Veiligheid is nog abstracter dan de cloud, het is meer een gevoel dan iets tastbaars. Dat maakt het niet alleen moeilijk om het te definiëren maar vooral lastig om over te praten omdat gevoel door iedereen anders ervaren wordt. Zo zullen de meesten zich minder snel veilig voelen als ze in het donker door het bos moeten. Niemand wil tenslotte zijn neus stoten of een tak in zijn ogen krijgen, zicht op de route bepaalt de snelheid van verplaatsing.
Eerste uitdaging in de discussie over cyber security gaat om de pijn. Vaak wordt deze niet gevoeld als beslissers zich teveel op afstand hebben geplaatst met contractuele kaartenhuizen. Een conclusie die ook door de onderzoeksraad werd getrokken na het DigiNotar debacle. Nu worden niet alleen externe waarschuwingen in de wind geslagen maar ook vanuit het operationele niveau. En dat terwijl de continuïteit van een bedrijf niet bepaald wordt door de strategie om van mach 0 naar 1 te gaan, maar juist omgekeerd.
Wie doet het licht uit?
Wie niet weet waar de Observe, Orient, Decide, and Act (OODA)-loop om gaat heeft waarschijnlijk de opvoedkundige lessen van de militaire dienstplicht gemist. Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen. Dat zorgt dat aanvallen ontwrichtend zijn, want de aanvaller is tactisch in het voordeel door organisatorische inertie om te reageren. Het staat al direct 1-0 voor de thuisspelende ploeg, want het zal duidelijk zijn dat een aanvaller zich ook niet aan de voorschriften houdt. Deze heeft dus niet alleen alle tijd om de omgeving te observeren en zich op de zwakke plekken te oriënteren maar kan ook tegenacties voorspellen omdat veelal de budget-cycles bepalend zijn bij verdedigers. ‘Talent and genius operate outside the rules, and theory conflicts with practice’ – Von Clausewitz.
Om van de achterstand nog een gelijkspel te kunnen maken zal de OODA-loop van de verdedigers goedkoper moeten worden dan van de aanvallers. En een manier om dit te doen is door het netwerk te verduisteren voor de aanvaller zodat deze gedesoriënteerd raakt. Strategie van een ‘internet kill-switch’ is wat onorthodox, maar dat is precies één van de dingen die Stealth doet. Het zet het licht uit voor de tegenpartij en geeft daarmee de verdediging een tactisch voordeel. Want terwijl de aanvaller geen mogelijkheid meer heeft voor exfiltratie – het proces waarbij data heimelijk vanuit de organisatie onttrokken wordt – wordt de verdediging niet beperkt in de communicatie en kan eventuele services ongezien uit de gevarenzone verhuizen.
Do you feel lucky?
Terugkerende opmerking dat je hiermee alleen maar tijd koopt kan ik beamen. OODA-loop is namelijk het idee van John ‘40-seconds’ Boyd, een straaljager piloot die begreep dat tijd in het beslissingsproces het verschil maakt tussen winnen en verliezen. Het is een scenario-based strategie die ‘exposure’ risico van problemen in de beheercapaciteit oplost nu perimeter-based verdediging steeds vaker ontoereikend is. Want laat ik zeggen dat strategie van patchen binnen kantoorprocessen op papier aanwezig is, bij veel industriële processen is hier nog niet eens sprake van. Het gaat dus om een continuiteïtsplanning omdat kosten van een verandering vaak te hoog zijn. Daar maken aanvallers gebruik van want 50 procent van de aanvallen worden door een opportunistische motivatie gedreven. Activiteiten zoals patchen en migreren komen namelijk meestal ten laste van het it-budget dat al zo onder druk staat. ‘The winner is he who has one more round in his magazine.’ – Erwin Rommel.
Misvatting van lezers dat ik me in voorgaande opinie niet bewust was van alle spanningen in de ‘inner-circle’ hoop ik met uiteenzetten van deze strategie weggenomen te hebben. Gelijk hoop ik aandacht te hebben voor de risico’s van ‘outer-circle’, want de kosten van verandering zitten niet in de installatie van software, maar implementatie hiervan binnen ketens. En deze stoppen door alle samenwerkingen allang niet meer bij de perimeter-based verdediging van de firewall. Het is nog moeilijker om de business van internet af te sluiten dan alle zwakheden in één keer op te lossen om zo weer in controle te komen.
