In het artikel ‘ICT’er heeft blinde vlek voor beveiliging’ van 13 september jongstleden krijgt de lezer het advies om te investeren in mensen in plaats (!) van spullen. Een gevaarlijke stelling, temeer omdat hij komt van een man waarvan doorgaans blind wordt aangenomen dat hij weet waar hij het over heeft. Maar met dit advies slaat hij de plank toch mis.
In het artikel: ‘ICT’er heeft blinde vlek voor beveiliging‘ beweert de directeur van Fox-IT dat je niet moet inverteren in spullen, maar in mensen. Natuurlijk zijn mensen belangrijk, maar zij moeten wel beschikken over spullen om datgene te kunnen doen waarvoor ze aangesteld zijn. Investeren in een medewerker wiens taak het is om elke dag de activiteit op het netwerk te monitoren? Mijn vraag is dan direct: waarmee gaat die medewerker dat precies doen als er geen spullen gekocht worden? Wat ga je precies monitoren als je geen monitor hebt? Het is absoluut waar dat security beheerd moet worden, maar het een sluit het ander zeer zeker niet uit.
Veel Nederlandse organisaties beschikken nog steeds over niet meer dan een firewall en een virusscanner, en niet over de middelen om het netwerk adequaat te monitoren. Hoeveel medewerkers je dan ook neerzet: ze zijn kansloos. Ja: ze kunnen open-source tools inzetten, maar dan ben je toch alsnog aan het investeren in spullen (open-source != kosteloos).
Dat er wel degelijk bepaalde basiszaken gerealiseerd moeten worden, zodat de medewerker zijn werk kan doen, wordt nota bene later in het artikel bevestigd. Het netwerk moet meerdere lagen kennen, er moeten delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. Ga je die lagen, afkoppelingen en omleggingen ook zonder spullen doen? Dat gaat natuurlijk niet.
Verder stelt Prins dat beveiliging dynamisch moet zijn, en dat je daarvoor dus mensen nodig hebt. Hier laat hij blijken waar zijn expertise in ieder geval niet ligt en dat is bij de staat van de huidige securitytechnologie. Want die is namelijk dynamisch. Wij noemen dat context-awareness: beveiliging toepassen die aansluit op de actuele omstandigheden. Sluit dat de noodzaak van een securitymedewerker uit? Nee. Maar door die dynamische securitytechnologie op de juiste manier in te zetten, wordt het werk van die medewerker vereenvoudigd (wat bovendien tot operationele besparingen leidt).
Dan het voorbeeld over een wolf en schapen. Schieten op cybercriminelen lijkt mij disproportioneel en bovendien vergt een goed geweer wel een forse investering. Je moet ook zeker weten dat je op de echte wolf richt en niet op een beest dat er op lijkt. Uit de reacties op de terughack voorstellen van Prins, het ict-equivalent van het op de korrel nemen van de wolf, blijkt dat dat helemaal niet zo eenvoudig is. En voor je alle wolven te pakken hebt, is er geen schaap meer over. Dat neemt allemaal niet weg dat de overheid, waaraan we het opsporen en onschadelijk maken van de wolf hebben uitbesteed, doortastender zou mogen optreden. Zover is het nog niet en dat je dus óók investeert in preventieve maatregelen ligt voor de hand.
In het voorbeeld van Prins is er ook sprake van een muur, waar dus al in geïnvesteerd is. Kan je met zo’n muur, al dan niet opgehoogd, alle incidenten voorkomen? Hier ben ik het helemaal met Prins eens: dat kan nooit. Maar door die preventieve maatregelen goed in te richten en goed te beheren, wordt de kans op incidenten voor veel organisaties acceptabel laag. En dat kan ik vanuit de praktijk hard maken, want geen enkele van onze Managed Services-klanten (daar waar wij zelf de preventieve beveiliging onder controle houden) is ooit slachtoffer geweest van een grote malware-uitbraak.
In mijn visie bestaat goede beveiliging dus uit drie hoofdzaken en ik vind dat securityspecialisten die anders beweren, gevaarlijk bezig zijn. We hebben spullen nodig voor preventie én reactie en de juiste mensen om het te controleren. Alle drie!
A fool with a tool is still a fool. Natuurlijk begint het eerst bij mensen. Daarna kunnen die zich door spullen laten ondersteunen. Door het een gevaarlijke stelling te noemen krijg ik het idee dat hier iemand vooral zijn oplossing verdedigt. En om de een of andere reden moet ik denken aan de hamer die alles als een spijker ziet. Of de “we have a app for that”.
Erik,
Een SOC, dat is volgens mij wat je bedoeld met de managed service die jullie aanbieden, zal niet alleen naar binnen moeten kijken maar ook naar buiten. Iftach Ian Amit maakte dit duidelijk met zijn presentatie ‘Sexy Defense’ want de aanval is de beste verdediging. Vergelijk het met werkelijke oorlogsvoering waar een goed commandant ook patrouilles erop uitstuurt om inlichtingen te vergaren over de vijandelijke bewegingen. De ‘rules of engagement’ veranderen en ik weet niet wat je van Honeypots vindt maar ze helpen wel om bedreigingen te mitigeren. En betreffende malware lijkt het me toch handig als C&C servers onderuit uitgehaald worden, je gaat tenslotte ook niet dweilen zonder eerst de kraan dicht te draaien.
Dat Nederlandse overheid wat laat en misschien wel met een te klein budget is begonnen kan ik mee instemmen, we bezuinigen altijd en teveel op defensie.
Erik, je hebt gelijk. Naast mensen heb je ook spullen nodig en wat niet vergeten moet worden, een goede organisatie. Die organisatie zorgt voor helder beleid, richtlijnen, procedures, voorlichting en afspraken, voor de juiste mensen en hun opleidingen en inderdaad voor de benodigde spullen ten behoeve van preventie én reactie.
Te weinig aandacht of budget voor één van deze drie pijlers, leidt uiteindelijk tot rampen.
Erik, goed artikel. Wat ik vooral om mij heen merk is dat mensen wel de kennis van security hebben en de beschikking over de juiste spullen hebben, maar dat ze dat ze niet genoeg de processen binnen de organisatie kennen. Ze hebben dus alle mooie tools en hardware maar kunnen dit vervolgens niet goed inzetten binnen de processen van de organisatie.