In steeds hoger tempo worden mensen, processen, dingen en data met elkaar verbonden. Met dit Internet of Everything kan de komende jaren wereldwijd biljoenen euro’s aan waarde gerealiseerd worden. Nieuwe informatie leidt tot nieuwe inzichten die tot ongekende economische kansen leiden. Dit maakt netwerkverbindingen waardevoller dan ooit tevoren. Maar wat is het belang van security?
Het Internet of Everything zal nieuwe waarde creëren en ook waarde herverdelen. Nieuwe waarde ontstaat door technologische innovatie en het vergroten van marktaandeel doordat bedrijven op basis van informatie uit het Internet of Everything beter op ontwikkelingen inspelen dan andere bedrijven. Ook de kosten van het koppelen van apparatuur aan het netwerk dalen snel. Andere factoren zijn de onverwacht snelle opkomst van tablets/smartphones die allemaal met internet verbonden zijn, en de acceptatie van de cloud.
Onlosmakelijk
Het Internet of Everything en security zijn onlosmakelijk met elkaar verbonden. Want door de hierboven beschreven ontwikkelingen dreigt er op veel meer punten gevaar; het ‘bedreigingsoppervlak’ wordt veel groter. Werknemers zijn allang niet meer gebonden aan het veilige netwerk binnen het kantoor. Zij ontvangen en versturen informatie via allerlei internetverbindingen, al dan niet draadloos, en vanaf alle mogelijke locaties. Zo zijn er werknemers die vanuit een luchthaven werken via gratis Wi-Fi-verbindingen. Een hacker hoeft dan niet meer het bedrijfsnetwerk aan te vallen maar hoeft alleen maar het netwerkverkeer op de luchthaven te onderscheppen en te onderzoeken op waardevolle informatie. Op dezelfde manier kan ook gezocht worden naar slinkse manieren om toegang te krijgen tot een bedrijfsnetwerk. Bedreigingen zijn overal waar (mobiele) internetverbindingen zijn.
Behalve dat het bedreigingsoppervlak veel groter wordt, verandert ook de aard van de bedreigingen. Naast georganiseerde cybercriminaliteit zijn er nu ook nations states/hacktivists et cetera die uit zijn op (bedrijfs)spionage en diefstal van intellectueel eigendom. Dit zijn tegenstanders van een heel ander kaliber dan de gemiddelde hacker. Het is dan ook een enorme uitdaging om de cybercrimineel, in welke hoedanigheid dan ook, tegen te houden. Tot slot worden de aanvallen steeds geavanceerder en gebruiken cybercriminelen allerlei technieken om ongemerkt door de beveiliging heen te dringen. Voor cybersecurity geldt daarom ook wat voor normale beveiliging geldt: er is altijd wel een manier om binnen te komen. Het is daarom zaak om niet alleen maar naar de buitenkant, naar het ‘hekwerk’ rond het bedrijfsnetwerk, te kijken, maar ook intern te patrouilleren.
‘Before, during & after’
Toch staan we niet machteloos tegen cybercriminelen en cyberspionnen. De methodiek van ‘before, during en after’ (voor, tijdens en nadat een aanval heeft plaatsgevonden) kan een belangrijk uitgangspunt bieden.
Een aspect daarvan is het met zekerheid kunnen bepalen wie er toegang tot het netwerk krijgt en wie niet. Hiervoor zijn zogeheten ‘identity services’ beschikbaar. Die gaan niet alleen na wat de identiteit is van degene die toegang wil en welke rechten daarbij horen, maar ook de context van een verzoek tot toegang kunnen bepalen, dat wil zeggen op welk tijdstip en vanaf welke locatie er om toegang wordt gevraagd. Op basis hiervan kunnen verdachte omstandigheden worden vastgesteld, zoals toegang uit een land of op een tijdstip die voor de desbetreffende werknemer hoogst onwaarschijnlijk is. Alle maatregelen in deze ‘before’-fase zijn gericht op het bouwen van een solide beveiliging rondom het bedrijfsnetwerk.
In de ‘during’-fase gaat het om aanvallen die in uitvoering zijn, bijvoorbeeld na het klikken op een kwalijke link op een website of in een e-mail. Onder andere websecurity en beveiliging van e-mail zijn de middelen om in deze fase maatregelen te nemen. Zeer belangrijk is ook om de connecties binnen het netwerk zelf in de gaten te houden. Het gaat dan om verbindingen tussen applicaties onderling en tussen applicaties en gebruikers.
