Veiligheid is nog abstracter dan de cloud, het is meer een gevoel dan iets tastbaars. Dat maakt het niet alleen moeilijk om het te definiëren maar vooral lastig om over te praten omdat gevoel door iedereen anders ervaren wordt. Zo zullen de meesten zich minder snel veilig voelen als ze in het donker door het bos moeten. Niemand wil tenslotte zijn neus stoten of een tak in zijn ogen krijgen, zicht op de route bepaalt de snelheid van verplaatsing.
Eerste uitdaging in de discussie over cyber security gaat om de pijn. Vaak wordt deze niet gevoeld als beslissers zich teveel op afstand hebben geplaatst met contractuele kaartenhuizen. Een conclusie die ook door de onderzoeksraad werd getrokken na het DigiNotar debacle. Nu worden niet alleen externe waarschuwingen in de wind geslagen maar ook vanuit het operationele niveau. En dat terwijl de continuïteit van een bedrijf niet bepaald wordt door de strategie om van mach 0 naar 1 te gaan, maar juist omgekeerd.
Wie doet het licht uit?
Wie niet weet waar de Observe, Orient, Decide, and Act (OODA)-loop om gaat heeft waarschijnlijk de opvoedkundige lessen van de militaire dienstplicht gemist. Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen. Dat zorgt dat aanvallen ontwrichtend zijn, want de aanvaller is tactisch in het voordeel door organisatorische inertie om te reageren. Het staat al direct 1-0 voor de thuisspelende ploeg, want het zal duidelijk zijn dat een aanvaller zich ook niet aan de voorschriften houdt. Deze heeft dus niet alleen alle tijd om de omgeving te observeren en zich op de zwakke plekken te oriënteren maar kan ook tegenacties voorspellen omdat veelal de budget-cycles bepalend zijn bij verdedigers. ‘Talent and genius operate outside the rules, and theory conflicts with practice’ – Von Clausewitz.
Om van de achterstand nog een gelijkspel te kunnen maken zal de OODA-loop van de verdedigers goedkoper moeten worden dan van de aanvallers. En een manier om dit te doen is door het netwerk te verduisteren voor de aanvaller zodat deze gedesoriënteerd raakt. Strategie van een ‘internet kill-switch’ is wat onorthodox, maar dat is precies één van de dingen die Stealth doet. Het zet het licht uit voor de tegenpartij en geeft daarmee de verdediging een tactisch voordeel. Want terwijl de aanvaller geen mogelijkheid meer heeft voor exfiltratie – het proces waarbij data heimelijk vanuit de organisatie onttrokken wordt – wordt de verdediging niet beperkt in de communicatie en kan eventuele services ongezien uit de gevarenzone verhuizen.
Do you feel lucky?
Terugkerende opmerking dat je hiermee alleen maar tijd koopt kan ik beamen. OODA-loop is namelijk het idee van John ‘40-seconds’ Boyd, een straaljager piloot die begreep dat tijd in het beslissingsproces het verschil maakt tussen winnen en verliezen. Het is een scenario-based strategie die ‘exposure’ risico van problemen in de beheercapaciteit oplost nu perimeter-based verdediging steeds vaker ontoereikend is. Want laat ik zeggen dat strategie van patchen binnen kantoorprocessen op papier aanwezig is, bij veel industriële processen is hier nog niet eens sprake van. Het gaat dus om een continuiteïtsplanning omdat kosten van een verandering vaak te hoog zijn. Daar maken aanvallers gebruik van want 50 procent van de aanvallen worden door een opportunistische motivatie gedreven. Activiteiten zoals patchen en migreren komen namelijk meestal ten laste van het it-budget dat al zo onder druk staat. ‘The winner is he who has one more round in his magazine.’ – Erwin Rommel.
Misvatting van lezers dat ik me in voorgaande opinie niet bewust was van alle spanningen in de ‘inner-circle’ hoop ik met uiteenzetten van deze strategie weggenomen te hebben. Gelijk hoop ik aandacht te hebben voor de risico’s van ‘outer-circle’, want de kosten van verandering zitten niet in de installatie van software, maar implementatie hiervan binnen ketens. En deze stoppen door alle samenwerkingen allang niet meer bij de perimeter-based verdediging van de firewall. Het is nog moeilijker om de business van internet af te sluiten dan alle zwakheden in één keer op te lossen om zo weer in controle te komen.
