It-professionals hebben te veel vertrouwen in hun vermogen om data-inbraken te voorkomen, zo blijkt uit onderzoek van TreatTrack Security. Wanneer organisaties hun beveiligingsbeleid en –tools hebben aangepast, wanen zij zich volledig beschermd tegen enig risico, maar dit is helemaal niet zo. In werkelijkheid moet het beveiligingsbeleid namelijk constant worden vernieuwd.
Dat veel organisaties last hebben van overmoedigheid op het gebied van beveiliging kunnen verschillende Computable experts beamen. ‘Ik denk dat het meest sprekende voorbeeld is de recente opeenvolging van problemen in secure sockets layer (ssl) en transport layer security (tls)’, zegt Hans van de Looy, mede-oprichter en principal security consultant bij Madison Gurkha. Bedrijven die uiteindelijk, na veel tijd en overtuigingspogingen, besloten om over te stappen naar de ondersteuning van tls-versies 1.1 en 1.2 en uitsluitend sterke versleuteling toe te staan, werden een aantal keer gedwongen om hun systeemsoftware te vernieuwen. Achtereenvolgens werden namelijk een aantal belangrijke problemen aangetoond.’
Ook blijven organisaties geloven in de werking van verschillende beveiligingsmethoden, terwijl ‘de huidige firewalls, SIEM-oplossingen of andere beveiligingsoplossingen technisch gezien al niet meer voldoende throughput en verwerkingskracht bevatten om alle denkbare en bekende signaturen en patronen die er zijn op te slaan en te verwerken’, aldus Steven Dondorp, managing director bij Northwave.
Ook Marcel Bosgra, lead architect bij ION-IP, zegt dat antivirus programma’s niet alle kwaadaardige software eruit pikken. ‘In 2014 is de groei van ‘unknown malware’, malware die nog niet bekend is bij de fabrikanten van antivirus programma’s, enorm toegenomen. Hierdoor ontstaat er een gat tussen de malware die zijn kwaadaardige code kan exploiteren en het moment waarop de malware bekend is.’ In onderzoek van Cisco is volgens Peter Foppen, sales engineer bij Comstor, dan ook te lezen dat 100 procent van de onderzochte klanten van Cisco geïnfecteerd is door malware. ‘Conclusie is dus dat organisaties altijd geïnfecteerd zijn door malware en het zaak is om risico’s zo veel mogelijk te beperken. Zie het als een ‘fact of life’.’
Sandboxing
Hoe voorkom je als organisatie deze valkuilen en kan je ze eigenlijk wel voorkomen? Volgens Bosgra is de oplossing om unknown malware toch te kunnen detecteren, het gebruik maken van ‘threat intelligent clouds’. ‘Deze sandboxing-technologie inspecteert bestanden eerst op hun gedrag en acties in een afgesloten omgeving voordat ze worden toegestaan. Hierdoor kunnen ze geen kwaad doen. Met deze technologie zijn er bijvoorbeeld in één maand tijd uit twaalf miljoen bestanden, 660.000 bestanden met onbekende malware gevonden. Hiervan was 55 procent nog niet bekend en zou 35 procent bovendien ook niet gevonden kunnen worden door antivirus pakketten.’
Meerdere lagen model
Volgens Vincent van Kooten, EMEA North IPV-specialist bij RSA, zit het succes hem vooral in het meerdere lagen model. Dit houdt in dat je niet één beveiligingsmaatregel instelt, maar juist een aantal verschillende maatregelen. Zo moet beveiliging volgens Van Kooten aan drie voorwaarden voldoen. ‘Ten eerste moet er meer naar dynamische oplossingen gekeken worden. Statische oplossingen zijn namelijk op zoek naar bekende kwaadaardigheden, maar huidige aanvallen gebruiken zero day malware en exploits die nog niet bekend zijn en dus niet herkend worden. Dynamische oplossingen die, onder andere, naar gedrag kijken, kunnen makkelijker afwijkingen waarnemen.’
Ten tweede ziet Van Kooten vaak dat organisaties wel een emergency response plan maken, maar vervolgens vergeten dit plan te testen en regelmatig na te lopen. ‘Zo zijn er altijd wisselingen van mensen, telefoonnummers, et cetera. Als deze zaken incompleet zijn, gaat dat zeer ten koste van de effectiviteit van het plan.’ Ten slotte meent Van Kooten dat het belangrijk is om educatie en awareness aan het beveiligingsproces toe te voegen. ‘Vaak als er al aandacht aan wordt besteed, worden medewerkers getraind over hoe men veilig moet handelen met materiaal, pc’s en data en hoe mensen bijvoorbeeld makkelijk aan wachtwoorden komen. Helaas zien we te vaak dat hierbij de frequentie laag is (eenmalig) en dat dan de awareness wegzakt. Deze user-gerichte training is iets wat organisaties regelmatig moeten herhalen. Zeker voor mensen die toegang hebben tot gevoelige systemen of data.’
