Wie zelf werkzaam is in de ict, heeft geen gevoel voor beveiliging, stelt directeur Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT. Binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter, constateert hij. ‘Juist ict’ers hebben een blinde vlek voor beveiliging.’
Directeur Ronald Prins van Fox-IT licht zijn visie op ict-beveiliging toe tijdens de eerste dag (27 november 2013) van het landelijk Architectuur Congres. Juist ict-architecten spelen een belangrijke rol bij het beveiligen van de systemen die zij ontwerpen. De manier waarop de beveiliging van systemen wordt ingericht kan een stuk beter, betoogt Prins.
Bij incidenten blijkt telkens weer dat bij de beveiliging vooral is gericht op het optrekken van een zo hoog mogelijke muur. ‘Vreemd’, vindt Prins. ‘Als een wolf de schapen van een boer opvreet, dan grijpt hij zijn geweer, trekt erop uit en schiet hij de wolf dood. Hij zet geen hoger hek rond de wei.’ In plaats van investeren in spullen, adviseert Prins te investeren in mensen. ‘De beste beveiliging is het aanstellen van een medewerker wiens taak het is elke dag de activiteit op het netwerk te monitoren en bij incidenten actief in te grijpen.’
Na een incident wil een directie meestal de ict-systemen van het bedrijf potdicht maken. ‘Dat is een illusie. Zo simpel is het niet. Maar dat is wel het beeld dat hard- en softwareleveranciers oproepen. Alsof het om iets simpels als een vliegtuig gaat. Veel bedrijven kunnen niet eens een tekening laten zien van hun ict-systemen. Zo’n systeem is namelijk dynamisch, er verandert dagelijks van alles. Dus moet ook de beveiliging dynamisch zijn.’
Security center
Grote bedrijven die de afgelopen tijd te maken hebben gehad met aanvallen van hackers, beginnen nu te kiezen voor de dynamische beveiliging die Prins voorstaat. ‘Kijk naar KPN. De trend is naar security centers waar een man of vijftien permanent op grote schermen de activiteit op het netwerk in het oog houden en klaar staan om direct in te grijpen bij incidenten.’
Zo’n security center moet wel de middelen hebben om in te grijpen, stelt Prins. Dat betekent dat de architectuur zo moet zijn ingericht dat het netwerk meerdere lagen kent, delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. ‘Niet één voordeur, maar meerdere voordeuren achter elkaar, die zijn voorzien van een bewegingsmelder.’
Extra werk
Het valt hem tegen hoe weinig ict’ers leren van incidenten. ‘Wij zitten niet om extra werk te springen, maar zouden best adviezen kunnen geven aan ict-architecten hoe zij systemen het best kunnen inrichten. Maar daarover worden wij nauwelijks benaderd.’
NAF-architectuurprijs 2013
Tijdens het Landelijk Architectuur Congres op 27 en 28 november 2013 wordt de jaarlijkse NAF-architectuurprijs uitgereikt. De prijs wordt toegekend aan een individu, groep of organisatie die een bijzondere vakmatige prestatie heeft geleverd op architectuurgebied. Stuur nu jouw architectuur in ter beoordeling! Projecten kunnen worden ingezonden tot 14 oktober 2013.
Wel leuk het fotootje bij dit artikel.
Veel mensen zien het als een hek, een obstakel waar je overheen moet klimmen of onderdoor moet kruipen, of eventueel kapot moet knippen om er langs te kunnen.
En degene die het hek geplaatst heeft maar denken dat een ander nu veilig afgebakend is.
Echter, voor een hacker is het slechts een bos ijzerdraad met daartussen onnoemelijk veel en hele grote gaten.
Pas als je inzicht hebt in de activiteiten, de gedachtegang (en motief) van de “hacker”, en dat herkent (en begrijpt) kun je pas adequate maatregelen nemen. Dat is voor iedere situatie een geval op zich en verdient de nodige expertise.
Met alle respect voor de heren ICT’ers is beveiliging niet hun taak en het zou ook zeker niet hun verantwoordelijkheid moeten zijn maar die van een aparte afdeling (IT) Security.
Echter, in de praktijk is het vaak één en dezelfde afdeling (als het niet één en dezelfde persoon is).
Multidisciplinaire verantwoordelijkheden neerleggen bij één entiteit die (zeker hier) flink confronterend kunnen zijn is nooit juist.
Scheiden van verantwoordelijkheden is de enige oplossing.
Security is in de basis geen IT aangelegenheid al wordt beveiliging in de IT vaak wel vanuit de IT afdelingen opgezet.
Ooit zo gegroeid, meer beter is het om beveiliging juist los te zien van I(C)T en je te laten adviseren door experts.
En nee dit is geen reclame voor een IT Security bedrijf.
Niet alleen security, maar alles wat met aspectbeheersing (BCM, beheer) te maken heeft dient opgenomen te worden in de architectuur. Helaas, opdrachtgevers (en dat zijn niet de IT afdelingen, maar de business, waar het geld zit) willen alleen maar direct toepasbare functionaliteiten.
