Security moet intrinsiek zijn, anders komt het niet goed tot zijn recht. Extrinsiek gedreven security is reactief en loopt achter de feiten aan.
Over deze blogger
John E. McClurg is vice president en chief security officer van Dell Global Security. McClurg is onder andere verantwoordelijk voor de strategische focus en de tactische operaties van Dell’s wereldwijde beveiligingsdiensten zowel fysiek als voor cyber. Voordat John bij Dell in dienst trad werkte hij als vice president en chief security officer voor Honeywell en Lucent Technologies. Daarvoor werkte hij als speciaal agent bij de FBI (Federal Bureau of Investigation).
Lang geleden, in mijn vorige leven als FBI-agent, heb ik de beruchte phreaker (red: telefoonhacker) Dark Dante opgespoord en uiteindelijk opgepakt. Ook heb ik toen diverse spionnen ontmaskerd. In die periode van alweer zo’n dertig jaar geleden vroeg ik mij af: waarom moeten we altijd achter de feiten aanlopen als het gaat om security? Dit probleem speelde namelijk ook in het onderzoek naar de daden van CIA-dubbelagent Harold James Nicholson. Pas nadat er vele beveiligingsinbraken waren onderzocht, liep hij tegen de lamp.
Kernachtig security-model
Om niet langer achter de feiten aan te lopen, heb ik toen een security-model ontwikkeld. Een eigen methode om bedreigingen het hoofd te bieden, juist van binnenuit je organisatie. Ondanks dat ik dit model alweer een hele tijd geleden ontwikkelde, is het nog zeker niet achterhaald. Integendeel; het is relevanter dan ooit. Het model is in de loop der jaren uiteraard wel verder ontwikkeld, onder andere toen ik voor Lucent Technologies en Honeywell werkte. Bij Lucent en de beroemde Bell Labs werd mij bovendien gevraagd om vivisectie te doen op mijn eigen security-model. Door die ontleding kon ik het terugbrengen tot een uiterst minimalistisch kernmodel, dat ik vervolgens ook bij Honeywell goed kon gebruiken.
Advanced Persistent Threats
Mijn eerdere inspanningen kwamen goed van pas bij Honeywell, waar ik tussen 2006 tot 2011 zat. In die periode zag ik vele APT’s (Advanced Persistent Threats) langskomen, veelal uitgevoerd door buitenlandse overheden. Sommige aanvallers waren al ruim twee jaar in de systemen binnengedrongen en hielden zich al die tijd stil. Tot de tijd rijp was. Dan probeerden ze in een keer een grote slag te slaan. Dat soort situaties moet je dus vóór zijn. Hoe? Door slim informatie te verzamelen, door dit goed te filteren en door patronen tijdig te herkennen.
Dell werkt daar al jaren aan, ruim vóór de beurs-exit in 2013. Zo kocht het bedrijf in 2009 SecureWorks, een bedrijf met veel expertise om ruis op onze firewalls te filteren, en daar vervolgens bruikbare informatie uit te putten. Maar er werden daarvoor ook allerlei overnames gedaan en initiatieven ontwikkeld om onze beveiliging te verbeteren voor VPN, encryptie authenticatie. Allemaal stukjes van de puzzel om informatiebeveiliging optimaal in te richten. Michael Dell vroeg me ook mijn security-model bij Dell toe te passen, omdat je daarmee ook bedreigingen van binnenuit kunt voorspellen.
‘Spionnen’ overal
De wereld van spionnen, de FBI en CIA lijkt misschien ver af te staan van het gewone bedrijfsleven en ICT. De afstand is echter veel kleiner dan u denkt. De binnengedrongen APT-aanvaller, de ontevreden werknemer, het gekaapte gebruikersaccount en het gecompromitteerde beheerdersaccount, dat zijn allemaal ‘spionnen’ die de beveiliging van uw bedrijfsinformatie in gevaar brengen. Daarom moet security intrinsiek zijn, ofwel vanuit de organisatie zelf gedreven. In plaats van extrinsiek; door externe factoren aangejaagd. Dat laatste is immers reactief. Je loopt dan altijd achter de feiten aan en daar wordt iedereen hondsmoe van.
