‘If you fail to plan, you’re planning to fail’, een prachtige Engelse uitspraak waar absoluut een kern van waarheid in zit. Zeker ook wanneer je die uitspraak bekijkt met het onderwerp it-security in het achterhoofd.
Want eerlijk is eerlijk, zou niet de eerste discussie richting een robuuste it security-strategie moeten gaan over het ‘plannen’ van falen? Over hoe je je voorbereidt op onvoorziene gebeurtenissen die de ‘normale’ gang van zaken op z’n kop zetten?
Een groot aantal bedrijven doet dit eigenlijk al door het laten uitvoeren van kwetsbaarheid-scans en penetratietesten op hun netwerken. Maar deze testen kijken vaak alleen naar zaken als kwetsbaarheden binnen de securityinfrastructuur, of systemen het juiste patchniveau hebben en of er ergens malware wordt aangetroffen. Ze gaan niet in op andere beveiligingsproblemen die net zo goed kunnen zorgen voor problemen, zoals DDoS-aanvallen, phishing-pogingen, et cetera. Deze vormen van digitale ellende komen eigenlijk altijd onverwacht. Het is dus zaak om je blik te verbreden bij het inregelen van je beveiliging om ervoor te zorgen dat je alle mogelijke scenario’s die catastrofale gevolgen zouden kunnen hebben voor het bedrijf in kaart brengt.
Monkey business
Een paar jaar geleden heeft Netflix speciaal voor zulke testen de software-tool ‘Chaos Monkey’ ontwikkeld. Het enige wat deze software moest doen was at random software- en server-processen proberen te stoppen. Het idee erachter was dat als Chaos Monkey de diensten naar klanten op geen enkele manier kon verstoren, ze een echt veerkrachtig netwerk hadden gebouwd. Het loslaten van dergelijke software op je belangrijkste it-systemen lijkt misschien niet echt slim, maar vanuit een beveiligingsoogpunt bekeken slaat het zeker wel ergens op. Je wilt namelijk dat je systemen bestand zijn tegen dergelijke aanvallen en je komt daar alleen achter als je je systemen net zo test als een aanvaller ze aanvalt.
DDoS-ontkenning
Afgelopen jaar is pijnlijk duidelijk geworden dat vrijwel elke organisatie, zowel commercieel als in de publieke sector, het slachtoffer kan worden van een DDoS-aanval. Wellicht dat jouw organisatie nog geen slachtoffer is geweest, maar zorg er dan in elk geval voor dat je goed voorbereid bent, mocht het wel een keer gebeuren. Denk daarbij aan:
● Het tunen van firewalls zodat deze om kunnen gaan met grote hoeveelheden connectieaanvragen. it-teams moeten aan de slag met hun firewalls zodat deze grote volumes verkeer en aanvallen op de applicatielaag kunnen herkennen en verwerken. Het verschilt per firewall en het type aanval of deze succesvol een DDoS attack kan afslaan.
● Het tunen van web servers; het aanpassen van load balancers en de content delivery-strategie om de beste uptime te kunnen garanderen. Simpele zaken als het niet willen hosten van grote ‘downloadable’ bestanden op web servers kunnen helpen, evenals het registreren van meerdere login- of registratiepogingen.
● Als je bedrijf volledig afhankelijk is van internet, denk dan na over het inhuren van een scrubbing-dienst of ‘cleaning provider’ voor het afhandelen van grote hoeveelheden niet legitieme data, en een dedicated DDoS mitigation appliance voor het afwenden van op applicaties gerichte DDoS aanvallen.
De deur uit met die bots
Check Point geeft in zijn 2013 Security Report aan dat 63 procent van de wereldwijde organisaties besmet zijn met bots en dat zeker de helft van de onderzochte bedrijven tenminste een maal per dag werd besmet met nieuwe malware. Bots opereren over het algemeen onder de radar en zorgen niet direct voor schade. Maar de langetermijnschade die veroorzaakt kan worden doordat je onderdeel uitmaakt van een botnet kan serieus zijn. Een botinfectie bestaan vaak uit meerdere fases die direct na elkaar uitgevoerd worden om een netwerk te infiltreren waarna bijvoorbeeld data vergaard wordt. Wanneer je dus een van die aanvallen stopt, haal je de hele aanval onderuit. Eenvoudige maatregelen zoals het activeren van desktop firewalls, het controleren van toegang tussen netwerksegmenten en het monitoren van firewall-verkeer is al een goede eerste stap om bots te stoppen. En natuurlijk zijn ook hier weer specifieke oplossingen voor te krijgen.
