten weet te werken, kan worden vervangen door een beter team.
11. Beheers je vak en zorg ervoor dat je gehele team dat ook doet. Er zijn veel voorbeelden en best practices beschikbaar.
12. Training en opleiding van je mensen zijn belangrijk, maar ze schieten tekort. Zelfs na alle training van de wereld zullen je mensen uiteindelijk worden misleid door creatieve, vastbesloten tegenstanders. Wees je ervan bewust dat op dit moment iemand in je organisatie iets aan het doen is wat ie niet zou moeten doen.
13. Wees voorzichtig met externe consultants. Het cyber defense-domein trekt helaas charlatans aan die claimen specifieke kennis te hebben over hoe je je moet verdedigen. De enige manier om de ervaring van cyber defenders te toetsen, is om zelf hun prestaties uit het verleden te volgen of ervaringen uit de eerste hand te krijgen van mensen die je vertrouwt.
14. Kies zorgvuldig het tijdstip en de plaats voor actie. Beweeg snel om je belangrijkste data te beschermen. Onderneem actie om je tegenstander uit zijn evenwicht te brengen. Ontwikkel een goed doordachte aanpak om alle andere defensielinies volgens je eigen planning op te richten.
15. Wees je bewust van de menselijke neiging om de dreiging te vergeten zodra de lopende aanval is afgeslagen. Wordt niet het slachtoffer van dit cyber threat-geheugenverlies. Neem de moeite om je eigen defensie te onderzoeken, te prepareren en te testen wanneer je niet meer merkbaar onder vuur ligt.
Indikken
Deze rule set valt natuurlijk uit te breiden. Maar in essentie staan de essentiële maatregelen erin. Je kunt ze zelfs indikken tot de volgende:
1. Zorg dat je alles weet wat je kunt weten (SIEM en cyber intelligence)
2. Je hebt al veel voorzieningen in huis die je kunnen helpen bij beveiliging. Gebruik ze! En knoop ze aan elkaar op één dashboard.
3. Ga er gerust van uit dat je al gehacked bent, concentreer je op het belangrijkste. Vergeet dus niet je uitgaande verkeer te controleren.
4. Je bent geneigd de tegenstander te onderschatten en je eigen mensen en middelen te overschatten.
5. Vertrouw niets en niemand, ook je eigen organisatie niet, en zeker niet een middelmatige outsourcer.
6. Neem je beveiliging net zo serieus als je marketing.
7. Zet een afgewogen mix van detectie en prefentiemiddelen in.
Dat zijn een heleboel open deuren zonder een enkele concrete oplossing.
De samenhang met de Koude Oorlog is nauwelijks aanwezig, ook niet na een bezoek aan VTOvision.
Voor wie is dit eigenlijk bedoeld?
Zeer ernstig artikel met een erg hoog ‘Don’t trust the world we are the only one you’d better trust….’ gehalte.
Als ouder ‘bekende’ met de vele facetten van terreur en anti, haal ik een beetje mijn schouder op want wat het artikel niet brengt zijn zeer eenvoudige te implementeren, manieren van implementatie en bewustwording die eenvoudiger zijn en vele malen effectiever.
Onderscheid I
Er zijn ruwweg drie soorten mensen die u lastig zouden kunnen vallen.
De ‘playfull hacker’. U weet wel, dat studentje dat een beetje rondklooit en niet echt kwaads in de zin heeft maar zichzelf vaak iets wil bewijzen. De ‘gerichte hacker’, die ene die vaak in opdracht van…. of voor zichzelf op jacht is naar gevoelige data. En tenslotte de estetische rakkers die massaal uw website plat willen leggen uit ideologische overwegingen.
Onderscheid II
Maak een onderscheid van data die u ‘gestolen’ kunnen worden en data die er toe doet, en behandel die dan ook zo. Voorbeeld, dat mensen uw webside kunnen hacken is helemaal niet zo spannend. happy hunting zou ik zeggen. De zaken die u daarachter doet, zoals bijvoorbeeld de inrichting van uw betalingsverkeer en betaaldiensten, die zijn vele malen belangrijker.