100 procent veiligheid is een illusie
Maar uiteindelijk komt het er volgens Dondorp op neer dat het een illusie is dat je voor alle scenario’s uit het verleden 100 procent veilig bent. ‘In die zin moet men erin berusten dat je sowieso achter de feiten aanloopt. De waan dat je op die manier veilig denkt te zijn, is een permanente hoogmoedige status. Dat is namelijk gelegen in het lot van het security- en opsporingswerkveld. Criminelen zullen namelijk altijd acteren op dat doen wat je nog niet beschermd hebt. Ga je het zonder reden beschermen, zullen ze er sowieso op een andere manier weer omheen gaan.’
‘Besef daarom altijd dat het correct beveiligen van de it-omgeving en de daarin opgeslagen en te verwerken gegevens nooit een project is’, vindt Van de Looy. ‘Het zal altijd een voortdurend proces blijven dat nauwkeurig in de gaten gehouden moet worden en waar een tijdige reactie op nieuw ontdekte problemen noodzakelijk blijft.’ Ook Dondorp meent dat je op die manier al je securityverwerkingskracht optimaal gebruikt. ‘De business moet dan slechts meer opbrengen dan het kost en er aan securityschade (cybercrime) nog resteert.’
Naar mijn ervaring zijn het vooral de IT-managers en de gebruikers die beveiliging te licht opnemen, dit vervolgens tot wanhoop van de profesionals die wel de elende mogen oplossen, wel de schuld op zich mogen nemen maar nooit mogen zeggen ‘I hate to say I told you so, but….’
Beveiliging door meerdere lagen verwacht ik persoonlijk steeds vaker in de toekomst. Een persoon krijgt een electronische ID die geverifieerd wordt met verschillende beveiligingssystemen, zoals een pas systeem, een log in code, vingerafdruk, gezichtsherkenning, e.d. Enerzijds is een betere beveiliging door het combineren van technische mogelijkheden van belang, anderzijds zal een 100% beveiliging vrijwel onmogelijk zijn, dus blijft de belangrijkste factor nog steeds de mens zelf. Awareness-en training over het Security onderwerp is wat elke IT-er zou moeten faciliteren.
Ik ben het volledig eens met de opmerking van Ronald Ostendorf hierboven. 100% security kan nooit gegarandeerd worden. Security moet op de agenda komen van de gehele organisatie. Management en medewerkers moeten bewust zijn van de waarde van de bedrijfsinformatie (lees: Kroonjuwelen!), de gevaren, de risico’s en vooral de gevolgen van onveilig gedrag. Van alle security incidenten wordt 40% veroorzaakt door menselijk gedag. Duurzame weerbaarheid krijg je door goede training, gevolgd door regelmatige opfris sessies. Veilig gedrag gaat vaak ook om het veranderen van het gedrag. Dat bereik je niet door éénmaal per jaar het personeel even 10 vinkjes te laten zetten in een “security Awareness” assessment.
Stimuleren en motiveren van medewerkers naar veilig gedrag creëert een gezonde cultuur voor duurzame cyber-weerbaarheid. Met vriendelijke groet, Rob Koch (Sebyde BV)
En degenen die firewalls, SIEM systemen en dergelijken ontwerpen, zijn dat dan geen IT-professionals? Beetje vreemde titel bij dit artikel.
IT professionals leveren wat de klant vraagt.
@Felix Is dat zo? De klant die het ook niet altijd weet? Geleverd wordt er ongetwijfeld.
@Louis
Zeker, er is onwetendheid. Maar er is ook gemakzucht en laksheid.
Bijvoorbeeld. Een programma dat iets installeert of systeeminstellingen en bestanden wijzigt word door de UAC van Windows standaard geblokkeerd met de melding of je dat wel echt wilt. Maar wat doen mensen? Ze zetten het uit! Het is “vervelend”. Dit op zichzelf laat al heel veel door. Plus als je iets download, zoek altijd naar recensies. Wat zeggen andere gebruikers?
Volg ook nooit youtube links naar illegale software, of doe het überhaupt niet.
Plaatjes die geen plaatjes zijn muziek die geen muziek is (via mail binnen gekregen) worden door UAC geblokkeerd.
Phisingmails/sites hebben alleen gezond verstand nodig om er niet te worden ingeluisd. etc. etc.
Wat mij betreft is het aspect beveiliging altijd een standaard in wat je ook doet, vanuit welke discipline in en met IT. Als dit aspect nu nog niet gewoon als basis op je netvlies staat moet je denk ik even na gaan denken. Serieus.