Situational awareness
Hoewel iedereen begrijpt dat als de fabrikant een terugroepactie doet omdat de remmen van de auto het niet doen er onderhoud nodig is, wordt de noodzaak hiervan telkens weggewuifd als het om it gaat. Tijdens de uiteenzetting van de hier geschetste scenario-based strategie kwam vanuit de zaal een leuke metafoor. Zo verzamelde iemand uit zuinigheid de mest van grote grazers uit het bos voor zijn tuin. Nadeel hiervan kwam later aan het licht, toen bleek dat er dus ook allerlei onkruid meegenomen was, wat nu zijn tuin overwoekert. Realiteit aangaande het mandaat van de afdeling it betreffende digitale beveiliging is dat deze theoretisch is. Een meldplicht zonder informatieplicht is als de cafeïnevrije koffie, het stimuleert eerder de aanvaller dan de verdediger als ondanks de ‘notice to airmen’ gewoon over dezelfde route doorgevlogen wordt. ‘If you spend more on coffee than on IT security, you will be hacked.’ – Richard Clarke.
De observatie en oriëntatie van verdedigers aangaande alle koppelvlakken wordt ook nog eens bemoeilijkt door alle contractuele beheermodellen. De shortcuts die in de loop van de tijd binnen het netwerk zijn aangebracht staan meestal niet op papier. Architectuur representaties geven de fysieke connecties meestal aan met een wolk. Tussen logische informatiestromen en werkelijke communicatie zit ook nog weleens een lek met een toenemend ‘exposure risk’ als gevolg.
Een goed en duidelijk verhaal – ook door de white board sessie van een dag of 10 terug!
Will, ik denk *vooral* door de white board sessie van een dag of tien terug, want zonder voorkennis is het lastig dit stuk te plaatsen.
Wat mij betreft mag het echt wel wat duidelijker en explicieter dat dit stuk in feite over Unisys Stealth gaat. Het wordt pas een wc-eend verhaal als je van de opinie een reclame folder maakt en dat is iets wat Ewout niet doet. Ik zou ook met liefde een opinie lezen die nog duidelijker beschrijft wat stealth nu doet. Stealth lijkt iets voor de enterprise, want Unisys levert voor Amazon Webservices, maar ik kan de optie niet vinden via AWS console zelf. Ook het zoeken naar prijzen van Stealth zijn Stealth 🙂 Het lijkt daarmee vooral iets te zijn voor de enterprise met dito pricing.
Ik vind deze opinie heel knap geschreven met mooie quotes en verwijzingen naar oorlogsvoering. Het maakt me ook nieuwsgierig naar het gebruik en de implementatie.
Maar iemand die zonder voorkennis dit stuk leest zal dit niet makkelijk consumeren.
Wat ik overigens een erg krachtige quote van Ewout vind is deze : “Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen”
Wat ik van Stealth zo’n beetje begrijp en correct me if I am wrong : Software op het eind gebruikers device kan praten met een server in de cloud en doet dit met een bepaalde versleuteling die vooraf geconfigureerd is. Je kan alleen met die software praten met die cloud server omdat hij weet hoe hij te bereiken is en de juiste taal spreekt. De server met stealth zal alleen terug praten als je in de juiste taal met hem spreekt en anders communiceert die niet terug. Je zal zo’n server dus nooit kunnen vinden als je via een andere weg op het netwerk waar de server staat terecht komt. Wat een aanvaller van een netwerk niet kan zien, kan hij ook niet aanvallen. Een Stealth bommenwerker absorbeert radar signalen en is daarmee onzichtbaar en daar is waar de naam vandaan komt.
Klopt dit zo’n beetje? En wie helpt mij verder?
@Ewout Dekkinga, 27-03-2015 16:50:
Een aardig alternatief in de security voor de Observe, Orient, Decide, and Act (OODA)-loop is de koele blijk op waarheid met wiskundige redenatie en bewijsvoering. Een wiskundig bewijs kan natuurlijk ook toegepast worden in de ODDA-loop.
@Henri
Organisatorische inertie om te reageren op toenemende bedreigingen in het netwerk beperkt zich volgens mij niet tot de Enterprise. Sterker nog, ik denk dat een beperkte beheercapaciteit bij kleine organisaties een nog grotere beperkende werking heeft om adequaat te reageren.
Betreffende AWS moet je eerlijk zijn want jij weet dus ook dat er nog exportrestricties gelden betreffende encryptie. Hoop dat ik niet in hoef te gaan op knellende problemen met informatiebeveiliging in combinatie met ‘creditcard IT’ idee van de cloud. Want zoals je aangeeft maakt een Stealth bommenwerper gebruikelijke verdedigingsmiddelen minder efficiënt, doeltreffendheid wordt sterk beperkt door verstoorde observatie en oriëntatie van de verdediger.