Wel of niet encrypten
U zou eens kunnen spelen met het idee data die u vertrouwelijk ter beschikking stelt te encrypten. Het is een extra aanvullende maatregel die u naar hele veilige verbindingen zich eens in zou kunnen denken. Soms is alleen denken er aan niet genoeg, maar speel er eens mee en kijk of de mogelijkheden toepasbaar zijn voor u of niet.
Back up en restore
Vaak word er over geschreven, geroepen en even zo zeer vergeten. Een back up brengt gewoon een aantal voordelen. Wanneer u de pech heeft en terug moet vallen op een back up, bent u sneller aan de slag dan u bijvoorbeeld alles van 0 op zou moeten bouwen. Een betrouwbaar paltform en data back up kan zelf binnen een uur weer operationeel zijn.
Uitwijk
Het is natuurlijk helemaal afhankelijk van de grote van uw bedrijf of organisatie. U zou wanneer u groter bent, ook kunnen denken aan een etchnische uitwijk. Is uw website of toegangsserver gehacked, bedenk dan eens dat het tecnisch mogelijk is om over te schakelen naar een on line uitwijk, waar een spiegel van uw platform stand by staat.
Vraag een techneut
Veel IT-ers, echte techneuten, vinden het leuk te denken en te puzzelen. Ze hebben vaak heel veel eer in hun werk en ideeën. Vraag er eens eentje geheel vrijblijvend met u mee te kijken en te denken. het kost u echt minder dan u denkt en u zou tot hele verrassende resultaten kunnen komen.
Young Upcoming Professional?!?
Laten we realistisch zijn. Ik gun ieder een enorme kans. ook de jongere garde. Maar op het moment dat de ervaren generatie in sneltreinvaart is ‘afgeserveerd’, zou u het dus moeten hebben van de jongere garde. Ik geef u even zaken in overweging zoals haperende IT systemen en diensten. Steeds vaker toenemende grotere storingen, steeds grotere en langere gaten en hiaten in bereikbaarheid van IT diensten en telefonie.
Wanneer u goed deels afhankelijk bent van IT diensten dan is het ook zeker zaak daar aandacht aan te besteden. Vraag verder, vraag na. Goedkoop, ook wat IT diensten betreft, is in de regel ook duurkoop wanneer zaken anders lopen dan afgesproken of verwacht.
Kat en muis
Helaas, en dat is gewoon feit, ‘like it or not’ is het een groot spel van kat en muis. Kan het u overkomen? Jep. Zal het u overkomen? Ach, het is wat dat betreft maar helemaal waar u zich in het zakelijke segment bevind. Sommigen hebben nu eenmaal een hoger profiel om het te overkomen dan een ander. Doorgaans is de kans voor het MKB niet zo heel erg groot.
Wanneer het u overkomt
Dit klinkt wellicht het meest simpel, en vaak is dat ook zo. Trek de stekker eruit, of spreek met uw host dat die dat doet als er echt rare dingen gebeuren. Doe wel aangifte en bouw dossier op, zit de rit uit. De kans dat zij u dagen bezig zullen houden is eigenlijk niet zo heel erg groot.
Ondekt u dat u serieus last heeft van een hacker, trek dan allereerst de stekker eruit, waarschuw uw provider. De meeste providers hebben de ervaring om stappen te zetten om te kunnen ontdekken waar een gevaar vandaan komt. Soms is het zelfs mogelijk dat uw provider de autoriteiten kan helpen door het verschaffen van gedetailleerde data die leiden tot.
Is het iets of iemand uit het buitenland, grote kans dat u er dan verder geen inspanning op zou moeten plegen. De mensen die zich met hacken bezig houden doen dat vaak zo geraffineerd dat zij zelden of niet worden getraceerd.
De jacht op hackers en cybercrime, hoe lastig ook, heeft in ieder geval geen noemenswaardige prioriteit van de overheid. Dat zij dat wel zouden hebben is slechts een politiek getint idee en verder een loss fabeltje. Het meeste van de maatregelen en stappen komen gewoon op u of uw IT afdeling of provider neer.