De mensfactor
De mens is (en waarschijnlijk blijft) toch echt de zwakste schakel. Hoe makkelijk is het immers om onbedachte medewerkers te laten klikken op een link in een phishing email die hun pc besmet? Of het posten van gevoelige informatie op de verkeerde website? De meeste mensen zitten zo in elkaar dat ze collega’s en vrienden gewoon vertrouwen. En dat is ook wel zo handig als je met elkaar moet samenwerken. Het blijft dus belangrijk om personeel te scholen om de organisatie veiliger te maken. Door hun gedrag kunnen alle investeringen in security in één keer teniet gedaan worden, dat is zonde. Zorg er dan ook voor dat je regelmatig test of de kennis is geland en test van tijd tot tijd onverwachts het personeel.
Het anticiperen op gaten in je beveiliging(splan) en stappen ondernemen om die te dichten is een goede manier om de veiligheid van je organisatie te verhogen. Soms kan het focussen op je zwakke punten juist heel waardevol zijn!
De achtergrond van deze stelling heilig ik, maar niet de open deur die hier word ingetrapt.
Security is een NORMAAL STANDAARD onderdeel van de hele E2E IT keten. Wie dat nu nog niet op haar of zijn netvlies heeft, heeft in de IT niets te zoeken. Datzelfde geld voor een andere discipline in die keten, twee eigenlijk moet ik zeggen, dat zijn namelijk:
Testmanagement
Daar zou al vast moeten komen te staan dat een patch, een stukje software, een update, veilig en schoon is om te worden geimplementeerd. We moeten helaas toegeven dat deze discipline, mandetoir, erg summier blijkt te leven want men gooit iets dergelijks heel graag overboord als men wil bezuinigen. Dat is dan meteen de eerste fail.
Hier aansluitend het gegeven dat heel veel testers helemaal niet zo bezig zijn met het security aspect, iets waarvan ik persoonlijk zoiets heb, dat is een onderdeel van je vak binnen die keten. Bedacht zijn op het bestaan van…. en daar als professional bij stil staan en er over na denken hoe je dat onderdeel incorporeert in je discipline.
Changemanagement
Ook dat is een discipline waar men vaak en graag een papieren tijger van maakt wanneer het weer eens tijd is flink te saneren. Of men maakt er een administratieve excercitie van. Wat je dan krijgt is een enorm kennis en audit gat in je E2E IT keten met alle gevolgen van dien weer.
Als laatste….
Het idee dat er dus fishing mails gewoon door kunnen komen in de email van de organisatie, betekend hoogst waarschijnlijk een gat in het security systeem van de mailserver.
Uiteraard kan ik het volkomen mis hebben natuurlijk….
NumoQuest heeft het natuurlijk niet volkomen mis. Maar ik denk dat de IT-sector flink uitgedund zou worden als zijn criteria nu zouden worden gehanteerd (wat misschien nog niet zo’n gek idee is). Het besef dat er meer aandacht voor beveiliging moet komen groeit ontegenzeglijk. Maar het moet van ver komen. Dus zal het ook de komende jaren weer vooral pieken op de momenten dat er iets flink mis is gegaan. Waarna de vraag blijft of er structureel iets verbeterd wordt.
Overigens ben ik het met Niels eens dat in veel situaties de mensen die met IT werken een hele belangrijke factor zijn. Maar ook daar geldt dat daar in praktijk minder dan de benodigde aandacht aan wordt geschonken ‘omdat er (nog) niks mis gaat’.
@ Ad Gerrits…..
Nu verbaas je me toch wel enigszins. De twee zaken die ik hier benoem zijn hele gewone standaard E2E ketenposities die elke IT professional zou moeten kennen. Nu weten jij en ik waarschijnlijk wel dat er misschien 40% begrijpen wat hun plek is in die keten, als je dat percentage al haalt….
Mijn betoog zijn gewoon twee hele eenvoudige pijnplekken die steeds pijnlijker worden.
Feitelijk zijn er drie oorzaken die de gronslag vormen voor de fuck ups in en met IT.
1. Professionals die werken in IT maar geen IT professional zijn
2. Geen kennis van de E2E IT keten
3. Geen IT proces ketenkennis
Zo eenvoudig is het tenslotte ook nog eens een keer. Voor mij dan tenminste.
Goede post en leuk topic.
Ik ben van mening dat kwetsbaarheid-scans en penetratietesten op hun netwerken inderdaad niet voldoende is.
Je zal je hele infrastructuur moeten testen dus zowel je offensieve alsmede je defensieve security maatregelen. Wat al een verbetering zou zijn is wanneer je een holistisch overzicht krijgt van zowel je offensieve als defensieve maatregelen. Dus je infrastructuur binnen en buiten. Dit moeten met elkaar praten en anomalieën zichtbaar maken tot contextuele en actiepunten.
Daarnaast ben ik het helemaal met je eens dat je de zwakste schakel, namelijk de IT gebruikers regelmatig zou moeten testen op vatbaarheid van social engineering in de breedste zin van het woord. Dus het aannemen van usb keys,herkenning van phishing emails en het weggeven van confidentiële informatie