Toch binnen
Als het hekwerk faalt en een aanval in uitvoering niet in de kiem wordt gesmoord, moet er actie worden ondernomen om deze aanval aan te pakken en de impact ervan te minimaliseren. In deze ‘after’-fase kunnen bedrijven bijvoorbeeld te maken krijgen met een zogeheten ‘Rubber Ducky’: een usb-stick die voor een paar tientjes op internet te koop is. Leg een paar van deze sticks op het parkeerterrein naast het kantoor en er is altijd wel iemand die nieuwsgierig is naar wat er op staat. Deze gebruiker zet dan onbedoeld een connectie op met een computer van cybercriminelen. Dit zou ook kunnen gebeuren als gebruikers via het bedrijfsnetwerk bestanden downloaden die malware bevatten. In beide gevallen zijn het acties van legitieme gebruikers. De kwalijke gevolgen van deze acties, bijvoorbeeld onverwacht uitgaand netwerkverkeer moeten in deze fase worden opgespoord.
Het gaat er steeds meer om helder real-time inzicht in wat er precies op het bedrijfsnetwerk gebeurt. Door permanente monitoring en analyse is het mogelijk om afwijkende verkeerspatronen boven tafel te krijgen en te bepalen of er sprake is van ongewenst gedrag.
In feite wordt met alle middelen in de before, during & after fasen getracht om aanvallen zo veel mogelijk tegen te houden en, als dat niet lukt, via forensisch onderzoek te bepalen wat er precies aan de hand is. Wat er dan precies moet gebeuren willen bedrijven meestal graag zelf bepalen. Het gaat immers vaak om gevoelige informatie.
Nu het steeds moeilijker wordt om aanvallen tegen te houden, wordt het essentieel voor bedrijven om voortdurend inzicht te hebben in wat er precies op hun netwerk gebeurt. Alleen dan kan abnormaal netwerkverkeer worden opgespoord en bepaald worden of dat schadelijk is.
Het Internet of Everything maakt feitelijk van elk aangesloten apparaat een trojan. Een bewust aangebrachte backdoor of een fout van de ontwikkelaar die de firmware geschreven heeft? Het gros van deze apparaten zullen zo lek als een mandje zijn qua beveiliging.
Niet alleen kunnen zo mensen (of overheidsdiensten) van buitenaf nagaan wat er gebeurd met de apparatuur. Ze kunnen het ook actief bedienen.
Wat dat betreft hoeft u zich geen zorgen meer te maken over uw privacy. Die bent u nl. volledig kwijt.
Uw en mijn GSM zijn nu al via afstand af te luisteren. Ook als de telefoon uit staat. Pas als de batterij eruit gehaald wordt zal het circuit die dit mogelijk maakt verstokt blijven van stroom. Daarom zijn is veel telefoons de batterij niet te verwijderen. Dit is overigens al bekend sinds de introductie van de eerste GSM’s. Het is alleen heel lang publiekelijk geheim geweest.
Leuk voor de (extra) functionaliteit maar een nachtmerrie voor beveiliging en de privacy van de eigenaar, zoals @johan al aangeeft.
Zoals John aangeeft bestaat een smartfoon uit een gebruikers-OS en een telefoon-OS. Van dit laatste is inderdaad bekend dat het (bewust) onveilig is en aanstuurbaar vanaf buiten.
Aangezien de mens in elke digitale keten de zwakste schakel is lijkt het oplossen hiervan met meer techniek me alleen maar ‘business as usual’.
“I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones.” – Albert Einstein.
Ik zou nu graag wel eens een visie van een specialist willen zien die niet met een extra slotgracht, prikkeldraad, etc opkomt.
Ga er eens vanuit dat een netwerk niet veilig is en dat daar zaken op gebeuren die je niet had kunnen voorspellen, dat is feitelijk de situatie op het Internet.
Kijk nu eens vanuit dat gezichtspunt naar beveiliging en geef aan welke maatregelen dan nodig zijn. De echte PRO’s hebben al aangegeven dat je altijd achter de feiten aanloopt en dat het anders moet.
Zolang er mensen bij betrokken zijn, blijft het zoals Ewout zegt dweilen met een open kraan.
Niets doen is helaas geen optie. Ik zal hierbij onderschrijven dat mensen een belangrijke schakel zijn in security praktijken echter technologische enforcing en de juiste methodiek om human errors op te vangen is dan dus nog essentieler dan ooit te voren.