Denk gewoon nuchter na, maak het niet al te ingewikkeld en bedenk, de beste stap om een hacker of een intrusion de pas af te snijden is gewoon de stekker eruit te trekken en na te denken over te nemen stappen.
Succes.
Kijk dat is nou een goede raad.
Daarbij nog een pleidooi voor ons oude knarren die al hel wat jaren met dat bijltje hakken (hacken, geintje).
Een goede raad wil ik hier toch wel geven, houdt je software uptodate en software die niet regelmatig onderhouden wordt moet je uitwisselen voor software die wel onderhouden wordt. Zeker met websites is een minder bekend systeem vaak minder problematisch als de joomla’s of wordpresses.
Rhett,
Eén van de dingen die me opvalt is dat je als security expert altijd met een stukje komt als het kwaad al geschiedt is, beetje als een ‘naoorlogse’ verzetsheld dus om in de lijn van je titel te blijven. Het tweede dat me opvalt is dat je verhaaltjes altijd met dezelfde oplossingen en de bekende open deuren komen.
Dat we niet zonder beveiliging kunnen is duidelijk maar de geschiedenis leert ook dat divide et impera al sinds de oudheid een beproefde strategie is en we daarna altijd met ‘malle’ overblijfselen blijven zitten. Een wapenwedloop opstarten door aan de ene partij de zwaarden te leveren en aan andere partij de schilden lijkt me dan ook een heilloze weg.
Zo is het namelijk nogal scheef dat 0-day exploits gewoon legaal verkocht kunnen worden. Want er zijn zoals NumoQuest zegt inderdaad verschillende hackers, van individuele script-kiddies tot ontzettend goede programmeurs. Maar vanuit commerciële overwegingen blijft “security through obscurity” helaas nog heel aantrekkelijk waardoor we aan wolven overgeleverd lijken.
Als hackers gebruik maken van 0-day exploits of niet goed beveiligde systemen dan zal actief monitoren van patronen en daarop participeren de beste verdediging bieden, beter dan de stekker eruit trekken. Ook de stelling dat MKB niet of veel minder met hackers te maken heeft lijkt me fact free. Probleem is dat lang niet iedereen openlijk toegeeft dat ze gehackt zijn of de logs gewoon helemaal niet analyseert.
Weten hoe IT zich beweegt is één maar meten hoe het echt gaat is dan ook wat anders en opmerkelijk veel techneuten zijn zich helemaal niet bewust van de risico’s. En dus loggen ze gewoon aan met domain administratieve rechten op hun werkstation om daarmee vrolijk op internet te gaan browsen. Of ze gaan rustig lunchen zonder hun desktop met aangelogde administrator account te locken.
Dan werkt het gebruik van encryptie meestal ook niet meer om de schade van verlies aan data te verkleinen. Wachtwoorden van applicaties worden trouwens nog weleens unencrypted over de lijn gezonden en anders zijn ze wel zo zwak dat ze makkelijk te raden zijn. Maar ook de service accounts zijn natuurlijk interessant en sommige services of management protocollen geven ook nog weleens achterdeurtje.
Een uitwijk zal dan ook meestal niet helpen omdat goed georganiseerde hackers sneller over zijn op je spiegel dan jezelf. Er gaat dan ook een heel uitgebreide verkenning vooraf aan een aanval want ze komen namelijk meestal niet via de voordeur. Ook hier is dus actieve monitoring de beste verdediging en vergeet hierbij niet de test systemen.
Jan van Leeuwen geeft inderdaad goede raad maar deze is helaas soms ook duur omdat er ook applicaties zijn die zich niet laten migreren naar laatste versie van Windows, Java of welk andere onderliggende oplossing dan ook. Helaas is het stellen dat minder bekende systemen ook minder problematisch zijn weer de gebruikelijke “security through obscurity” tenzij het open source is van een betrouwbare bron.
