Vorige week was ik op de jaarlijkse Hack in the Box (GSEC) security-conferentie in Singapore. Tijdens dit driedaagse evenement met tientallen uiterst technische presentaties vond ik het opmerkelijk dat er bijzonder veel aandacht was voor de analoge kant van security. In een wereld waarin heel binair wordt gedacht, is dit volgens mij een duidelijk signaal dat er veel behoefte is aan een meer analoge benadering van beveiliging.
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
Time-based security
Tijd is volgens mij het beste voorbeeld van een analoog element in security. Tijd en timing zijn weliswaar digitaal te meten, maar voorzien ons van zeer veel nuttige informatie op security-gebied. Zo kun je er bijvoorbeeld mee bepalen of een netwerkverbinding vanuit Nederland of China komt. Maar ook kun je met de timing van toetsaanslagen op een keyboard bepalen of er een mens of computer aan het werk is. Door dit soort elementen mee te nemen in security, vergroot je de kans aanzienlijk om te bepalen of er sprake is van kwaadaardig gedrag. In de praktijk wordt echter veelal gewerkt met standaard oplossingen als firewalls en intrusion prevention-systemen, die dit op basis van standaard regels bepalen. Iets is goed of fout en een verbinding wordt toegelaten of tegengehouden. Zo houd je de meest gangbare bedreigingen tegen, maar intelligentere aanvallen mis je. Die zijn namelijk niet zo binair van opzet. Time-based security is daar een reactie op. De term werd al jaren geleden bedacht, maar in de praktijk wordt er helaas nog maar weinig mee gedaan. Deze security-filosofie gaat uit van het feit dat je ‘Protection time’ groter moet zijn dan je ‘Detection + Response time’. En daar is het analoge component weer terug: tijd.
Analoge processen
Een goede manier om effectief om te gaan met moderne security-bedreigingen is met analoge processen. Hiermee bedoel ik dat er bij binaire processen heel veel informatie wordt weggegooid. Een verbinding kan volgens de regels bijvoorbeeld voor 60 procent vertrouwd zijn, maar nadat deze is doorgelaten vervalt deze historie. Ik vergelijk het wel eens met een aannemer die in je huis aan het werk gaat en je gaandeweg met steeds meer aanvullende kosten confronteert. Dat accepteer je misschien paar keer, maar op het moment dat hij opeens wéér met een extra kostenpost komt, zul je die eerdere confrontaties ook meetellen. Dit gebeurt veel te weinig in security, waardoor er veel nuttige informatie verloren gaat, die de beveiliging sterk kan verbeteren.
Binaire besluit vs. analoog proces
Waar het in security om zou moeten gaan is de resolutie van de informatie waarmee je werkt. Ofwel: de hoeveelheid detail bepaalt de kwaliteit van je beslissingen. Aanvallers werken namelijk ook zo. Die scannen netwerken bijvoorbeeld op patch-niveaus, de kwaliteit van de security en of er geld te halen valt. Dit vergroot de kans op een succesvolle aanval aanzienlijk. Het probleem is dat standaard oplossingen hier geen raad mee weten. Veel kwaadaardig verkeer kun je alleen detecteren aan de hand van een optelsom van factoren, net als het eerdere voorbeeld van de aannemer. Banken maken al gebruik van dit soort technieken, bijvoorbeeld in hun mobiele apps. Zij maken bij de mate van authenticatie onderscheid tussen grote en kleine betalingen. Ze kijken waar ter wereld de app wordt gebruikt en op welk tijdstip. Past dit in een vertrouwd profiel of is er sprake van verdacht gedrag? Dit soort beveiligingstechnieken zouden ook in het bedrijfsleven de standaard moeten worden, in plaats van standaard ingerichte firewalls of IPS te gebruiken. Je moet op verschillende niveaus in de infrastructuur analoog gedrag monitoren en het liefst op veel meer plaatsen. Deze informatie moet je vervolgens verzamelen en op een intelligente manier analyseren, en die als feedback gebruiken in je systemen en besluiten.
