Veiligheid is nog abstracter dan de cloud, het is meer een gevoel dan iets tastbaars. Dat maakt het niet alleen moeilijk om het te definiëren maar vooral lastig om over te praten omdat gevoel door iedereen anders ervaren wordt. Zo zullen de meesten zich minder snel veilig voelen als ze in het donker door het bos moeten. Niemand wil tenslotte zijn neus stoten of een tak in zijn ogen krijgen, zicht op de route bepaalt de snelheid van verplaatsing.
Eerste uitdaging in de discussie over cyber security gaat om de pijn. Vaak wordt deze niet gevoeld als beslissers zich teveel op afstand hebben geplaatst met contractuele kaartenhuizen. Een conclusie die ook door de onderzoeksraad werd getrokken na het DigiNotar debacle. Nu worden niet alleen externe waarschuwingen in de wind geslagen maar ook vanuit het operationele niveau. En dat terwijl de continuïteit van een bedrijf niet bepaald wordt door de strategie om van mach 0 naar 1 te gaan, maar juist omgekeerd.
Wie doet het licht uit?
Wie niet weet waar de Observe, Orient, Decide, and Act (OODA)-loop om gaat heeft waarschijnlijk de opvoedkundige lessen van de militaire dienstplicht gemist. Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen. Dat zorgt dat aanvallen ontwrichtend zijn, want de aanvaller is tactisch in het voordeel door organisatorische inertie om te reageren. Het staat al direct 1-0 voor de thuisspelende ploeg, want het zal duidelijk zijn dat een aanvaller zich ook niet aan de voorschriften houdt. Deze heeft dus niet alleen alle tijd om de omgeving te observeren en zich op de zwakke plekken te oriënteren maar kan ook tegenacties voorspellen omdat veelal de budget-cycles bepalend zijn bij verdedigers. ‘Talent and genius operate outside the rules, and theory conflicts with practice’ – Von Clausewitz.
Om van de achterstand nog een gelijkspel te kunnen maken zal de OODA-loop van de verdedigers goedkoper moeten worden dan van de aanvallers. En een manier om dit te doen is door het netwerk te verduisteren voor de aanvaller zodat deze gedesoriënteerd raakt. Strategie van een ‘internet kill-switch’ is wat onorthodox, maar dat is precies één van de dingen die Stealth doet. Het zet het licht uit voor de tegenpartij en geeft daarmee de verdediging een tactisch voordeel. Want terwijl de aanvaller geen mogelijkheid meer heeft voor exfiltratie – het proces waarbij data heimelijk vanuit de organisatie onttrokken wordt – wordt de verdediging niet beperkt in de communicatie en kan eventuele services ongezien uit de gevarenzone verhuizen.
Do you feel lucky?
Terugkerende opmerking dat je hiermee alleen maar tijd koopt kan ik beamen. OODA-loop is namelijk het idee van John ‘40-seconds’ Boyd, een straaljager piloot die begreep dat tijd in het beslissingsproces het verschil maakt tussen winnen en verliezen. Het is een scenario-based strategie die ‘exposure’ risico van problemen in de beheercapaciteit oplost nu perimeter-based verdediging steeds vaker ontoereikend is. Want laat ik zeggen dat strategie van patchen binnen kantoorprocessen op papier aanwezig is, bij veel industriële processen is hier nog niet eens sprake van. Het gaat dus om een continuiteïtsplanning omdat kosten van een verandering vaak te hoog zijn. Daar maken aanvallers gebruik van want 50 procent van de aanvallen worden door een opportunistische motivatie gedreven. Activiteiten zoals patchen en migreren komen namelijk meestal ten laste van het it-budget dat al zo onder druk staat. ‘The winner is he who has one more round in his magazine.’ – Erwin Rommel.