Vraag die me nog rest is wat nu eigenlijk nog betrouwbare bronnen zijn nu onze vrienden zo vijandig zijn geworden?
@ Ewout
het is open source van een betrouwbare bron
Applicaties die zich niet laten migreren naar laatste versie van Windows kun je in een virtual machine op XP laten, liefst zonder internet toegang.
Overigens zou de klant leveranaciers die niet meegaan met hun tijd en nog steeds uitsluitend op XP draaien moeten afstraffen, dat is inacceptabel.
@Jan
Als je met virtualiseren bedoelt dat zo’n systeem geïsoleerd wordt dan zou dat een optie kunnen zijn, maar gebeurt dat ook altijd?
Vaak is dit namelijk gewoon voortzetting van het ‘security through obscuriy’ beleid waarbij we beveiliging vooral aan de randen proberen op te lossen. Alleen zijn deze randen wel erg rafelig geworden waardoor niet altijd duidelijk is waar het internet nu begint en bedrijfsnetwerk eindigt.
Een les uit de koude oorlog is namelijk ook dat de vijand zich kan verschuilen in allerlei tunnels. En die kunnen dus ook gehackt worden zoals we bijvoorbeeld leerden met DigID. Als een moderne Hans Brinker je vinger in de ‘vuurdijk’ steken zal dan niet veel helpen.
@ Ewout,
als je een applikatie hebt die alleen op XP loopt en je zet je VM met XP zo op dat deze helemaal geen toegang tot internet heeft dan kan er weinig gebeuren, vooral als een Linuxsysteem als host neemt met o.a. iptables, er zijn op linux genoeg tools om zo een systeem dicht te timmeren.
@ Ewoud
Als je niet weet hoe IT zich als materie beweegt of dat je bent vergeten als IT professional, krijg je precies wat jij beschrijft. Onachtzaamheid en die leid dan vervolgens weer tot rare dingen zoals vergeten USB sticks of harde schijven die niet zijn gewist en bij vuilnsbakken terecht komen met alle gevolgen van dien.
Je miste overigens de rode draad van mijn betoog dat is namelijk de mensen bewust maken van dingen die je wel kunt doen. Zoals ik al eens in eerdere reflectie aan gaf dat het makkelijk is ergens commentaar op te kunnen leveren maar wat interessanter word het wanneer je mensen een ‘denk richting’ mee kunt geven waar ze iets aan hebben.
Het gaat tenslotte niet om jou of mijn mening of de oplossing die jij of ik zouden bedenken ter implementatie maar dat de mensen die er interesse in hebben, maar meer nog non IT professionals, er iets mee kunnen.
Bedankt overigens nog voor je betoog.
Jan,
Zoals ik zei:”… als zo’n systeem geïsoleerd wordt” want filtering van netwerk verkeer beperkt ook de functionaliteit.
Als we code niet ‘sanitizen’ blijven we een wapenwedloop houden omdat er namelijk vooral een probleem zit in de lifecycles van software.
@Rhett Ik vind het een heel leuk artikel, je schrijft het al, de menselijke factor is ook belangrijk. Het meest onvoorspelbare gevaar komt van binnenuit. De Wikileaks, nu weer de man in Hongkong, de ambtenaar die wat geheimen verkocht.
De regels vind ik wel erg uitgaan van wantrouwen en het zijn ook regels van de ‘aanvallers’. Als ik punt 2 en 3 lees dan denk ik aan mannen met gleufhoeden en langje jassen en spioneren bij de ander. Punt 1, 7 en 8 daar kon ik me in relatie tot computersystemen nog het meest voorstellen.
Maar een van je conclusies is: vertrouw niets en niemand, ook je eigen organisatie niet en zeker geen middelmatige outsourcer. Ik denk, je moet ergens op vertrouwen. Maar ik zit te denken aan mijn Indiaase, Chinese, Japanse, Iraanse, Amerikaanse, Russische etc collega’s ooit. Zijn ze te vertrouwen of zijn het potentiele cyberspionnen?