Situational awareness
Hoewel iedereen begrijpt dat als de fabrikant een terugroepactie doet omdat de remmen van de auto het niet doen er onderhoud nodig is, wordt de noodzaak hiervan telkens weggewuifd als het om it gaat. Tijdens de uiteenzetting van de hier geschetste scenario-based strategie kwam vanuit de zaal een leuke metafoor. Zo verzamelde iemand uit zuinigheid de mest van grote grazers uit het bos voor zijn tuin. Nadeel hiervan kwam later aan het licht, toen bleek dat er dus ook allerlei onkruid meegenomen was, wat nu zijn tuin overwoekert. Realiteit aangaande het mandaat van de afdeling it betreffende digitale beveiliging is dat deze theoretisch is. Een meldplicht zonder informatieplicht is als de cafeïnevrije koffie, het stimuleert eerder de aanvaller dan de verdediger als ondanks de ‘notice to airmen’ gewoon over dezelfde route doorgevlogen wordt. ‘If you spend more on coffee than on IT security, you will be hacked.’ – Richard Clarke.
De observatie en oriëntatie van verdedigers aangaande alle koppelvlakken wordt ook nog eens bemoeilijkt door alle contractuele beheermodellen. De shortcuts die in de loop van de tijd binnen het netwerk zijn aangebracht staan meestal niet op papier. Architectuur representaties geven de fysieke connecties meestal aan met een wolk. Tussen logische informatiestromen en werkelijke communicatie zit ook nog weleens een lek met een toenemend ‘exposure risk’ als gevolg.
@Will
Idee van TCO is gestorven, dat jij als zwarte piet bent blijven hangen in die schoorsteen gaat voorbij aan wat ik hier schrijf over onverspelbare kosten proberen te vangen met een contractueel kaartenhuis. Lijkt me handig dat jij onweerlegbaarheid van je aannames aantoont want uiteindelijk gaat het namelijk dus om de waarde van de informatie.
@Reza:
De reden dat ik het kan volgen is waarschijnlijk mijn achtergrond rondom datacommunicatie (7-lagen OSI model & 4-lagen TCP/IP model) en de werking van packet-capturing.
De pitch van Unisys is behoorlijk technisch; dus ja, ik kan me goed voorstellen dat het lastige materie is zonder deze kennis.
Als de Stealth software niet geïnstalleerd kan worden op de applicatie servers, dan is er altijd een mogelijkheid om uitzonderingen te maken in de Stealth configuratie. Mijn inschatting is dat dit altijd het geval zal zijn voor XaaS-achtigen en dus ook voor IDaaS.
Een uitzondering komt neer op een “regel” die het toestaat om voor een bepaalde applicatie buiten de Stealth software om een verbinding op te zetten – vergelijkbaar met wat je ook bij firewalls doet.
Dus nee, dat oerwoud aan VPN-achtige connecties gaat er niet komen. Worst-case is dat je met een oerwoud aan uitzonderingen te maken gaat krijgen voor de verschillende XaaS-achtigen.
@Reza
Bij sommigen is het licht al lang uit, reacties lijken zich toe te spitsen op een product (cheng) terwijl ik toch grotendeels over een strategie (chi) schrijf. Op welke grond jij tot de conclusie komt dat ik mijn doel niet bereikt heb is me een raadsel, ommekeer van Will tussen eerste reactie en bijna laatste waar hij mensen uitnodigt is alleen het observeren al waard. Nadat iedereen in goed vertrouwen software die Will ze geeft geïnstalleerd heeft wordt oriënteren hoe hazen lopen alleen maar makkelijker;-)
Vertel eens eerlijk, heb je nu een dagtaak aan die zelfingenomen sterrenfraude?
Mag ik toch even brommen op de persoonlijke irritaties, dit keer. Blijf inhoudelijk a.u.b.
@Ewout, ’t zal vast zijn dat jouw stuk zijn basis vindt in software uit eigen fabriek. De achterliggende boodschap vind ik toch interessant.
@Brombeer
De strategie (chi) zit in de OODA-loop, het is trouwens niet alleen een product uit eigen fabriek maar ook één die we zelf gebruiken voor alle fabrieken in landen waar staatstoezicht op de communicatie iets verder gaat dan gebruikelijk in democratische landen;-)