Misvatting van lezers dat ik me in voorgaande opinie niet bewust was van alle spanningen in de ‘inner-circle’ hoop ik met uiteenzetten van deze strategie weggenomen te hebben. Gelijk hoop ik aandacht te hebben voor de risico’s van ‘outer-circle’, want de kosten van verandering zitten niet in de installatie van software, maar implementatie hiervan binnen ketens. En deze stoppen door alle samenwerkingen allang niet meer bij de perimeter-based verdediging van de firewall. Het is nog moeilijker om de business van internet af te sluiten dan alle zwakheden in één keer op te lossen om zo weer in controle te komen.
Situational awareness
Hoewel iedereen begrijpt dat als de fabrikant een terugroepactie doet omdat de remmen van de auto het niet doen er onderhoud nodig is, wordt de noodzaak hiervan telkens weggewuifd als het om it gaat. Tijdens de uiteenzetting van de hier geschetste scenario-based strategie kwam vanuit de zaal een leuke metafoor. Zo verzamelde iemand uit zuinigheid de mest van grote grazers uit het bos voor zijn tuin. Nadeel hiervan kwam later aan het licht, toen bleek dat er dus ook allerlei onkruid meegenomen was, wat nu zijn tuin overwoekert. Realiteit aangaande het mandaat van de afdeling it betreffende digitale beveiliging is dat deze theoretisch is. Een meldplicht zonder informatieplicht is als de cafeïnevrije koffie, het stimuleert eerder de aanvaller dan de verdediger als ondanks de ‘notice to airmen’ gewoon over dezelfde route doorgevlogen wordt. ‘If you spend more on coffee than on IT security, you will be hacked.’ – Richard Clarke.
De observatie en oriëntatie van verdedigers aangaande alle koppelvlakken wordt ook nog eens bemoeilijkt door alle contractuele beheermodellen. De shortcuts die in de loop van de tijd binnen het netwerk zijn aangebracht staan meestal niet op papier. Architectuur representaties geven de fysieke connecties meestal aan met een wolk. Tussen logische informatiestromen en werkelijke communicatie zit ook nog weleens een lek met een toenemend ‘exposure risk’ als gevolg.
@Reza
Grappig om te lezen dat wat ik schrijf te moeilijk is om in één keer te begrijpen maar dat er desondanks wel conclusies getrokken worden dat het om een WC-eend verhaal gaat, misschien dat een zekere mate van zelfingenomenheid de oriëntatie hier beperkt?
@Will
Als je beveiliging inricht op basis van een economische afschrijving (TCO) in plaats van een steeds sneller voortschrijdende technische veroudering dan denk ik dat je aannames in de basis al fout zijn. Een observatie die ik gedaan heb aangaande processen is dat deze meestal nog ergens uit het einde van de vorige eeuw stammen, aangaande je bezwaren over ‘root cause analysis’ kan ik melden dat organisaties door virtualisatie steeds meer moeite hiermee hebben.
@Q
Aangezien de OODA-loop grotendeels draait om patronen is gebruik van statistiek me niet vreemd. Let wel dat je niet in de valkuil valt van het exemption management. Kortom, je statistiek moet wel gebaseerd zijn op de gegevens vanuit de omgeving en niet de boekhouding.
Will, ik ben er absoluut voorstander van om man en paard en dus productnaam te noemen. Cryptisch blijven om geen eigen producten te noemen hoeft voor mij niet.
Het enige waar mensen denk ik over vallen is zo’n mooi weer praatje dat Product X zo geweldig is en dan bedrijven daar X % mee bespaard hebben. Maar gewoon technische informatie of iets over de toepassing wat ook relevantie heeft buiten het product alleen is prima. En als je over eigen producten plaatst en het is niet heel duidelijk dat jij dat als product voert (bijvoorbeeld integrator die leeft van SharePoint die praat over SharePount) , je dan een disclaimer plaatst zodat mensen wel snappen waar jouw belang ligt.
Uiteindelijk lezen we om vermaakt of verrijkt te worden met kennis.