Verder neem ik aan dat je weet waar OODA-loop omgaat, in intro stelde ik dat het bij informatiebeveiliging dus niet om je versnellingsfactor gaat maar juist de vertragingsfactor. Met mach 1 een haakse bocht nemen legt namelijk een enorm druk op de mens, tot op heden kent support proces weinig automatisering omdat hier nog zoveel onverspelbare activiteiten in zitten.
@Henri
Technisch niet 100% juist maar de essentie zou je kunnen samenvatten als een combinatie van een firewall en een multipoint VPN die opereert op het koppelvlak tussen de MAC-laag en de routing-laag.
Vrij vertaalt: alleen als twee of meer stations over dezelfde configuratie beschikken zijn ze in staat versleuteld informatie uit te wisselen over de vrijgegeven TCP poorten. Dus ja, zoals je het nu omschrijft heb je het goed begrepen.
Komt er toevallig iemand langs uit de boze buitenwereld met een juist IP adres en TCP poort, dan komt er niet eens een antwoord. En zelfs als er een antwoord zou komen, dan is niet snel te herleiden wat voor systeem en applicatie erachter zit.
Daarmee koop je wat tijd bij een server 2003 en XP migratie. Of je koopt een beetje gevoel-van-veiligheid.
Waar het niet tegen beschermd is iemand uit diezelfde boze buitenwereld die draait onder het motto “de aanhouder wint”. Als zo iemand gedurende een lange periode inhakt op dat ene IP adres met verschillende TCP poorten en verschillende aanvalstechnieken, dan zou die uiteindelijk te weten kunnen komen welke taal er (ongeveer?) gesproken wordt. In ieder geval genoeg om van daaruit verder te gaan totdat het systeem gekraakt is.
In hoeverre het geheel functioneert in een cloud omgeving weet ik niet precies. Maar ik verwacht dat het in ieder geval functioneert als je cloud omgeving het toestaat om software op servers te installeren.
Voldoende duidelijk zo?
Ewout,
“Organisatorische inertie om te reageren op toenemende bedreigingen in het netwerk beperkt zich volgens mij niet tot de Enterprise.”
Helemaal mee eens en mede daarom vraag ik het ook hoe we aan dat moois kunnen komen en wat het kost. Begin 2000 was er volgens mij een restrictie van 128 bits en meer, maar zover ik weet zijn die beperkingen opgeheven. Nu weet ik wel dat versleutelingstechnieken gevoeliger liggen (Grappige context in dit Computable artikel uit 1999 : https://www.computable.nl/artikel/achtergrond/security/1372874/1276896/hof-vs-wil-export-encryptie-toestaan.html )
Maar zover ik weet werken er ook Nederlandse bedrijven met Unisys Stealth, dus dit lijkt mij niet op te gaan. De interface van AWS zou altijd nog kunnen zeggen “Not available in your country” en ik zie het ook niet in de Amerikaanse regios ergens terug.
Stealth is dus wel heel letterlijk genomen 🙂
Will : Als ik een server in een datacenter zou binnendringen is zo’n beetje het eerste wat je wilt een packetsniffer, ik neem aan dat de verbinding van en naar een met Stealth beveiligde server hiermee nog steeds te detecteren valt.
Maar dank voor je toelichting.
Nogmaals, mijn reactie is positief en ik wil graag leren en begrijpen, zeker het beveiligen van gevoelige data en toch gebruik maken van cloud computing maken dit toch iets wat bij mijn portfolio hoort en juist goed is om te kunnen vertellen bij mijn volgende lezing of inspiratiesessie.
Ik laat me graag voorlichten.
@Henri
Misschien dat je het beste even contact op kan nemen met sales, weet dat we Stealth niet mogen leveren aan Noord-Korea.
@Will
Begreep dat verschillende pentesters aangaande door jouw genoemde scenario met opmerking terug kwamen dat dit als kloppend proberen een deur te vinden zonder dat je kunt horen of er een holle ruimte is.
@Q
Eenvoudige wiskundige redenantie die ik hier maak aangaande onderwerp gaat om de wet van Newton, actie is reactie.