Het feit dat vliegtuigen veel beter worden beveiligd en de cultuur daar naar is (hoewel daar ook wel maatschappijen zijn, die daar wat makkelijk mee omgaan) heeft te maken met een jarenlange opbouw van wet- en regelgeving die door middel van dwang en boetes opgelegd worden.
Helaas heeft dit met menselijk gedrag te maken, en helaas zal gedrag niet vanzelf veranderen. Je zou dus dezelfde manier moeten hanteren als in andere risicogebieden in onze samenleving.
Overigens zijn er al wel steeds meer moderne manieren om een heel netwerk geautomatiseerd in kaart te brengen. Je moet het ook niet met de hand gaan proberen te doen, zoals Prins enigsinds suggereert.
Volgens mij is een wolf een beschermde diersoort waar je niet op mag schieten. En grote kans dat je in dit geval ernaast schiet, en een ander slachtoffer raakt. De aanvallende machine hoeft namelijk niet van de aanvaller te zijn, wie weet wat voor schade je aanricht. Verzin dus een andere oplossing, zolang besmet zijn nog geen wederrechtelijke nalatigheid is waarop eigenrichting van toepassing is. Maar goed, Security Center as a Service zal wel binnenkort in de Cloud beschikbaar zijn, gezien de bijbehorende investeringen. Als het dat al niet is.
Ik zie zelf graag dat aan de binnenkant van de muur de data goed beschermd is, door middel van encryptie, access control is onvoldoende in mijn optiek. Als er dan een keer iemand over de muur glipt valt er weinig te stelen. Inclusief functiescheiding wordt het behoorlijk lastig om bij de datajuwelen te komen.
Om terug te komen op de kop van het artikel: In mijn gesprekken met systeembeheerders kom ik die blinde vlek niet tegen, wel soms blind vertrouwen in beveiligingsproducten.
Advies: laat eens een phishing aanval doen op je eigen bedrijf. Zelfs IT-ers trappen daar wel eens in.
De gemiddelde directeur van een beveiligingsfirma heeft geen verstand van een normaal werkproces.
Dreigingen zijn altijd aanwezig geweest en zellen er altijd zijn. Zaak is de afweging te maken wat je wilt investeren in beveiliging en monitoring en of dat op weegt tegen de kosten van een “incident”.
Wie met de beentjes op de vloer blijft en zijn personeel instrukties geeft hoe je omgaat met de dreigingen en voorkomt dat deuren open gezet worden heeft weinig tot geen behoefte aan eerder genoemde direkteuren.
Een gewone systeembeheerder brengt meer als iemand die de hele dag het netwerk monitort, het grootste gevaar zit namelijk nog steeds achter het scherm.
Ik denk niet zozeer dat beveiliging een blinde vlek is, maar dat het “de” (PaVaKe, anyone?) ICT-er gewoon niet interesseert.
Beveiliging levert namelijk niets op en is een zuivere kostenpost te voorkoming van nog grotere schade. Ik erken dat het *heel* belangrijk is om bijvoorbeeld trustworthy software of infratstructuur te ontwerpen en dat de kennis hier vaak tekort schiet. Dit komt aan de ene kant omdat het pittige materie is, aan de andere kant dat technisch veiligmaken heel veel geld en research kost. En dan maak je het veilig en dan komt er een grotere aap in de kooi die de maatregelen ongedaan komt maken omdat er ook nog gewerkt moet worden.
Wat ik eigenlijk mis zijn gemakkelijke maatregelen of diensten om in de basis al meer te doen dan de gemiddelde MKB-er. Hierbij denk ik aan een soort device/tool die je neer kunt zetten op een locatie en waarschuwt bij verdachte patronen op het netwerk. Intrusion detection, maar ook een eenvoudige betaalbare dienst om een “bewaker” van de infrastructuur in te huren. CSaaS ofwel Cyber Security as a service.
Wat betreft het ontwikkelen van veilige software. Dit is ook pittig en drijft de kosten behoorlijk op. Daarnaast moet je ook nog eens bij blijven en daar gaat het snel mis. Het is je baan niet, dus bij blijven op gebied van security komt dan aan op discpline omdat het DNA hiervan ontbreekt.
Dat het onderwerp leeft is duidelijk te zien aan de reacties. Erkenning voor de problemathiek is er ook. Maar vooralsnog zie ik geen grote veranderingen plaatsvinden zeker nu blijkt dat het grootste gevaar van een overheid komt 🙂
ICT-systemen bestaan uit een groot aantal componenten die primair als taak hebben om te doen waar ze voor ontworpen zijn. Het is inderdaad de taak van architecten en(!) security specialisten om het overzicht te bewaken en toe te zien dat het geheel van de componenten voldoet aan de eisen van veiligheid die je er aan stelt. Die eisen dienen heel specifiek geformuleerd te zijn en ook een bepaalde prioriteit te hebben. Anders zet je een duur slot in een deur waar de scharnieren los zitten.