@Henri Goede vraag, ik zit er ook al tegenaan te hikken, de technische informatie. Liefst in Jip en Janneke taal. Nog eens zitten googelen, en misschien is dit al eerder gepost maar vind het volgende artikel informatief over het Unisys Stealth product:
http://www.app3.unisys.com/common/about__unisys/Stealth/Documents/Stealth%20and%20SecureParser%20white%20paper.pdf
Geen eenvoudige materie zeg, dus ik zat ook al snel op deze pagina:
http://en.wikipedia.org/wiki/OSI_model
Hiermee zou je al een eind kunnen komen. Interessant! Nog maar een keer lezen.
@Ewout:
De afkorting TCO gaat over het geheel aan kosten die gemaakt moeten worden rondom aanschaf, installatie en gebruik – niet enkel over een vorm van afschrijving. Voor de liefhebbers – zie ook: http://en.wikipedia.org/wiki/Total_cost_of_ownership.
Als het tempo waarmee de technologie voortschrijdt een probleem is, dan heeft Unisys met zijn Stealth software een grotere uitdaging dan een klant met welke vorm van afschrijving en processen dan ook…
Bedrijven zijn immers gebonden aan allerhande regelgeving en daar is verder weinig aan te doen.
Van een security product mag je verwachten dat het ook over de jaren heen veilig blijft… hoe rapper er nieuwe technologieën in de markt gezet worden, hoe lastiger dat gaat worden.
🙂
@Iedereen:
Ik merk dat er nogal wat verwarring is rondom de 7 lagen van het OSI model en de 4 lagen van TCP/IP. Op deze site wordt e.e.a. redelijk eenvoudig uitgelegd: http://www.comptechdoc.org/independent/networking/protocol/protlayers.html.
Indien er behoefte is wil ik wel een whiteboard sessie doen om dit verder toe te lichten.
Bij voldoende belangstelling wil ik er een workshop van maken van (max.) een halve dag. In dat geval is een laptop met de mogelijkheid om zelf software te installeren wel een must. Dan kan ik je laten zien wat er allemaal over je netwerk aansluiting gebeurd.
In beide gevallen graag een berichtje naar will@moonen.me zodat we data kunnen prikken.
@Louis
Overwegende dat gemiddelde beslisser en/of beïnvloeder niet geïnteresseerd is in details van netwerk, Ton Elias kon geen antwoord geven op de vraag wat TCP/IP was, dan is werking van Internet uitleggen nogal lastig. En dat terwijl er mooie filmpjes te vinden zijn op Youtube, net als over Stealth:
https://www.youtube.com/playlist?list=PL2jZcHC2i7ApRv_MwEU-nLHp8MFr0DA8S
Observeren we echter Hollandse realiteit aangaande toegang tot Internet dan is er echter minder Noord-Koreaanse discipline. Oriënteren we ons op Data Loss Barometer van KPMG dan zien we dat de bedreiging meer omvat dan externe boze buitenwereld. En dat sectoren zoals overheid, onderwijs en technologie ranglijst van lekken aanvoeren zal vast niks te maken hebben met de mobiliteit van gebruikers.
Waar ik over schrijf is de verkeerstoren mentaliteit, zoals ik stel is meldplicht zonder informatieplicht nogal zinloos. Want zoals ik in 2011 al schreef in opinie ‘Release of relatiemanagement’ hebben steeds meer organisaties moeite om waardeketens te bepalen doordat deze niet meer stopt bij de firewall.
@Will
Wederom lijk je weer wat te vergeten, de kosten van onderhoud want zoals ik al stelde komt patchen meestal ten laste van het al flink onder druk staande budget van afdeling IT.
Ergens krijg ik de indruk dat je aan ‘onthechtingsverschijnselen’ leid als ik kijk naar de nieuwe financieringsmodellen van cloud computing. Aangezien Stealth een software oplossing is past deze dus beter bij het idee van een SDDC.