Henri,
Mijn complimenten voor je 1e reactie waarmee je het onbegrijpelijke verhaal van Ewout hebt kunnen ontsleutelen. Het is zijn 2e artikel over dit onderwerp/product van Unisys en als je aan mij vraagt of dat voor me duidelijk was…….nee. Met je reactie hierboven begrijp ik eindelijk waar het over gaat maar ik heb nog geen compleet beeld.
Ik vraag me af wat de reactie van Will zou geweest zijn als hij die white board sessie niet gehad heeft.
Uiteraard ligt deels aan mijn kennis en beperkingen dat ik zijn verhaal niet begrijp.
Ewout,
Het lijkt me interessant om hier verder over te discussiëren. Ik heb zeker wat vragen hierover maar zolang ik geen toegankelijke informatie kan vinden/lezen lijkt me beter me hier niet mee te bemoeien.
We schrijven al een tijdje voor Computable. Ik heb nooit eerder een artikel of wat men eerder zei, wc-eend marketing van jou gezien.
Ik was benieuwd waarom je dit keer (in je artikelen en andere reacties) een iets van je werkgever a/h promoten bent.
@Ewout Dekkinga, 30-03-2015 10:36: ‘Eenvoudige wiskundige redenantie die ik hier maak aangaande onderwerp gaat om de wet van Newton, actie is reactie.’
Een aardige wiskundige ondersteuning van Observe, Orient in OODA is statistiek, zie bijvoorbeeld wiskgenoot.nl/watbiedt/wintersymposium15
Volgende maand wordt de R-code behorende bij ‘Inleiding in de Statistiek’, zie epsilon-uitgaven.nl/E76.php openbaar gemaakt. Dan heb je behoorlijk wat voorbeelden met R-code.
Met de kennis van deze statistische methoden en de programmeertaal R kun je je eigen loslaten op de Observed data ter ondersteuning van Orient.
@Henri:
Het blijft uiteindelijk ethernet (MAC-laag) met iets van een TCP/UDP-stack – dus ja, zoiets valt te sniffen.
Ik weet alleen niet zeker wat je te zien gaat krijgen omdat de Stealth driver op dezelfde manier werkt als de packet-capture driver. Dus als de Stealth driver prioriteit heeft boven de packet-capture driver, dan is alles al versleuteld. Wat wil zeggen dat ook het opzetten van een verbinding (i.e. de 3-way handshake) tussen een client- en een server applicatie niet meer zichtbaar is.
In het verlengde daarvan: mijn verwachting is dan ook dat de doorlooptijd van incidenten rondom netwerk en/of applicatie problemen behoorlijk zal toenemen (aanname!). Zeker als er naast Stealth nog andere authenticatie en autorisatie mechanismes lopen die ook nog eens allemaal met een andere configuratie ge-Stealth zijn omdat het functioneel gezien om een ander beheer domein aangaat.
Dus ja, ik kan me voorstellen dat het Stealth-en bijdraagt aan een beter gevoel van “veilig zijn”. Maar kijkend naar de TCO en de alternatieven, dan zou het balletje best weleens een andere kant op kunnen rollen… 🙂
@Reza:
Voor wat het waard is: mijn aanname was precies wat ik in mijn vorige reactie naar Henri beschreven heb – een firewall met een multipoint VPN.
Deze aanname was gebaseerd op de uitleg in een white paper (vanaf pagina 7): http://www.unisys.com/offerings/high-end-servers/forward-by-unisys/Whitepaper/forward-by-unisys-multi-layered-security-overview-whitepaper-id-1913.
De meerwaarde van de whiteboard sessie zat hem in:
(1) – een validatie van de aanname,
(2) – het antwoord op de vraag hoe e.e.a. ingevuld is en
(3) – een paar use cases uit de praktijk.
@Iedereen:
Ik merk regelmatig dat adviezen van mensen die voor een vendor werken niet gewaardeerd worden – tenminste niet als daarbij productnamen genoemd worden. Maar als je er over nadenkt, is het eigenlijk meten met twee maten.
Aan de ene kant wordt van iemand verwacht dat ie met praktijdvoorbeelden kan aantonen dat een bepaalde aanpak werkt (bewijslast!). Maar als die iemand daarbij productnamen noemt uit het portfolio van zijn werkgever, dan wordt dat afgeserveerd met een wij-van-WC-eend… En ja, ik betrap me daar zelf ook regelmatig op!
Waarbij ik me dan toch weleens afvraag – welke andere manieren zijn er om aan te tonen dat een bepaalde aanpak werkt als je geen productnamen mag noemen? Iemand enig idee?
🙂