Alhoewel de strekking op zich wel juist is, gaat het vergelijk met de olie- en gasindustrie of andere sectoren met grote installaties (energie, chemie, haven etc.) helaas wat mank. In die sectoren staat veiligheid verplicht boven aan de agenda en dit wordt ook dagelijks gemeten omdat je anders de tent kunt sluiten. Komt bij dat er rigoureuze veiligheidstesten worden uitgevoerd alvorens een systeem in productie gaat. Dat dit zelfs geen garantie biedt weten we inmiddels ook door een aantal incidenten waarbij overigens vrijwel altijd de mens de faalfactor is.
Om te weten of een systeem of combinatie van systemen veilig is zul je er niet alleen bij het ontwerp rekening mee moeten houden, je moet het ook heel goed testen en vervolgens regelmatig onafhankelijk auditen en ook continue in de gaten houden.
Dynamische beveiliging is overigens niet nieuw, dit principe hanteerde ik zelf al 20 jaar geleden en toen was het ook echt geen rocket science. Dichtspijkeren werkt inderdaad niet. In piramides zitten helemaal geen deuren en de meesten zijn ook leeggeroofd, inderdaad omdat er geen bewegingsmelder in zat tussen alle obstakels.
Ik weet niet voor welke IT-ers de schrijver spreekt, maar ik ken toch echt veel IT-ers voor wie het wel een dagelijkse zorg is. En we kunnen de architecten van de jaren 80 niet verwijten dat ze niet aan de huidige op internet aangesloten systemen hebben gedacht. Als onze auto’s straks het platte vlak kunnen verlaten (lees:vliegen), zul je zien dat de meeste daken erg lek zullen zijn en dat niet voor de regen.
We moeten nog veel uitvinden en we zullen nog vele lekken tegenkomen, al dan niet te laat. En bedrijven als Fox-IT houden de kennis voor ons op peil (hoop ik) en anders leren we zelf wel bij.
Laat zien dat je met de huidige kennis en wat verbeeldingskracht op dit moment echt het meeste doet wat mogelijk en betaalbaar is.
Ik ga volledig mee in de stelling dat het optrekken van een nog hogere muur niet de oplossing van het probleem is. De vraag naar gespecialiseerde ict-beheerders met forensisch inzicht en de juiste tooling kan heel veel schelen. We leven nu eenmaal in een “post-prevention” wereld, waarbij het van belang is om een eventuele reactie om een incident zo snel mogelijk te laten plaats vinden.
Een training voor de ict-beheerders/incident response teams in forensische analyse van netwerk verkeer, servers, etc. zal de komende tijd hoog op de agenda gaan komen te staan bij organisaties. Dit vooral om de beheerders te trainen naar afwijkingen/ opvallendheden te kijken en daarover te alarmeren. Dit natuurlijk ondersteund door big data analytics en security intelligence middelen.
Ik zie een aantal tegenstrijdigheden en ook goede visies in het stuk. Zo wordt verweten de muur op te trekken na een incident, maar wordt juist toegejuicht om maar meerdere muren (deuren) achter elkaar te plaatsen. De oplossing is zeer complex, omdat de aanval doelgerichter wordt en niet alleen maar meer van de ‘wolf’ komt, maar ook via de lucht (er valt wel eens wat rommel op je dak’), de voedselleverancier (bijv. vergiftiging), het oppervlaktewater (verontreinigd), virussen (q-koorts) en van binnenuit (een gefrustreerde of rancuneuze schaapsherder) enzovoort.
En hoe valt daartegen te beschermen? De oplossing is uitgaan van een ‘zero trust’ mentaliteit, segmentering en alles te meten en te analyseren. bewustwording, continue monitoring en intelligente systemen/mensen moeten er voor zorgen dat jou kudde (jou data) veilig is en blijft zonder dat je businessprocessen of je bedrijfsdoelstellingen gehinderd worden. Nieuwe technieken (tools; denk aan signature less achtige oplossingen), in combinatie met slimme mensen en goede processen zijn de volgende stap voor iedere onderneming die zijn ‘kudde schapen’ lief.
Dit lukt uiteraard alleen door focues en samenwerking met gespecialiseerde organisaties en bewezen oplossingen welke meegroeien met de wijzigende nieuwe en oude dreigingen, want naast een robotschaap welke infiltreert zal ook de wolf in schaapskleren weer in de kudde binnentreden.
Be aware en stay secure!
i.d.d. Mensen zijn nodig met de juiste kennis, en niet als laatste overredingskracht: het omgekeerde van het door de heer Prins geschetste beeld kom ik regelmatig tegen.
Bedrijven moeten eerst de noodzaak zien dat ze kwetsbaar zijn, al hun systemen hangen op een of andere manier aan het internet, of vanuit hun eigen netwerk te benaderen!
Genoeg(IT)Managers hebben alleen oog voor SOX en Segregation of Duties, zelfs als ze uitgelegd worden waar de lekken in hun SAP systemen zitten vindt men het toch te veel moeite of zijn de kosten te hoog.
Pas als men de pijnlijke resutaten van een pen-test ziet gaat het roer om.
Dus de ware stakeholder overtuigen: de business, die heeft geen notie van beveiliging, alleen van functionaliteit.
Door aan de basis met zowel awareness bij mensen te werken als architectuur komt men verder.