Beveiliging is trouwens nimmer een product geweest maar altijd een strategie waarbij je maatregelen niet alleen aanpast aan bedreigingen maar ook richting die business kiest. Aangaande regelgeving dus handig als je als organisatie zelf de toegang kan bepalen en niet afhankelijk bent van leveranciers want voor je het weet ben je dan WILLoos;-)
@Will
– Als ik de reacties lees dan valt me op dat jij de enige bent die inhoudelijk goede “aanvulling” geeft aan dit artikel (naar mijn mening Henri heeft een andere aanvliegroute)
Komt dit door de toelichting die je al gehad hebt? Zo ja kun je je afvragen tot hoeverre de inhoud van dit artikel voor andere mensen begrijpelijk en duidelijk is.
– Wat betreft de wc-eend label, Ewout en andere auteurs (ik ook dus) hebben eerder opmerkingen gemaakt over dit gedrag als iemand met zijn product/verhaal als opinie kwam. Computable heeft hiervoor een andere categorie als “Productnieuws”
Laten we “Opinies” zuiver houden.
@Ewout
Je mag het best grappig vinden maar als alleen hier 3 mensen aangeven dat je artikel niet begrijpelijk is dan zou je beter moeten nadenken wat je verbeteren kan ipv de bal bij andere neerleggen.
Alles begint met duidelijk communiceren dus zender en ontvanger. En als je met dit soort wollige taal en verhalen komt dan mis je gegarandeerd je doel en je doelgroep. Maar goed, je gaat dit ook zeker grappig vinden.
Terug naar @Will:
“Een firewall met een multipoint VPN” dan vraag ik me af wat deze configuratie wordt als je in een hybrid cloud-model van verschillende SaaS diensten gebruik maakt. Ga je een oerwoud creëren met veel point-to-point VPN connecties?
Hoe zit het dit model als je gebruik maakt van een IDaaS in de cloud?
En nog andere vragen die ik nog niet kan stellen omdat ik nog steeds geen duidelijk beeld heb van dit artikel.
@Ewout – van achter naar voren:
WILLoos – LoL… 🙂
In één alinea met twee prachtige volzinnen switchen van techniek naar “de business” en weer terug… 😉
Maar vooruit – ik beweeg mee en ben daarom zeer benieuwd naar het antwoord op de volgende vraag:
Welke business strategie, onderliggende organisatie strategie en financieringsmodel zie je als de sweet spot van het product genaamd Unisys-Stealth?
Ik verwacht dat je deze vraag zonder moeite en to-the-point kan beantwoorden aangezien het antwoord een van de belangrijkste criteria is in het kwalificeren van een Stealth opportuniteit. Lukt- of wil je dat niet, dan ga ik er vanuit dat er in ieder geval weer een paar prachtige volzinnen volgen… 😉
Ik kan me voorstellen dat mijn reacties lijken op “onthechtingsverschijnselen”. Maar wat veel cloud adepten schijnen te vergeten is dat alles zijn prijs heeft. Het feit dat financierings- en leverings-modellen veranderen wil niet zeggen dat zoiets als een TCO en een beheer proces niet meer relevant is.
Sterker nog – doordat “de business” de ruimte krijgt hun eigen “ding” te doen neemt de fragmentatie toe en zal de TCO uiteindelijk exponentieel toenemen.
Immers, er is niemand die, parallel aan die splinter-initiatieven, kijkt naar het grote geheel en in een vroeg stadium aan de bel trekt als (beheer?!)kosten en opbrengsten (bij elkaar: TCO) niet meer in de pas lopen.
In dat kader is patchen een onderdeel van die kosten en daarmee een onderdeel van de TCO – dat veranderd niet – nu niet en nooit niet!
Zolang de bedrijfsresultaten boven verwachting zijn is er niet zo heel veel aan de hand. Maar zodra die achterwege blijven ontstaat er een schimmig zwarte pieten spel en is de IT afdeling weliswaar de klos maar zelden de root-cause…
🙂
Will Moonen, dit is volgens mij al het derde verhaal van Wij van Unisys bevelen Unisys Stealth aan. En een compliment voor je uitleg; een software architect die het verhaal van een hardware architect duidelijk weet te maken.